Политика о персональных данных
1. Общие положения
1.1. Положение об обработке и защите персональных данных работников
АО «НПП «Салют» (далее – Положение, Общество или Оператор соответственно) разработано в соответствии с Трудовым Кодексом Российской Федерации (далее – РФ), Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»
(далее – Федеральный закон от 27.07.2006 № 152-ФЗ), Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», другими нормативными правовыми актами Российской Федерации и правовыми актами Общества.
1.2. Правовым основанием обработки персональных данных (далее – ПДн) являются: Конституция Российской Федерации, Гражданский кодекс Российской Федерации, Федеральный закон «О Государственной корпорации по содействию разработке, производству и экспорту высокотехнологичной промышленной продукции «Ростех», договоры, заключаемые между Обществом и субъектами Пдн, согласие на обработку ПДн и иные правовые акты Общества, определяющие случаи и особенности обработки ПДн.
1.3. Настоящее Положение определяет политику Общества в отношении обработки персональных данных, порядок и условия хранения и использования ПДн: устанавливает порядок сбора, учета, обработки ПДн, накопления и хранения документов, содержащих ПДн, процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации в области ПДн, устранение последствий таких нарушений, а также особенности обработки ПДн в информационных системах Общества.
1.4. Настоящее Положение распространяется на всех работников Общества, на лиц, которые рассматриваются к трудоустройству на вакантные должности в Общество, физических лиц, с которыми Обществом заключен и/или планируется заключение гражданско-правового договора, членов семьи и родственников работников Общества, участвующих в корпоративных социальных программах Общества (формы согласий на обработку ПДн для участия в корпоративных социальных программах утверждаются в соответствующих правовых актах Общества), физических лиц, с которыми Обществом заключаются договоры на целевое обучение, и студентов, направляемых в Общество для прохождения практической подготовки (практики), а также на иных лиц, ПДн которых Оператор обрабатывает в соответствии с нормативно-правовыми актами Российской Федерации.
1.5. Все вопросы, связанные с обработкой и защитой ПДн, не урегулированные настоящим Положением, разрешаются в соответствии с законодательством РФ и иными правовыми актами Общества.
1.6. Действие настоящего Положения не распространяется на отношения, предусмотренные п. 2 ст. 1 Федерального закона от 27.07.2006 № 152-ФЗ, в том числе возникающие при:
обработке ПДн, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;
организации хранения, комплектования, учета и использования содержащих ПДн архивных документов в соответствии с законодательством об архивном деле в Российской Федерации.
1.7. Общество обрабатывает ПДн исключительно в следующих целях: обеспечение соблюдения законов и иных нормативных правовых актов, организация работы в связи с трудовыми отношениями, содействие субъектам ПДн в трудоустройстве в Общество, в рамках обучения и развития, получения образования, должностной рост, обеспечение участия субъектов ПДн в корпоративных социальных программах Общества, учет результатов исполнения должностных обязанностей, поощрение и стимулирование труда. Конкретные цели обработки ПДн по перечню ПДн, указанных в п. 1.10. настоящего Положения, содержатся в приложении № 2 к настоящему Положению.
1.8. Обработка ПДн в Обществе осуществляется на основе следующих принципов:
1.8.1. Обработка ПДн должна осуществляться на законной и справедливой основе.
1.8.2. Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, не совместимая с целями сбора ПДн.
1.8.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.
1.8.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
1.8.5. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки Пдн, в соответствии с п. 1.7. настоящего Положения. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.
1.8.6. При обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных, или неточных данных.
1.8.7. Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
1.9. Способы обработки ПДн:
с использованием средств автоматизации;
без использования средств автоматизации;
смешанная обработка ПДн.
1.10. Перечень обрабатываемых Оператором Пдн в целях, предусмотренных в п. 1.7 настоящего Положения:
фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
число, месяц, год рождения;
место рождения;
информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
адрес места жительства (адрес регистрации, фактического проживания);
номер контактного телефона или сведения о других способах связи;
реквизиты страхового свидетельства государственного пенсионного страхования;
идентификационный номер налогоплательщика;
реквизиты страхового медицинского полиса обязательного медицинского страхования;
реквизиты свидетельства государственной регистрации актов гражданского состояния;
семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
сведения о трудовой деятельности;
сведения о воинском учете и реквизиты документов воинского учета;
сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
сведения об ученой степени;
информация о владении иностранными языками, степень владения;
медицинское заключение по установленной форме об отсутствии медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну;
фотография;
сведения о прохождении государственной гражданской или муниципальной службы;
сведения о пребывании за границей;
информация о наличии или отсутствии судимости;
информация об оформленных допусках к государственной тайне;
государственные награды, иные награды и знаки отличия;
сведения о профессиональной переподготовке и (или) повышении квалификации;
информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения заработной платы;
сведения о доходах, расходах, об имуществе и обязательствах имущественного характера;
сведения о заработной плате, доплатах, надбавках и премиях работника;
сведения об адресах сайтов и (или) страниц сайтов в информационно-телекоммуникационной сети «Интернет», на которых граждане, претендующие к трудоустройству на вакантные должности в Общество, размещали общедоступную информацию, а также данные, позволяющие его идентифицировать;
номер расчетного счета;
иные сведения, которые субъект ПДн пожелал сообщить о себе и которые отвечают целям обработки ПДн, указанным в п. 1.7. настоящего Положения.
1.11. Работники Оператора, непосредственно осуществляющие обработку ПДн, должны быть ознакомлены с положениями законодательства Российской Федерации о ПДн, в том числе с требованиями к защите ПДн, документами, определяющими политику Оператора в отношении обработки ПДн, правовыми актами Общества по вопросам обработки ПДн, данным Положением и изменениями к нему.
1.12. Все работники Общества должны быть ознакомлены с настоящим Положением под подпись.
2. Термины и определения
2.1. В Положении используется следующие термины и определения:
Автоматизированная обработка ПДН - это обработка ПДн с помощью средств вычислительной техники.
Биометрические ПД- это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн.
Блокирование ПДн - это временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
Информационная система ПДн (ИСПДн, АС (ПО) - это совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность ПДн - это обязанность операторов и иных лиц, получивших доступ к ПДн, не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн.
Обезличивание ПДн - это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.
Обработка ПДн - это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
Общедоступные источники ПДн - это источники ПДн с доступом неограниченного круга лиц, которые предоставлены с письменного согласия субъекта ПДн (справочники, адресные книги и т.п.).
Оператор - это Общество, самостоятельно или совместно с другими лицами, организующее и (или) осуществляющее обработку ПДн, а также определяющая цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
Персональные данные (ПДн) - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).
Персональные данные (ПДн), разрешенные субъектом ПДн для распространения - это ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ.
Предоставление ПДн - это действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
Работник Общества - это лицо, заключившее трудовой договор с Обществом.
Распространение ПДн - это действия, направленные на раскрытие ПДн неопределенному кругу лиц.
Субъект ПДн - это работник Общества / иное физическое лицо, которое прямо или косвенно определено, или определяемо с помощью ПДн. К субъектам ПДн, ПДн которых обрабатываются в Обществе, относятся лица, указанные в п. 1.3 настоящего Положения.
Трансграничная передача ПДн - это передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение персональных данных - это действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных работников или в результате которых уничтожаются материальные носители персональных данных работников.
3. Разграничение ответственности структурных подразделений Общества за организацию обработки ПДн
3.1. Обработка Пдн осуществляется в структурных подразделениях Общества согласно приложению № 1 к настоящему Положению.
3.2. Управление по работе с персоналом (далее – УРП) обеспечивает:
доведение до сведения работников Общества требований нормативных правовых актов Российской Федерации и правовых актов Общества по вопросам обработки ПДн;
организацию сбора и обработки ПДн субъектов ПДн;
совместно с Управлением комплексной безопасности организацию обучения работников Общества работе с ПДн;
доступ неограниченного круга лиц к настоящему Положению;
работу с обращениями федеральных органов исполнительной власти и иное взаимодействие с ними по вопросам обработки и защиты ПДн субъектов ПДн, которые обрабатываются Обществом, в части своей компетенции.
3.3. Управление комплексной безопасности (далее – УКБ) обеспечивает:
контроль установления классов и уровней защищенности ПДн для ИСПДн Общества;
обнаружение фактов несанкционированного доступа к ПДн в ИСПДн и доведение этой информации до ответственного за организацию обработки ПДн;
мониторинг и контроль за принимаемыми мерами по обеспечению безопасности ПДн при их обработке в ИСПДн;
учет выдаваемых съемных машинных носителей ПДн;
проведение служебных расследований по фактам выявленных нарушений при автоматизированной обработке ПДн;
работу с обращениями федеральных органов исполнительной власти и иное взаимодействие с ними по вопросам соблюдения требований по обеспечению безопасности ПДн при их обработке в ИСПДн Общества;
организацию работы по обеспечению функционирования АС (ПО), содержащих ПДн.
4. Условия обработки ПДн
4.1. Обработка ПДн необходима для достижения целей, предусмотренных настоящим Положением или Федеральным законом от 27.07.2006 № 152-ФЗ, для осуществления возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей.
4.2. Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе (приложение
№ 2, приложение № 4).
4.3. Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случае отзыва субъектом ПДн согласия на обработку ПДн Оператор вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в п. 4.7 и 4.9.3 - 4.9.7 настоящего Положения.
4.4. Источником информации обо всех ПДн субъекта ПДн является непосредственно субъект ПДн. Если, по независящим от субъекта ПДн и Оператора причинам, ПДн возможно получить только у третьей стороны, то субъект ПДн должен быть заранее в письменной форме уведомлен об этом, и от него должно быть получено письменное согласие.
4.5. Обработка ПДн осуществляется с согласия субъекта ПДн, с указанием целей обработки и состава ПДн согласно приложению № 2.
4.6. Письменные согласия субъектов ПДн на обработку своих ПДн содержат сведения, указанные в ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ.
4.7. Обработка ПДн без согласия субъекта ПДн допускается в следующих случаях:
4.7.1. Обработка ПДн осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
4.7.2. Обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом ПДн договор не может содержать положения, ограничивающие права и свободы субъекта ПДн, устанавливающие случаи обработки ПДн несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта ПДн;
4.7.3. Обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
4.7.4. Обработка ПДн осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания ПДн;
4.7.5. Осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
4.8. Оператор не имеет права обрабатывать специальную категорию ПДн субъекта ПДн, касающихся его расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья и иной информации, указанной в ч. 1 ст. 10 Федерального закона от 27.07.2006 №152‑ФЗ, за исключением случаев, указанных в п. 4.9 настоящего Положения.
4.9. Обработка указанных в п. 4.8 специальных категорий ПДн допускается в случаях, если:
4.9.1. Субъект ПДн дал согласие в письменной форме на обработку своих ПДн. Согласие на обработку таких ПДн оформляется отдельно от других согласий на обработку ПДн;
4.9.2. Обработка ПДн, разрешенных субъектом ПДн для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ;
4.9.3. Обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта ПДн невозможно;
4.9.4. Обработка ПДн осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка ПДн осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
4.9.5. Обработка ПДн необходима для установления или осуществления прав субъекта ПДн или третьих лиц, а равно и в связи с осуществлением правосудия;
4.9.6. Обработка ПДн осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;
4.9.7. Обработка ПДн осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
4.10. Обработка специальных категорий ПДн, осуществлявшаяся в случаях, предусмотренных пунктами 4.9.1 - 4.9.7, 4.11 настоящего Положения, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.
4.11. Обработка ПДн о судимости может осуществляться Оператором в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
4.12. Общество не осуществляет обработку биометрических ПДн субъектов ПДн.
4.13. Общество не осуществляет трансграничную передачу персональных данных.
4.14. Оператор на основании договора вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн. Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ, соблюдать конфиденциальность ПДн, принимать необходимые меры, направленные на обеспечение выполнения обязанностей по обработке ПДн по определенному перечню ПДн и действий (операций), совершаемых с ПДн.
4.14.1. Лицо, осуществляющее обработку ПДн по поручению Оператора, не обязано получать согласие субъекта ПДн на обработку его ПДн.
4.14.2. В случае, если Оператор поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Оператор. Лицо, осуществляющее обработку ПДн по поручению Оператора, несет ответственность перед Оператором.
4.15. Автоматизированная обработка ПДн разрешается в ИСПДн Общества с использованием программного обеспечения (программных модулей / прикладных программных подсистем) согласно приложениям № 5 и № 6 к настоящему Положению.
4.15.1. Работнику Общества, имеющему право осуществлять автоматизированную обработку ПДн, предоставляются уникальный логин и пароль для доступа к соответствующей ИСПДн Оператора в установленном порядке.
4.16. При заключении гражданско-правового договора с физическим лицом структурное подразделение, инициирующее оформление соответствующего договора, обеспечивает подписание физическим лицом – исполнителем по гражданско-правовому договору согласия на обработку ПДн (приложение № 2 к настоящему Положению).
4.17. При заключении договоров на целевое обучение и договоров о практической подготовке студентов (прохождении практики) ответственное лицо, инициирующее оформление договора, обеспечивает получение письменного согласия на обработку ПДн лица, которому предстоит прохождение практики в Обществе, согласно Положению о целевом обучении граждан Российской Федерации по образовательным программам высшего образования в интересах
Общества.
5. Доступ к ПДн, хранение и защита ПДн
5.1. Работники, допущенные к обработке ПДн субъектов ПДн, обязаны не раскрывать ПДн, которые стали им известны в связи с выполнением ими трудовых обязанностей.
5.2. Субъект ПДн обязан представлять достоверные сведения о себе. Оператор проверяет достоверность сведений.
5.3. Оператор должен оформить с работниками, которые в силу своих должностных обязанностей имеют фактический доступ к ПДн других субъектов ПДн, обязательство об их неразглашении по установленной форме (приложение № 3 к настоящему Положению).
5.4. При принятии решений, затрагивающих интересы субъекта ПДн, Оператор не имеет права основываться на ПДн, полученных о нем исключительно в результате их автоматизированной обработки или электронного получения.
5.5. Сроки хранения ПДн определены Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утвержден Приказом Росархива от 20.12.2019 № 236).
5.6. ПДн субъектов ПДн хранятся на бумажных и машинных носителях информации:
5.6.1. Личные папки работников, содержащие ПДн работников Общества, хранятся в закрытых металлических шкафах (сейфах) с ограниченным правом доступа;
5.6.2. Дела с документами, содержащими ПДн субъектов ПДн, хранятся в закрытых помещениях структурных подразделений, осуществляющих обработку и хранение, с ограниченным правом доступа;
5.6.3. Документы, содержащие ПДн субъектов ПДн, до формирования по ним дел хранятся в кабинетах структурных подразделений, осуществляющих обработку ПДн. Нахождение в указанных кабинетах работников, у которых в соответствии с настоящим Положением нет права доступа к ПДн и обработке ПДн, допускается строго под контролем работника этого кабинета, осуществляющего взаимодействие с ними.
5.7. Ответственными за организацию и осуществление доступа к ПДн и хранения ПДн субъектов ПДн в части касающейся являются:
начальник управления по работе с персоналом;
главный бухгалтер;
начальник управления комплексной безопасности;
начальник режимно-секретного отдела;
руководители иных структурных подразделений Общества, работники которых имеют доступ, принимают участие в обработке ПДн работников Общества согласно приложению № 1 к настоящему Положению.
5.8. УКБ осуществляет контроль за хранением ПДн в структурных подразделениях Общества.
5.9. Обеспечение безопасности ПДн, обрабатываемых в ИСПДн Оператора, достигается путем исключения несанкционированного, в том числе случайного доступа к ПДн, а также принятия следующих мер:
5.9.1. Определение актуальных угроз безопасности ПДн при их обработке в ИСПДн;
5.9.2. Применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн Оператора, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивают установленные постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» уровни защищенности ПДн;
5.9.3. Применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
5.9.4. Оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
5.9.5. Учет машинных носителей ПДн;
5.9.6. Обнаружение фактов несанкционированного доступа к ПДн, и принятие мер, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
5.9.7. Восстановление ПДн, модифицированных, удаленных или уничтоженных вследствие несанкционированного доступа к ним;
5.9.8. Установление правил доступа к ПДн, обрабатываемым в ИСПДн Оператора, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн Оператора;
5.9.9. Контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровней защищенности ИСПДн.
5.10. Безопасность ПДн при их обработке в ИСПДн обеспечивает Оператор этой системы, который обрабатывает ПДн, или лицо, осуществляющее обработку ПДн по поручению Оператора на основании заключаемого с этим лицом договора (далее – уполномоченное лицо).
5.11. Передача ПДн при их обработке в ИСПДн Оператора должна осуществляться по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
5.12. Доступ работников Оператора к ПДн, находящимся в ИСПДн Оператора, предусматривает обязательное прохождение ими процедуры идентификации и аутентификации.
5.13. В случае выявления нарушений порядка обработки и защиты ПДн Оператора уполномоченными должностными лицами Общества незамедлительно принимаются меры по установлению причин нарушений и их устранению.
5.14. Взаимодействие по компьютерным инцидентам, повлекшим неправомерную передачу (предоставление, распространение, доступ) ПДн, осуществляется в соответствии с Регламентом взаимодействия Национального координационного центра по компьютерным инцидентам (НКЦКИ) и АО «НПП «Салют», при информировании Федеральной службы безопасности Российской Федерации о компьютерных инцидентах, реагировании на компьютерные инциденты и принятии мер по ликвидации последствий компьютерных атак.
5.15. Срок хранения ПДн, обрабатываемых в ИСПДн, соответствует сроку хранения персональных данных на бумажных носителях.
5.16. Уничтожение ПДн по окончании срока их обработки на электронных носителях производится путем механического нарушения их целостности, не позволяющим произвести считывание и восстановление ПДн, или удаления с электронных носителей методами и средствами гарантированного удаления остаточной информации
5.17. Подтверждение уничтожения ПДн в случаях, предусмотренных статьей 21 Федерального закона от 27.07.2006 № 152-ФЗ, осуществляется в соответствии с требованиями, установленными приказом Роскомнадзора от 28.10.2022 № 179.
6. Передача ПДн
6.1. При передаче ПДн в Обществе соблюдаются следующие требования:
6.1.1. Не передавать ПДн субъекта ПДн третьей стороне без письменного согласия субъекта ПДн, за исключением случаев, указанных в п. 4.7 и п. 4.9.3 - 4.9.7 настоящего Положения.
6.1.2. Предупреждать лиц, получающих ПДн субъекта ПДн, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие ПДн субъекта ПДн, обязаны соблюдать режим конфиденциальности.
6.1.3. Передавать ПДн субъекта ПДн представителям субъекта ПДн в порядке, установленном Трудовым кодексом Российской Федерации – в отношении работников и иными нормативными правовыми актами Российской Федерации, и ограничивать эту информацию только теми ПДн, которые необходимы для выполнения указанными представителями их функции.
6.1.4. Запрещается передавать ПДн субъекта ПДн с использованием принадлежащих иностранным юридическим лицам и (или) иностранным гражданам информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для обмена электронными сообщениями исключительно между пользователями этих информационных систем и (или) программ для электронных вычислительных машин.
Работник обязан своевременно в срок, не превышающий 7 (семь) рабочих дней с даты совершения события, повлекшего изменение ПДн сообщить работодателю (в ДОРиУП) об изменении своих ПДн в письменной форме согласно приложению № 7 к настоящему Положению.
7. Права субъекта ПДн
7.1. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в соответствии с гл. 3 Федерального закона от 27.07.2006 № 152-ФЗ, в том числе содержащей:
подтверждение факта обработки ПДн Оператором;
правовые основания и цели обработки ПДн;
применяемые Оператором способы обработки ПДн;
наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн;
обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения;
сроки обработки ПДн и сроки их хранения;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу.
7.2. Право субъекта на доступ к его ПДн может быть ограничено если:
обработка ПДн, включая ПДн, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
обработка ПДн осуществляется органами, осуществившими задержание субъекта ПДн по подозрению в совершении преступления, либо предъявившими субъекту ПДн обвинение по уголовному делу, либо применившими к субъекту ПДн меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими ПДн;
обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц.
7.3. Субъект ПДн вправе требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.4. Сведения, указанные в п. 7.1 настоящего Положения, должны быть предоставлены субъекту ПДн Оператором в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн, в течение 10 рабочих дней с момента обращения.
7.5. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
8. Обязанности Оператора
8.1. Оператор обязан предоставить субъекту ПДн по его просьбе информацию, предусмотренную п. 7.1 настоящего Положения.
8.2. Если в соответствии с настоящим Положением, предоставление ПДн и (или) получение Оператором согласия на обработку ПДн являются обязательными, Оператор обязан разъяснить субъекту ПДн юридические последствия отказа предоставить его ПДн и (или) дать согласие на их обработку.
8.3. Оператор обязан принимать меры, необходимые и достаточные (определяются Оператором самостоятельно) для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ и принятыми в соответствии с ним правовыми актами Общества.
8.4. Оператор при обработке ПДн обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
8.5. Оператор при обработке ПДн оценивает вред, который может быть причинен субъектам ПДн в случае нарушения настоящего Положения и Федерального закона от 27.07.2006 № 152-ФЗ. Оценка вреда осуществляется ответственным за организацию обработки ПДн либо комиссией, образуемой Оператором в соответствии с Требованиями к оценке вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ.
8.6. Оператор для целей оценки вреда определяет одну из степеней вреда, который может быть причинен субъекту ПДн в случае нарушения настоящего Положения и Федерального закона от 27.07.2006 № 152-ФЗ:
8.6.1. Высокую в случаях:
обработки специальных категорий ПДн в соответствии с п. 4.8 настоящего Положения, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки специальных категорий ПДн.
8.6.2. Среднюю в случаях:
распространения ПДн на официальном сайте в информационно-телекоммуникационной сети «Интернет» Оператора, а равно предоставление ПДн неограниченному кругу лиц, за исключением случаев, установленных федеральными законами, предусматривающих цели, порядок и условия такой обработки ПДн;
обработки ПДн в дополнительных целях, отличных от первоначальной цели сбора;
получения согласия на обработку ПДн посредством реализации на официальном сайте в информационно-телекоммуникационной сети «Интернет» функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта ПДн;
осуществления деятельности по обработке ПДн, предполагающей получение согласия на обработку ПДн, содержащего положения о предоставлении права осуществлять обработку ПДн определенному и (или) неопределенному кругу лиц в целях, несовместимых между собой.
8.6.3. Низкую в случаях:
ведения общедоступных источников ПДн, сформированных в соответствии с п. 2.8 настоящего Положения и ст.8 Федерального закона от 27.07.2006 №152-ФЗ;
назначения в качестве ответственного за обработку ПДн лица, не являющегося штатным работником Оператора.
8.7. Результаты оценки вреда оформляются актом оценки вреда в соответствии с приказом Роскомнадзора от 27.10.2022 № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных».
8.8. В случае если по итогам проведенной оценки вреда установлено, что в рамках деятельности по обработке персональных данных субъекту ПДн в соответствии подпунктами 8.6.1 - 8.6.3 настоящего Положения могут быть причинены различные степени вреда, подлежит применению более высокая степень вреда.
8.9. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн.
8.10. Оператор до начала обработки ПДн обязан уведомить уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн в соответствии со ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ.
8.11. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов ПДн или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов ПДн в соответствии с приказом Роскомнадзора от 14.11.2022 № 187 «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных».
9. Ответственность за нарушение норм, регулирующих обработку и защиту ПДн
9.1. Должностные лица и работники Общества (согласно приложению № 1 к настоящему Положению), виновные в нарушении порядка обращения с ПДн, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации, а также привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.
9.2. Должностные лица и работники Общества (согласно приложению № 1 к настоящему Положению), а также руководители структурных подразделений / организационных единиц Общества несут персональную ответственность за нарушение или неисполнение требований настоящего Положения.
1.1. Положение об обработке и защите персональных данных работников
АО «НПП «Салют» (далее – Положение, Общество или Оператор соответственно) разработано в соответствии с Трудовым Кодексом Российской Федерации (далее – РФ), Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»
(далее – Федеральный закон от 27.07.2006 № 152-ФЗ), Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», другими нормативными правовыми актами Российской Федерации и правовыми актами Общества.
1.2. Правовым основанием обработки персональных данных (далее – ПДн) являются: Конституция Российской Федерации, Гражданский кодекс Российской Федерации, Федеральный закон «О Государственной корпорации по содействию разработке, производству и экспорту высокотехнологичной промышленной продукции «Ростех», договоры, заключаемые между Обществом и субъектами Пдн, согласие на обработку ПДн и иные правовые акты Общества, определяющие случаи и особенности обработки ПДн.
1.3. Настоящее Положение определяет политику Общества в отношении обработки персональных данных, порядок и условия хранения и использования ПДн: устанавливает порядок сбора, учета, обработки ПДн, накопления и хранения документов, содержащих ПДн, процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации в области ПДн, устранение последствий таких нарушений, а также особенности обработки ПДн в информационных системах Общества.
1.4. Настоящее Положение распространяется на всех работников Общества, на лиц, которые рассматриваются к трудоустройству на вакантные должности в Общество, физических лиц, с которыми Обществом заключен и/или планируется заключение гражданско-правового договора, членов семьи и родственников работников Общества, участвующих в корпоративных социальных программах Общества (формы согласий на обработку ПДн для участия в корпоративных социальных программах утверждаются в соответствующих правовых актах Общества), физических лиц, с которыми Обществом заключаются договоры на целевое обучение, и студентов, направляемых в Общество для прохождения практической подготовки (практики), а также на иных лиц, ПДн которых Оператор обрабатывает в соответствии с нормативно-правовыми актами Российской Федерации.
1.5. Все вопросы, связанные с обработкой и защитой ПДн, не урегулированные настоящим Положением, разрешаются в соответствии с законодательством РФ и иными правовыми актами Общества.
1.6. Действие настоящего Положения не распространяется на отношения, предусмотренные п. 2 ст. 1 Федерального закона от 27.07.2006 № 152-ФЗ, в том числе возникающие при:
обработке ПДн, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;
организации хранения, комплектования, учета и использования содержащих ПДн архивных документов в соответствии с законодательством об архивном деле в Российской Федерации.
1.7. Общество обрабатывает ПДн исключительно в следующих целях: обеспечение соблюдения законов и иных нормативных правовых актов, организация работы в связи с трудовыми отношениями, содействие субъектам ПДн в трудоустройстве в Общество, в рамках обучения и развития, получения образования, должностной рост, обеспечение участия субъектов ПДн в корпоративных социальных программах Общества, учет результатов исполнения должностных обязанностей, поощрение и стимулирование труда. Конкретные цели обработки ПДн по перечню ПДн, указанных в п. 1.10. настоящего Положения, содержатся в приложении № 2 к настоящему Положению.
1.8. Обработка ПДн в Обществе осуществляется на основе следующих принципов:
1.8.1. Обработка ПДн должна осуществляться на законной и справедливой основе.
1.8.2. Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, не совместимая с целями сбора ПДн.
1.8.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.
1.8.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
1.8.5. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки Пдн, в соответствии с п. 1.7. настоящего Положения. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.
1.8.6. При обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных, или неточных данных.
1.8.7. Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
1.9. Способы обработки ПДн:
с использованием средств автоматизации;
без использования средств автоматизации;
смешанная обработка ПДн.
1.10. Перечень обрабатываемых Оператором Пдн в целях, предусмотренных в п. 1.7 настоящего Положения:
фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
число, месяц, год рождения;
место рождения;
информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
адрес места жительства (адрес регистрации, фактического проживания);
номер контактного телефона или сведения о других способах связи;
реквизиты страхового свидетельства государственного пенсионного страхования;
идентификационный номер налогоплательщика;
реквизиты страхового медицинского полиса обязательного медицинского страхования;
реквизиты свидетельства государственной регистрации актов гражданского состояния;
семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
сведения о трудовой деятельности;
сведения о воинском учете и реквизиты документов воинского учета;
сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
сведения об ученой степени;
информация о владении иностранными языками, степень владения;
медицинское заключение по установленной форме об отсутствии медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну;
фотография;
сведения о прохождении государственной гражданской или муниципальной службы;
сведения о пребывании за границей;
информация о наличии или отсутствии судимости;
информация об оформленных допусках к государственной тайне;
государственные награды, иные награды и знаки отличия;
сведения о профессиональной переподготовке и (или) повышении квалификации;
информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения заработной платы;
сведения о доходах, расходах, об имуществе и обязательствах имущественного характера;
сведения о заработной плате, доплатах, надбавках и премиях работника;
сведения об адресах сайтов и (или) страниц сайтов в информационно-телекоммуникационной сети «Интернет», на которых граждане, претендующие к трудоустройству на вакантные должности в Общество, размещали общедоступную информацию, а также данные, позволяющие его идентифицировать;
номер расчетного счета;
иные сведения, которые субъект ПДн пожелал сообщить о себе и которые отвечают целям обработки ПДн, указанным в п. 1.7. настоящего Положения.
1.11. Работники Оператора, непосредственно осуществляющие обработку ПДн, должны быть ознакомлены с положениями законодательства Российской Федерации о ПДн, в том числе с требованиями к защите ПДн, документами, определяющими политику Оператора в отношении обработки ПДн, правовыми актами Общества по вопросам обработки ПДн, данным Положением и изменениями к нему.
1.12. Все работники Общества должны быть ознакомлены с настоящим Положением под подпись.
2. Термины и определения
2.1. В Положении используется следующие термины и определения:
Автоматизированная обработка ПДН - это обработка ПДн с помощью средств вычислительной техники.
Биометрические ПД- это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн.
Блокирование ПДн - это временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
Информационная система ПДн (ИСПДн, АС (ПО) - это совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность ПДн - это обязанность операторов и иных лиц, получивших доступ к ПДн, не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн.
Обезличивание ПДн - это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.
Обработка ПДн - это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
Общедоступные источники ПДн - это источники ПДн с доступом неограниченного круга лиц, которые предоставлены с письменного согласия субъекта ПДн (справочники, адресные книги и т.п.).
Оператор - это Общество, самостоятельно или совместно с другими лицами, организующее и (или) осуществляющее обработку ПДн, а также определяющая цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
Персональные данные (ПДн) - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).
Персональные данные (ПДн), разрешенные субъектом ПДн для распространения - это ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ.
Предоставление ПДн - это действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
Работник Общества - это лицо, заключившее трудовой договор с Обществом.
Распространение ПДн - это действия, направленные на раскрытие ПДн неопределенному кругу лиц.
Субъект ПДн - это работник Общества / иное физическое лицо, которое прямо или косвенно определено, или определяемо с помощью ПДн. К субъектам ПДн, ПДн которых обрабатываются в Обществе, относятся лица, указанные в п. 1.3 настоящего Положения.
Трансграничная передача ПДн - это передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение персональных данных - это действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных работников или в результате которых уничтожаются материальные носители персональных данных работников.
3. Разграничение ответственности структурных подразделений Общества за организацию обработки ПДн
3.1. Обработка Пдн осуществляется в структурных подразделениях Общества согласно приложению № 1 к настоящему Положению.
3.2. Управление по работе с персоналом (далее – УРП) обеспечивает:
доведение до сведения работников Общества требований нормативных правовых актов Российской Федерации и правовых актов Общества по вопросам обработки ПДн;
организацию сбора и обработки ПДн субъектов ПДн;
совместно с Управлением комплексной безопасности организацию обучения работников Общества работе с ПДн;
доступ неограниченного круга лиц к настоящему Положению;
работу с обращениями федеральных органов исполнительной власти и иное взаимодействие с ними по вопросам обработки и защиты ПДн субъектов ПДн, которые обрабатываются Обществом, в части своей компетенции.
3.3. Управление комплексной безопасности (далее – УКБ) обеспечивает:
контроль установления классов и уровней защищенности ПДн для ИСПДн Общества;
обнаружение фактов несанкционированного доступа к ПДн в ИСПДн и доведение этой информации до ответственного за организацию обработки ПДн;
мониторинг и контроль за принимаемыми мерами по обеспечению безопасности ПДн при их обработке в ИСПДн;
учет выдаваемых съемных машинных носителей ПДн;
проведение служебных расследований по фактам выявленных нарушений при автоматизированной обработке ПДн;
работу с обращениями федеральных органов исполнительной власти и иное взаимодействие с ними по вопросам соблюдения требований по обеспечению безопасности ПДн при их обработке в ИСПДн Общества;
организацию работы по обеспечению функционирования АС (ПО), содержащих ПДн.
4. Условия обработки ПДн
4.1. Обработка ПДн необходима для достижения целей, предусмотренных настоящим Положением или Федеральным законом от 27.07.2006 № 152-ФЗ, для осуществления возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей.
4.2. Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе (приложение
№ 2, приложение № 4).
4.3. Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случае отзыва субъектом ПДн согласия на обработку ПДн Оператор вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в п. 4.7 и 4.9.3 - 4.9.7 настоящего Положения.
4.4. Источником информации обо всех ПДн субъекта ПДн является непосредственно субъект ПДн. Если, по независящим от субъекта ПДн и Оператора причинам, ПДн возможно получить только у третьей стороны, то субъект ПДн должен быть заранее в письменной форме уведомлен об этом, и от него должно быть получено письменное согласие.
4.5. Обработка ПДн осуществляется с согласия субъекта ПДн, с указанием целей обработки и состава ПДн согласно приложению № 2.
4.6. Письменные согласия субъектов ПДн на обработку своих ПДн содержат сведения, указанные в ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ.
4.7. Обработка ПДн без согласия субъекта ПДн допускается в следующих случаях:
4.7.1. Обработка ПДн осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
4.7.2. Обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом ПДн договор не может содержать положения, ограничивающие права и свободы субъекта ПДн, устанавливающие случаи обработки ПДн несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта ПДн;
4.7.3. Обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
4.7.4. Обработка ПДн осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания ПДн;
4.7.5. Осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
4.8. Оператор не имеет права обрабатывать специальную категорию ПДн субъекта ПДн, касающихся его расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья и иной информации, указанной в ч. 1 ст. 10 Федерального закона от 27.07.2006 №152‑ФЗ, за исключением случаев, указанных в п. 4.9 настоящего Положения.
4.9. Обработка указанных в п. 4.8 специальных категорий ПДн допускается в случаях, если:
4.9.1. Субъект ПДн дал согласие в письменной форме на обработку своих ПДн. Согласие на обработку таких ПДн оформляется отдельно от других согласий на обработку ПДн;
4.9.2. Обработка ПДн, разрешенных субъектом ПДн для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ;
4.9.3. Обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта ПДн невозможно;
4.9.4. Обработка ПДн осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка ПДн осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
4.9.5. Обработка ПДн необходима для установления или осуществления прав субъекта ПДн или третьих лиц, а равно и в связи с осуществлением правосудия;
4.9.6. Обработка ПДн осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;
4.9.7. Обработка ПДн осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
4.10. Обработка специальных категорий ПДн, осуществлявшаяся в случаях, предусмотренных пунктами 4.9.1 - 4.9.7, 4.11 настоящего Положения, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.
4.11. Обработка ПДн о судимости может осуществляться Оператором в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
4.12. Общество не осуществляет обработку биометрических ПДн субъектов ПДн.
4.13. Общество не осуществляет трансграничную передачу персональных данных.
4.14. Оператор на основании договора вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн. Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ, соблюдать конфиденциальность ПДн, принимать необходимые меры, направленные на обеспечение выполнения обязанностей по обработке ПДн по определенному перечню ПДн и действий (операций), совершаемых с ПДн.
4.14.1. Лицо, осуществляющее обработку ПДн по поручению Оператора, не обязано получать согласие субъекта ПДн на обработку его ПДн.
4.14.2. В случае, если Оператор поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Оператор. Лицо, осуществляющее обработку ПДн по поручению Оператора, несет ответственность перед Оператором.
4.15. Автоматизированная обработка ПДн разрешается в ИСПДн Общества с использованием программного обеспечения (программных модулей / прикладных программных подсистем) согласно приложениям № 5 и № 6 к настоящему Положению.
4.15.1. Работнику Общества, имеющему право осуществлять автоматизированную обработку ПДн, предоставляются уникальный логин и пароль для доступа к соответствующей ИСПДн Оператора в установленном порядке.
4.16. При заключении гражданско-правового договора с физическим лицом структурное подразделение, инициирующее оформление соответствующего договора, обеспечивает подписание физическим лицом – исполнителем по гражданско-правовому договору согласия на обработку ПДн (приложение № 2 к настоящему Положению).
4.17. При заключении договоров на целевое обучение и договоров о практической подготовке студентов (прохождении практики) ответственное лицо, инициирующее оформление договора, обеспечивает получение письменного согласия на обработку ПДн лица, которому предстоит прохождение практики в Обществе, согласно Положению о целевом обучении граждан Российской Федерации по образовательным программам высшего образования в интересах
Общества.
5. Доступ к ПДн, хранение и защита ПДн
5.1. Работники, допущенные к обработке ПДн субъектов ПДн, обязаны не раскрывать ПДн, которые стали им известны в связи с выполнением ими трудовых обязанностей.
5.2. Субъект ПДн обязан представлять достоверные сведения о себе. Оператор проверяет достоверность сведений.
5.3. Оператор должен оформить с работниками, которые в силу своих должностных обязанностей имеют фактический доступ к ПДн других субъектов ПДн, обязательство об их неразглашении по установленной форме (приложение № 3 к настоящему Положению).
5.4. При принятии решений, затрагивающих интересы субъекта ПДн, Оператор не имеет права основываться на ПДн, полученных о нем исключительно в результате их автоматизированной обработки или электронного получения.
5.5. Сроки хранения ПДн определены Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утвержден Приказом Росархива от 20.12.2019 № 236).
5.6. ПДн субъектов ПДн хранятся на бумажных и машинных носителях информации:
5.6.1. Личные папки работников, содержащие ПДн работников Общества, хранятся в закрытых металлических шкафах (сейфах) с ограниченным правом доступа;
5.6.2. Дела с документами, содержащими ПДн субъектов ПДн, хранятся в закрытых помещениях структурных подразделений, осуществляющих обработку и хранение, с ограниченным правом доступа;
5.6.3. Документы, содержащие ПДн субъектов ПДн, до формирования по ним дел хранятся в кабинетах структурных подразделений, осуществляющих обработку ПДн. Нахождение в указанных кабинетах работников, у которых в соответствии с настоящим Положением нет права доступа к ПДн и обработке ПДн, допускается строго под контролем работника этого кабинета, осуществляющего взаимодействие с ними.
5.7. Ответственными за организацию и осуществление доступа к ПДн и хранения ПДн субъектов ПДн в части касающейся являются:
начальник управления по работе с персоналом;
главный бухгалтер;
начальник управления комплексной безопасности;
начальник режимно-секретного отдела;
руководители иных структурных подразделений Общества, работники которых имеют доступ, принимают участие в обработке ПДн работников Общества согласно приложению № 1 к настоящему Положению.
5.8. УКБ осуществляет контроль за хранением ПДн в структурных подразделениях Общества.
5.9. Обеспечение безопасности ПДн, обрабатываемых в ИСПДн Оператора, достигается путем исключения несанкционированного, в том числе случайного доступа к ПДн, а также принятия следующих мер:
5.9.1. Определение актуальных угроз безопасности ПДн при их обработке в ИСПДн;
5.9.2. Применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн Оператора, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивают установленные постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» уровни защищенности ПДн;
5.9.3. Применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
5.9.4. Оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
5.9.5. Учет машинных носителей ПДн;
5.9.6. Обнаружение фактов несанкционированного доступа к ПДн, и принятие мер, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
5.9.7. Восстановление ПДн, модифицированных, удаленных или уничтоженных вследствие несанкционированного доступа к ним;
5.9.8. Установление правил доступа к ПДн, обрабатываемым в ИСПДн Оператора, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн Оператора;
5.9.9. Контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровней защищенности ИСПДн.
5.10. Безопасность ПДн при их обработке в ИСПДн обеспечивает Оператор этой системы, который обрабатывает ПДн, или лицо, осуществляющее обработку ПДн по поручению Оператора на основании заключаемого с этим лицом договора (далее – уполномоченное лицо).
5.11. Передача ПДн при их обработке в ИСПДн Оператора должна осуществляться по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
5.12. Доступ работников Оператора к ПДн, находящимся в ИСПДн Оператора, предусматривает обязательное прохождение ими процедуры идентификации и аутентификации.
5.13. В случае выявления нарушений порядка обработки и защиты ПДн Оператора уполномоченными должностными лицами Общества незамедлительно принимаются меры по установлению причин нарушений и их устранению.
5.14. Взаимодействие по компьютерным инцидентам, повлекшим неправомерную передачу (предоставление, распространение, доступ) ПДн, осуществляется в соответствии с Регламентом взаимодействия Национального координационного центра по компьютерным инцидентам (НКЦКИ) и АО «НПП «Салют», при информировании Федеральной службы безопасности Российской Федерации о компьютерных инцидентах, реагировании на компьютерные инциденты и принятии мер по ликвидации последствий компьютерных атак.
5.15. Срок хранения ПДн, обрабатываемых в ИСПДн, соответствует сроку хранения персональных данных на бумажных носителях.
5.16. Уничтожение ПДн по окончании срока их обработки на электронных носителях производится путем механического нарушения их целостности, не позволяющим произвести считывание и восстановление ПДн, или удаления с электронных носителей методами и средствами гарантированного удаления остаточной информации
5.17. Подтверждение уничтожения ПДн в случаях, предусмотренных статьей 21 Федерального закона от 27.07.2006 № 152-ФЗ, осуществляется в соответствии с требованиями, установленными приказом Роскомнадзора от 28.10.2022 № 179.
6. Передача ПДн
6.1. При передаче ПДн в Обществе соблюдаются следующие требования:
6.1.1. Не передавать ПДн субъекта ПДн третьей стороне без письменного согласия субъекта ПДн, за исключением случаев, указанных в п. 4.7 и п. 4.9.3 - 4.9.7 настоящего Положения.
6.1.2. Предупреждать лиц, получающих ПДн субъекта ПДн, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие ПДн субъекта ПДн, обязаны соблюдать режим конфиденциальности.
6.1.3. Передавать ПДн субъекта ПДн представителям субъекта ПДн в порядке, установленном Трудовым кодексом Российской Федерации – в отношении работников и иными нормативными правовыми актами Российской Федерации, и ограничивать эту информацию только теми ПДн, которые необходимы для выполнения указанными представителями их функции.
6.1.4. Запрещается передавать ПДн субъекта ПДн с использованием принадлежащих иностранным юридическим лицам и (или) иностранным гражданам информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для обмена электронными сообщениями исключительно между пользователями этих информационных систем и (или) программ для электронных вычислительных машин.
Работник обязан своевременно в срок, не превышающий 7 (семь) рабочих дней с даты совершения события, повлекшего изменение ПДн сообщить работодателю (в ДОРиУП) об изменении своих ПДн в письменной форме согласно приложению № 7 к настоящему Положению.
7. Права субъекта ПДн
7.1. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в соответствии с гл. 3 Федерального закона от 27.07.2006 № 152-ФЗ, в том числе содержащей:
подтверждение факта обработки ПДн Оператором;
правовые основания и цели обработки ПДн;
применяемые Оператором способы обработки ПДн;
наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн;
обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения;
сроки обработки ПДн и сроки их хранения;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу.
7.2. Право субъекта на доступ к его ПДн может быть ограничено если:
обработка ПДн, включая ПДн, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
обработка ПДн осуществляется органами, осуществившими задержание субъекта ПДн по подозрению в совершении преступления, либо предъявившими субъекту ПДн обвинение по уголовному делу, либо применившими к субъекту ПДн меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими ПДн;
обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц.
7.3. Субъект ПДн вправе требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.4. Сведения, указанные в п. 7.1 настоящего Положения, должны быть предоставлены субъекту ПДн Оператором в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн, в течение 10 рабочих дней с момента обращения.
7.5. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
8. Обязанности Оператора
8.1. Оператор обязан предоставить субъекту ПДн по его просьбе информацию, предусмотренную п. 7.1 настоящего Положения.
8.2. Если в соответствии с настоящим Положением, предоставление ПДн и (или) получение Оператором согласия на обработку ПДн являются обязательными, Оператор обязан разъяснить субъекту ПДн юридические последствия отказа предоставить его ПДн и (или) дать согласие на их обработку.
8.3. Оператор обязан принимать меры, необходимые и достаточные (определяются Оператором самостоятельно) для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ и принятыми в соответствии с ним правовыми актами Общества.
8.4. Оператор при обработке ПДн обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
8.5. Оператор при обработке ПДн оценивает вред, который может быть причинен субъектам ПДн в случае нарушения настоящего Положения и Федерального закона от 27.07.2006 № 152-ФЗ. Оценка вреда осуществляется ответственным за организацию обработки ПДн либо комиссией, образуемой Оператором в соответствии с Требованиями к оценке вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ.
8.6. Оператор для целей оценки вреда определяет одну из степеней вреда, который может быть причинен субъекту ПДн в случае нарушения настоящего Положения и Федерального закона от 27.07.2006 № 152-ФЗ:
8.6.1. Высокую в случаях:
обработки специальных категорий ПДн в соответствии с п. 4.8 настоящего Положения, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки специальных категорий ПДн.
8.6.2. Среднюю в случаях:
распространения ПДн на официальном сайте в информационно-телекоммуникационной сети «Интернет» Оператора, а равно предоставление ПДн неограниченному кругу лиц, за исключением случаев, установленных федеральными законами, предусматривающих цели, порядок и условия такой обработки ПДн;
обработки ПДн в дополнительных целях, отличных от первоначальной цели сбора;
получения согласия на обработку ПДн посредством реализации на официальном сайте в информационно-телекоммуникационной сети «Интернет» функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта ПДн;
осуществления деятельности по обработке ПДн, предполагающей получение согласия на обработку ПДн, содержащего положения о предоставлении права осуществлять обработку ПДн определенному и (или) неопределенному кругу лиц в целях, несовместимых между собой.
8.6.3. Низкую в случаях:
ведения общедоступных источников ПДн, сформированных в соответствии с п. 2.8 настоящего Положения и ст.8 Федерального закона от 27.07.2006 №152-ФЗ;
назначения в качестве ответственного за обработку ПДн лица, не являющегося штатным работником Оператора.
8.7. Результаты оценки вреда оформляются актом оценки вреда в соответствии с приказом Роскомнадзора от 27.10.2022 № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных».
8.8. В случае если по итогам проведенной оценки вреда установлено, что в рамках деятельности по обработке персональных данных субъекту ПДн в соответствии подпунктами 8.6.1 - 8.6.3 настоящего Положения могут быть причинены различные степени вреда, подлежит применению более высокая степень вреда.
8.9. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн.
8.10. Оператор до начала обработки ПДн обязан уведомить уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн в соответствии со ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ.
8.11. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов ПДн или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов ПДн в соответствии с приказом Роскомнадзора от 14.11.2022 № 187 «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных».
9. Ответственность за нарушение норм, регулирующих обработку и защиту ПДн
9.1. Должностные лица и работники Общества (согласно приложению № 1 к настоящему Положению), виновные в нарушении порядка обращения с ПДн, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации, а также привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.
9.2. Должностные лица и работники Общества (согласно приложению № 1 к настоящему Положению), а также руководители структурных подразделений / организационных единиц Общества несут персональную ответственность за нарушение или неисполнение требований настоящего Положения.