Защита персональных данных

Положение о политике НП ВТИПБ в отношении обработки персональных данных

 

 

УТВЕРЖДЕНО:

решением Президентского совета

НП ВТИПБ

(протокол № 1  от 30 марта 2017 г.)

 

1. Общие положения

1.1.         Настоящее Положение о политике в отношении обработки персональных данных (далее - Положение) Некоммерческого партнерства «Вологодский территориальный институт профессиональных бухгалтеров и аудиторов » (далее – ВТИПБ) разработано в соответствии с подп. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и является основополагающим локальным правовым актом, определяющем основные направления деятельности ВТИПБ в области обработки и защиты персональных данных, оператором которых является ВТИПБ.

1.2.         Положение разработано в соответствии с:

·     Конституцией Российской Федерации;

·     Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

·     гл. 14 Трудового кодекса РФ;

·     постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

·     постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

1.3.         Положение разработано в целях реализации требований законодательства в области обработки и защиты персональных данных и направлено на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в ВТИПБ, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайн.

1.4.         Положение определяет политику, порядок и условия ВТИПБ в отношении обработки персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений, связанных с обработкой персональных данных.

1.5.         Действие настоящего Положения распространяется на отношения по обработке и защите персональных данных, полученных ВТИПБ как до, так и после утверждения Положения.

1.6.         Под обработкой персональных данных подразумевается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных оператором.

1.7.         Обработка персональных данных в ВТИПБ организована и осуществляется с соблюдением правил, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и настоящим Положением, на принципах:

·     законности и справедливости;

·     обработки только тех персональных данных, которые отвечают целям их обработки;

·     соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

·     недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях не совместимых между собой;

·     обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных.

1.8.         Обработка персональных данных осуществляется ВТИПБ только с личного согласия субъектов персональных данных.

1.9.         ВТИПБ принимает необходимые меры по удалению или уточнению неполных или неточных данных, хранению персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

1.10.    ВТИПБ при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных

1.11.    В рамках осуществления уставной деятельности, трудовых отношений, обработки информации, связанной с гражданско-правовыми отношениями ВТИПБ, обработки информации, связанной с рассмотрением обращений государственных органов, организаций, юридических и физических лиц в ВТИПБ обрабатываются персональные данные:

·     физических лиц, имеющих статус действительного члена ВТИПБ (далее – членов ВТИПБ);

·     лиц, состоящих и состоявших в трудовых отношениях с ВТИПБ;

·     физических лиц в связи с заключением ими гражданско-правовых договоров;

·     иных лиц, обращающихся в ВТИПБ.

1.12.    ВТИПБ в соответствии с ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

·     обрабатываемых в соответствии с трудовым законодательством;

·     полученных ВТИПБ в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются ВТИПБ исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

·     относящихся к членам ВТИПБ, обрабатываемых для достижения законных целей, предусмотренных учредительными документами ВТИПБ, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

·     обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

·     обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

1.13.    В соответствии с поставленными целями и задачами ответственным за организацию обработки персональных данных в ВТИПБ является директор ВТИПБ.

1.14.    Директор ВТИПБ, как лицо, ответственное за организацию обработки персональных данных:

·     осуществляет внутренний контроль за соблюдением ВТИПБ и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

·     доводит до сведения работников ВТИПБ положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

·     организовывает прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществляет контроль за приемом и обработкой таких обращений и запросов.

1.15.    В целях информационного обеспечения ВТИПБ может создавать общедоступный источник персональных данных - Единый реестр профессиональных бухгалтеров - членов ВТИПБ (далее - реестр).

В реестр включаются персональные данные (фамилия, имя, отчество, номер, реестровой записи, номер членского билета ВТИПБ, номер, уровень, специализация аттестата профессионального бухгалтера и иные сведения, связанные с членством в ВТИПБ), доступ неограниченного круга лиц к которым предоставлен с письменного согласия субъекта персональных данных при вступлении в члены ВТИПБ в целях, определенных Уставом ВТИПБ.

Сведения о субъекте персональных данных должны быть в любое время исключены ВТИПБ из реестра по заявлению субъекта персональных данных либо по решению Общего собрания членов ВТИПБ, либо по решению суда или иных уполномоченных государственных органов.

1.16.    ВТИПБ обязан опубликовать на официальном сайте или иным образом обеспечить неограниченный доступ к настоящему Положению и сведениям о реализуемых требованиях к защите персональных данных.

1.17.    По запросу уполномоченного органа по защите прав субъектов персональных данных ВТИПБ обязан представить документы и локальные акты, указанные в ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», и (или) иным образом подтвердить принятие мер, указанных в ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в течение 30 дней с даты получения указанного запроса.

 

2.Реализуемые меры по обработке персональных данных и требований к их защите

 

2.1.         При обработке персональных данных ВТИПБ применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных, необходимые и достаточные для обеспечения обязанностей, предусмотренных ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2.2.         Состав, указанных в п. 2.1 настоящего Положения мер, включая их содержание и выбор средств защиты персональных данных, определяется и утверждается ВТИПБ, исходя из требований:

·     Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

·     гл. 14 Трудового кодекса РФ;

·     постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

·     постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

2.3.         Полномочия, функции и условия допуска работников к персональным данным, порядок взаимодействия с другими структурными подразделениями ВТИПБ установлены настоящим Положением и осуществляется с помощью автоматизированной системы распределения полномочий и ограничений.

2.4.         Доступ работников ВТИПБ к персональным данным, находящимся в информационных системах ВТИПБ, предусматривает обязательное прохождение процедуры идентификации.

Работнику ВТИПБ, имеющему право осуществлять обработку персональных данных, предоставляются уникальный логин и пароль для доступа к соответствующей автоматизированной системе ВТИПБ в установленном порядке, в соответствии с функциями, предусмотренными должностными регламентами ВТИПБ.

2.5.         Информация может вноситься как в автоматическом режиме - при уточнении, извлечении, использовании и передаче на машиночитаемом носителе информации, так и в ручном режиме - при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

2.6.         Обмен персональными данными при их обработке в информационных системах ВТИПБ осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных средств.

2.7.         ВТИПБ осуществляет обработку персональных данных с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, и без использования средств автоматизации (персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях, позволяющих осуществлять в соответствии с заданным алгоритмом поиск персональных данных и (или) доступ к ним).

2.8.         Обработка персональных данных членов ВТИПБ осуществляется с помощью автоматизированной информационной системы «Ведение реестров физических и юридических лиц», разработанной на основании Положения о порядке ведения Единого реестра профессиональных бухгалтеров - членов ИПБ России  (далее - Положение о реестре).

Положением о реестре устанавливаются требования к способам ведения реестра, определяется содержание реестра, перечень персональных данных, предоставляемых членами ВТИПБ, порядок и условия включения, исключения, восстановления записей в реестре, предоставления сведений, содержащихся в реестре.

2.9.         Обработка персональных данных работников ВТИПБ осуществляется автоматизированными системами «1С: Бухгалтерия предприятия», «1С: Зарплата и управление персоналом».

2.10.    «1С: Бухгалтерия предприятия» и включает:

·     персональный идентификатор;

·     фамилию, имя, отчество;

·     дату и место рождения

·     вид, серию, номер документа, удостоверяющего личность; сведения о дате выдачи указанного документа и выдавшем его органе;

·     адрес места жительства (адрес постоянной регистрации, адрес временной регистрации, адрес фактического места жительства), почтовый адрес;

·     контактный телефон;

·     ИНН;

·     номер страхового свидетельства обязательного пенсионного страхования;

2.11.    Обеспечение безопасности персональных данных, обрабатываемых в информационных системах ВТИПБ, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:

·     определение актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах;

·     применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах ВТИПБ, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;

·     применение процедур оценки соответствия средств защиты информации;

·     оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы;

·     учет машинных носителей персональных данных;

·     обеспечение работоспособного функционирования компьютерной техники с персональными данными в соответствии с эксплуатационной и технической документацией компьютерной техники и с учетом технических требований информационных систем и средств защиты информации;

·     обнаружение и регистрация фактов несанкционированного доступа к персональным данным, несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных и принятие соответствующих мер;

·     восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;

·     установление правил доступа к персональных данных, обрабатываемым в информационных системах ВТИПБ, а также обеспечение регистрации и учета всех действий, совершаемых с персональных данных в информационных системах ВТИПБ;

·     контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем.

2.12.    Обеспечение защиты персональных данных в ВТИПБ при их обработке, осуществляемой без использования средств автоматизации, достигается, в частности, путем:

а.   обособления персональных данных от иной информации;

б.  недопущения фиксации на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы;

в.   использования отдельных материальных носителей для обработки каждой категории персональных данных;

г.   принятия мер по обеспечению раздельной обработки персональных данных при несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных;

д.  соблюдения требований к:

·     раздельной обработке зафиксированных на одном материальном носителе персональных данных и информации, не относящейся к персональным данным;

·     уточнению персональных данных;

·     уничтожению или обезличиванию части персональных данных;

·     использованию типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных;

·     хранению персональных данных, в том числе к обеспечению раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях, и установлению перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

2.13.    Руководители структурных подразделений ВТИПБ, осуществляющих обработку персональных данных, обеспечивают:

·     своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до Директора ВТИПБ, ответственного за организацию обработки персональных данных;

·     недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

·     восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

·     постоянный контроль за обеспечением уровня защищенности персональных данных;

·     соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

·     учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

·     при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин;

·     разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

2.14.    Работники ВТИПБ, непосредственно осуществляющие обработку персональных данных, принимают все необходимые меры по восстановлению персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним.

2.15.    В случае выявления нарушений порядка обработки и хранения персональных данных уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.

3.Порядок обеспечения прав субъекта персональных данных

3.1.         Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и настоящим Положением.

3.2.         ВТИПБ и иные лица, получившие доступ к персональным данным (на основании соглашения о сотрудничестве), обеспечивают права субъектов персональных данных и обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

3.3.         Обработка персональных данных осуществляется ВТИПБ только с личного согласия субъекта персональных данных в письменной форме.

3.3.1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

3.3.2. Согласие на обработку персональных данных может быть дано субъектом персональных данных в любой форме, позволяющей подтвердить факт его получения. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия этого представителя проверяются ВТИПБ.

Полномочия представителя на представление интересов каждого субъекта персональных данных подтверждаются доверенностью, оформленной в порядке ч. 1 и ч. 4 ст. 185 Гражданского кодекса РФ, ч. 2 ст. 53 Гражданского процессуального кодекса РФ или удостоверенной нотариально. Копия доверенности представителя хранится в ВТИПБ не менее срока хранения персональных данных.

3.3.3. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

3.3.4. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

·     фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

·     наименование и адрес оператора, получающего согласие субъекта персональных данных;

·     цель обработки персональных данных;

·     перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

·     перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

·     срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

·     подпись субъекта персональных данных.

3.4.         Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

·     подтверждение факта обработки персональных данных ВТИПБ;

·     правовые основания, цели и способы обработки персональных данных, применяемые ВТИПБ;

·     наименование и место нахождения ВТИПБ, сведения о лицах (за исключением работников ВТИПБ), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании соглашения о сотрудничестве с ВТИПБ или на основании федерального закона;

·     перечень обрабатываемых персональных данных, относящихся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

·     сроки обработки персональных данных, в том числе сроки их хранения;

·     порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;

·     наименование или фамилию, имя, отчество лица, осуществляющего обработку персональных данных по поручению ВТИПБ, если обработка поручена или будет поручена такому лицу;

·     иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

3.5.         ВТИПБ обязан предоставить субъекту персональных данных по его просьбе информацию, указанную в п. 3.4 настоящего Положения.

3.5.1. Сведения предоставляются субъекту персональных данных в доступной форме без персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

3.5.2. Сведения предоставляются субъекту персональных данных или его представителю при личном обращении либо при получении запроса субъекта персональных данных или его представителя.

3.5.3. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие членство субъекта персональных данных в ВТИПБ, либо сведения, иным образом подтверждающие факт обработки персональных данных ВТИПБ, подпись субъекта персональных данных или его представителя.

3.5.4. ВТИПБ обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение 30 (тридцати) дней с даты получения запроса субъекта персональных данных или его представителя.

3.6.         Субъект персональных данных вправе требовать от ВТИПБ уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

3.7.         В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, ВТИПБ обязан внести в них необходимые изменения.

В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, ВТИПБ обязан уничтожить такие персональные данные.

ВТИПБ обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

3.8.         Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

В случае отзыва субъектом персональных данных согласия на обработку персональных данных ВТИПБ вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в подп. 2 - 11 ч. 1 ст. 6, ч. 2 ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». В иных случаях по требованию субъекта персональных данных ВТИПБ обязан прекратить обработку его персональных данных, известив при этом субъекта персональных данных.

3.9.         Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.

4.Правила обработки персональных данных

4.1.         Обработка персональных данных членов ВТИПБ производится для достижения уставных целей ВТИПБ, посредством внесения их с использованием средств автоматизации в информационные системы ВТИПБ, включения в Единый реестр профессиональных бухгалтеров - членов ВТИПБ, картотеки или иные систематизированные собрания, а также списки и другие отчетные формы ВТИПБ, позволяющие осуществлять поиск персональных данных и (или) доступ к ним.

4.2.         Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных в соответствии с поставленными целями и задачами осуществляется специалистами  ВТИПБ.

4.3.         Директор ВТИПБ, как лицо, ответственное за организацию обработки персональных данных, определяет задачи, сроки, условия обработки персональных данных, перечень причастных и ответственных лиц. Руководители структурных подразделений, осуществляющих обработку персональных данных, получают указания непосредственно от директора ВТИПБ и подотчетны ему.

4.4.         Работники ВТИПБ, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены с положениями законодательства РФ о персональных данных, настоящим Положением, определяющим политику ВТИПБ в отношении обработки персональных данных, иными нормативными актами по вопросам обработки персональных данных и изменениями к ним.

4.5.         Директор ВТИПБ обязан организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых ВТИПБ, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, а в случае нарушения требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.

4.6.         Директор ВТИПБ вправе привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, иных работников ВТИПБ с возложением на них соответствующих обязанностей и закреплением ответственности.

4.7.         Работники ВТИПБ, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

4.8.         Работники ВТИПБ, непосредственно осуществляющие обработку персональных данных, незамедлительно доводят до сведения директора сведения о нарушениях законодательства Российской Федерации, в том числе настоящего Положения, другими работниками ВТИПБ или его контрагентами.

4.9.         Контроль за исполнением настоящего Положения возложен на директора ВТИПБ.

 

 

Сведения о реализуемых требованиях к защите персональных данных

 

1.           ВТИПБ реализует следующие требования законодательства РФ в области персональных данных:

·                требования о соблюдении конфиденциальности персональных данных;

·                требования об обеспечении реализации субъектом персональных данных своих прав, включая право на доступ к информации;

·                требования об обеспечении точности персональных данных, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных (с принятием (обеспечением принятия) мер по удалению или уточнению неполных или неточных данных);

·                требования к защите персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

·                иные требования законодательства РФ.

2.           ВТИПБ самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством в области персональных данных (ч.1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

3.           В целях исполнения требований законодательства РФ в области персональных данных ВТИПБ разработано и применяется Положение о политике ВТИПБ в отношении обработки персональных данных, которое является основополагающим локальным правовым актом, определяющим основные направления деятельности ВТИПБ в области обработки и защиты персональных данных, оператором которых является ВТИПБ.

4.           Важнейшим условием реализации целей деятельности ВТИПБ является обеспечение необходимого и достаточного уровня безопасности информационных систем персональных данных, соблюдения конфиденциальности, целостности и доступности обрабатываемых персональных данных и сохранности носителей сведений, содержащих персональные данные на всех этапах работы с ними.

5.           Созданные в ВТИПБ условия и режим защиты информации, отнесенной к персональным данным, позволяют обеспечить защиту обрабатываемых персональных данных.

6.           В ВТИПБ в соответствии с действующим законодательством Российской Федерации разработан и введен в действие комплекс организационно-распорядительных и функциональных мер, регламентирующих и обеспечивающих безопасность обрабатываемых персональных данных:

·                назначены ответственные лица за организацию и обеспечение безопасности персональных данных;

·                введен режим безопасности обработки и обращения с персональными данными, а также режим защиты помещений, в которых осуществляется обработка и хранение носителей персональных данных;

·                установлены правила доступа к персональным данным, обрабатываемым в информационных системах персональных данных;

·                определен круг лиц, имеющих право обработки персональных данных, разработаны инструкции пользователям по защите персональных данных, антивирусной защите, действиям в кризисных ситуациях;

·                определены требования к персоналу, степень ответственности работников за обеспечение безопасности персональных данных;

·                проведено ознакомление работников, осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации по обеспечению безопасности персональных данных и требованиями к защите персональных данных, документами, определяющими политику ВТИПБ в отношении обработки персональных данных, и другими локальными актами по вопросам обработки персональных данных;

·                проводится периодическое обучение работников, осуществляющих обработку персональных данных, правилам обработки персональных данных;

·                осуществляется контроль за соблюдением работниками, допущенных к обработке персональных данных, требований, установленных законодательством РФ в области персональных данных, локальными нормативными актами.

7.           ВТИПБ предпринимает необходимые и достаточные технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий:

·                введена система разграничения доступа работников к информации, содержащей персональные данные субъектов персональных данных, в соответствии с их должностными (функциональными) обязанностями;

·                установлена защита от несанкционированного доступа к автоматизированным рабочим местам, информационным сетям и базам персональных данных;

·                установлена защита от вредоносного программно-математического воздействия (воздействия на компьютерные системы с помощью вредоносных программ);

·                осуществляется регулярное резервное копирование информации и баз данных, содержащих персональные данные субъектов персональных данных;

·                передача информации с использованием информационно-телекоммуникационных сетей осуществляется при помощи средств криптографической защиты информации;

·                организована система контроля за порядком обработки персональных данных и обеспечения их безопасности;

·                проводятся регулярные проверки соответствия системы защиты персональных данных, аудит уровня защищенности персональных данных в информационных системах персональных данных, функционирования средств защиты информации, выявления изменений в режиме обработки и защиты персональных данных.