Ставропольский Городской Расчетный Центр

Ставропольский
Городской
Расчетный
Центр

Rustore AppGallery
App Store Google Play
Telegram
Aa Версия для слабовидящих

Карта сайта

Телефон приемной: +7 (8652) 94-53-90
Электронная почта: mail@sgrc.ru

Политика обработки персональных данных - АО «СГРЦ»

Политика обработки персональных данных в
АО «Ставропольский городской расчётный центр»

1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее – Политика):

  • является основополагающим внутренним документом АО «Ставропольский городской расчётный центр» (далее – АО «СГРЦ»), регулирующим вопросы обработки персональных данных;
  • разработана в целях обеспечения соответствия с законодательством Российской Федерации обработки, хранения и защиты персональных данных сотрудников, граждан;
  • раскрывает основные категории персональных данных, обрабатываемых АО «СГРЦ», цели и принципы обработки АО «СГРЦ», а также перечень мер, применяемых АО «СГРЦ» в целях обеспечения безопасности персональных данных при их обработке;
  • предназначена для сотрудников АО «СГРЦ», осуществляющих обработку персональных данных в целях непосредственной реализации ими закрепленных в Политике принципов, а также является информационным ресурсом для субъектов персональных данных, позволяющим определить концептуальные основы деятельности АО «СГРЦ» при обработке персональных данных.

2. Источники нормативного правового регулирования вопросов обработки персональных данных

2.1. Политика АО «СГРЦ» в области обработки персональных данных определяется на основании следующих нормативных правовых актов РФ:

Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральный закон от 27.07.2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации»;
Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства Российской Федерации от 15 сентября 2008 г № 687;
Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные Постановлением Правительства Российской Федерации от 1 ноября 2012 г. №1119;
Указ Президента РФ от 06.03.1997 №188 «Об утверждении перечня сведений конфиденциального характера»;
Конституция Российской Федерации;
Трудовой кодекс Российской Федерации;
Гражданский кодекс Российской Федерации;
Налоговый кодекс Российской Федерации;
Уголовный кодекс Российской Федерации;
нормативные и методические документы ФСБ России, ФСТЭК России, Роскомнадзора.

2.2. Во исполнение настоящей Политики в АО «СГРЦ» приказами утверждаются следующие локальные нормативные правовые акты:

Инструкция ответственного за обеспечение безопасности и обработку персональных данных;
Инструкция администратора информационной безопасности информационных систем персональных данных;
Инструкция администратора информационных систем персональных данных;
Инструкция по действиям пользователей информационных систем персональных данных в нештатных ситуациях;
Инструкция по организации антивирусной защиты информационных систем персональных данных;
Инструкция по порядку проведения проверок состояния защиты персональных данных;
План внутренних проверок состояния защиты персональных данных;
Инструкция Пользователя информационных систем персональных данных;
Перечень персональных данных, обрабатываемых в АО «СГРЦ»;
План мероприятий по защите персональных данных;
Положение о порядке организации и проведению работ по обработке и защите персональных данных, обрабатываемых в информационных системах персональных данных АО «СГРЦ»;
Акты классификации информационных систем персональных данных АО «СГРЦ»;
Модель угроз и нарушителя безопасности персональных данных информационных систем персональных данных АО «СГРЦ» (в составе «Аналитического обоснования необходимости создания системы защиты персональных данных АО «СГРЦ»);
и иные локальные документы АО «СГРЦ», принимаемые во исполнение требований действующих нормативных правовых актов Российской Федерации в области обработки персональных данных.

3. Основные термины и понятия, используемые во внутренних нормативных актах АО «СГРЦ», принимаемых по вопросу обработки персональных данных

Автоматизированная обработка персональных данных
- обработка персональных данных с помощью средств вычислительной техники.
Персональные данные (далее также – ПДн)
– любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).
Оператор
- государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных
– любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Предоставление персональных данных
– действия, направленные на раскрытие ПДн определенному кругу лиц.
Распространение персональных данных
– действия, направленные на раскрытие ПДн неопределенному кругу, в том числе обнародование ПДн в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПДн каким-либо иным способом.
Блокирование персональных данных
– временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
Уничтожение персональных данных
– действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители ПДн.
Информационная система персональных данных
– информационная система, представляющая собой совокупность содержащихся в базе данных ПДн и их обработку, информационных технологий и технических средств.
Конфиденциальная информация
– информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся её владельцем.
Трансграничная передача персональных данных
– передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

4. Принципы обработки персональных данных

Обработка ПДн в АО «СГРЦ» осуществляется на основе следующих принципов:

  • Законности и справедливости обработки ПДн.
  • Законности целей и способов обработки ПДн и добросовестности.
  • Соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям АО «СГРЦ».
  • Соответствия содержания и объема обрабатываемых ПДн целям обработки ПДн.
  • Достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн.
  • Недопустимости объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
  • Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.
  • Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
  • Субъект ПДн является собственником своих ПДн и самостоятельно решает вопрос передачи АО «СГРЦ» своих ПДн.
  • Держателем ПДн является АО «СГРЦ», которому субъект ПДн передает во владение свои ПДн. АО «СГРЦ» выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.

5. Меры по защите персональных данных

Комплекс мер по защите ПДн направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности ПДн и обеспечивает безопасность информации в процессе деятельности АО «СГРЦ».

АО «СГРЦ» при обработке ПДн обязано принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий, в соответствии с требованиями к обеспечению безопасности ПДн при их обработке в ИСПДн.

Мероприятия по защите ПДн определяются Положением, приказами, инструкциями и другими внутренними документами АО «СГРЦ».

Для защиты ПДн в АО «СГРЦ» применяются следующие принципы и правила:

  • Ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют доступа к информации, содержащей ПДн.
  • Строгое избирательное и обоснованное распределение документов и информации между сотрудниками.
  • Рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование защищаемой информации.
  • Знание сотрудниками требований нормативно-методических документов по защите ПДн.
  • Распределение персональной ответственности между сотрудниками, участвующими в обработке ПДн, за выполнение требований по обеспечению безопасности ПДн.
  • Установление режима конфиденциальности в соответствии с требованиями по обеспечению безопасности ПДн при работе с конфиденциальными документами и базами данных.
  • Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
  • Исключение бесконтрольного пребывания посторонних лиц в помещениях, в которых ведется обработка ПДн и находится соответствующая вычислительная техника.
  • Организация порядка уничтожения персональных данных.
  • Своевременное выявление нарушений требований разрешительной системы доступа.
  • Воспитательная и разъяснительная работа с сотрудниками отделов по предупреждению утраты ценных сведений при работе с конфиденциальными документами.
  • Регулярное обучение работников по вопросам, связанным с обеспечением безопасности ПДн.
  • Ограничение доступа к техническим средствам и системам обработки информации, на которых содержатся ПДн.
  • Создание целенаправленных неблагоприятных условий и труднопреодолимых препятствий для лица, пытающегося совершить несанкционированный доступ и овладение информацией.
  • Резервирование защищаемых данных (создание резервных копий).

6. Цель обработки персональных данных

Обработка персональных данных в информационных системах персональных данных АО «СГРЦ» осуществляется в целях:

  • исполнения обязательств АО «СГРЦ» в рамках Агентских договоров (Контрактов) по расчетам платы за жилищно-коммунальные и прочие услуги, заключенных с поставщиками жилищно-коммунальных услуг (производство расчетов размера платы за жилищно-коммунальные услуги, прием платы за жилищно-коммунальные услуги, поддержание в актуальном состоянии базы данных потребителей жилищно-коммунальных услуг).
  • исполнения трудового законодательства (ведение кадрового и бухгалтерского учета сотрудников, предоставление отчетности по кадровому и бухгалтерскому учету сотрудников, начисление заработной платы).

7. Субъекты персональных данных

В информационных системах персональных данных АО «СГРЦ» обрабатываются персональные данные следующих категорий субъектов персональных данных:

  • физические лица – потребители жилищно-коммунальных услуг;
  • физические лица, состоящие с АО «СГРЦ» в трудовых отношениях (сотрудники АО «СГРЦ»);
  • физические лица, являющиеся ближайшими родственниками сотрудников АО «СГРЦ»;
  • физические лица, уволившиеся из АО «СГРЦ»;
  • физические лица, являющиеся кандидатами на работу в АО «СГРЦ»;

8. Правовое основание обработки персональных данных

Обработка персональных данных осуществляется на основании:

  • норм действующего законодательства РФ: ст.1005 Гражданского кодекса РФ, ст.153, ст.155, ст.157 Жилищного кодекса РФ, п.п."г" п.31, п.п."е" п.32, гл.VI, гл.VIII-IX Правил предоставления коммунальных услуг собственникам и пользователям помещений в многоквартирных домах и жилых домов, утвержденных Постановлением Правительства РФ от 06.05.2011 г. №354, ст.3, 4 Федерального закона от 03.06.2009 N 103-ФЗ "О деятельности по приему платежей физических лиц, осуществляемой платежными агентами", ст.ст.86-90 Трудового кодекса РФ, п.7 ч.1, ч.3-5 ст.6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", ст. 7, ст. 8 Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства Российской Федерации от 15 сентября 2008 г № 687, Федерального закона от 06.12.2011 N 402-ФЗ «О бухгалтерском учете», Налогового кодекса РФ, Федерального закона № 173-ФЗ от 17.12.2001 «О трудовых пенсиях в Российской Федерации»; Федерального закона № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе Обязательного пенсионного страхования», Федерального закона от 24.07.2009 г. № 212-ФЗ «О страховых взносах в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования», Федерального закона от 02.10.2007 № 229-ФЗ «Об исполнительном производстве»;
  • внутренних нормативных актов АО «СГРЦ»: Положения о порядке организации и проведении работ по обработке персональных данных в информационных системах персональных данных АО «СГРЦ»; Политики обработки персональных данных в АО «СГРЦ»;
  • трудовых договоров;
  • Агентских договоров (Контрактов) по расчетам платы за жилищно-коммунальные и прочие услуги, заключенные с поставщиками жилищно-коммунальных услуг;
  • согласия субъекта персональных данных на обработку персональных данных.

Положение

о порядке организации и проведении работ по обработке и защите персональных данных, обрабатываемых в информационных системах персональных данных АО «Ставропольский городской расчетный центр»
1. Термины и определения
Автоматизированная обработка персональных данных
- обработка персональных данных с помощью средств вычислительной техники.
Актуальные угрозы безопасности персональных данных
- совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
Блокирование персональных данных
- временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Информационная система персональных данных
- совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обработка персональных данных
- любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор
- государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные
- любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Предоставление персональных данных
- действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных
- действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Специальные категории персональных данных
– персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни.
Трансграничная передача персональных данных
- передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Угрозы безопасности персональных данных
- совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.
Уничтожение персональных данных
- действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2. Общие положения

2.1 Целью настоящего Положения является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

2.2 Настоящее Положение разработано в соответствии со следующими нормативными правовыми актами:

  • Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
  • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства Российской Федерации от 15 сентября 2008 г № 687;
  • Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные Постановлением Правительства Российской Федерации от 1 ноября 2012 г. №1119;
  • Указ Президента РФ от 06.03.1997 №188 «Об утверждении перечня сведений конфиденциального характера»;
  • Конституция Российской Федерации;
  • Трудовой кодекс Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • Налоговый кодекс Российской Федерации;
  • Уголовный кодекс Российской Федерации;
  • нормативные и методические документы ФСБ России, ФСТЭК России, Роскомнадзора.

2.3 Настоящее Положение определяет порядок и условия обработки персональных данных, т.е. любых действий (операций) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных в АО «Ставропольский городской расчетный центр» (далее — АО «СГРЦ») с использованием средств автоматизации и без использования таких средств.

2.4 Настоящее положение определяет правовые, организационные и технические меры необходимые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2.5 АО «СГРЦ» вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению АО «СГРЦ», обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных». В поручении АО «СГРЦ» должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».

2.6 АО «СГРЦ» не осуществляет трансграничную передачу персональных данных.

2.7 АО «СГРЦ» не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

2.8 АО «СГРЦ» не осуществляет обработку биометрических персональных данных.

2.9 АО «СГРЦ» не принимает решения, порождающие юридические последствия в отношении субъекта персональных данных или иным образом затрагивающие его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных.

2.10 АО «СГРЦ» не осуществляет обработку персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации.

2.11 АО «СГРЦ» не предоставляет и не распространяет персональные данные третьим лицам без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

2.12 АО «СГРЦ» не публикует персональные данные субъекта персональных данных в средствах массовой информации, в том числе в сети «Интернет», без его предварительного согласия, если иное не предусмотрено федеральным законом.

2.13 АО «СГРЦ» не обрабатывает персональные данные о судимости субъектов персональных данных.

2.14 АО «СГРЦ» не обрабатывает персональные данные, которые могут нанести вред здоровью и (или) развитию детей.

3. Права субъекта персональных данных

3.1 Субъект персональных данных имеет право на получение сведений, касающихся обработки его персональных данных, в том числе содержащих:

  • подтверждение факта обработки персональных данных АО «СГРЦ»;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые АО «СГРЦ» способы обработки персональных данных;
  • наименование и место нахождения АО «СГРЦ», сведения о лицах (за исключением работников АО «СГРЦ»), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с АО «СГРЦ» или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению АО «СГРЦ», если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» или другими федеральными законами.

3.2 Субъект персональных данных вправе требовать от АО «СГРЦ» уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

3.3 Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных АО «СГРЦ» в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

3.4 Субъект персональных данных вправе требовать от АО «СГРЦ» извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

3.5 Субъект персональных данных вправе обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие АО «СГРЦ» при обработке его персональных данных.

3.6 Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

4. Обязанности АО «СГРЦ»

4.1 АО «СГРЦ» обязано:

  • предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ;
  • по требованию субъекта персональных данных уточнять обрабатываемые персональные данные, блокировать или удалять, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • вести журнал учета обращений субъектов персональных данных, в котором должны фиксироваться запросы субъектов персональных данных на получение персональных данных, а также факты предоставления персональных данных по этим запросам;
  • уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных;
  • в случае достижения цели обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных, а в случае, если обращение или запрос были направлены субъектом персональных данных, — также уполномоченный орган по защите прав субъектов персональных данных;
  • в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекратить их обработку и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между АО «СГРЦ» и субъектом персональных данных, и уведомить об этом субъекта персональных данных;
  • в случае поступления требования субъекта персональных данных о прекращении обработки персональных данных в целях продвижения товаров, работ, услуг на рынке немедленно прекратить обработку персональных данных.

4.2 АО «СГРЦ» при обработке персональных данных обязано принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

4.3 АО «СГРЦ» самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

4.4 АО «СГРЦ» обязано опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

4.5 АО «СГРЦ» обязано назначить лицо, ответственное за организацию обработки персональных данных.

5. Согласие на обработку персональных данных

5.1 АО «СГРЦ» вправе осуществлять обработку персональных данных при наличии согласия субъекта персональных данных на обработку его персональных данных, если обработка персональных данных не относится к случаям, предусмотренным частью 2 статьи 6, частью 2 статьи 10, частью 2 статьи 11 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».

5.2 Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

5.3 Обязательным условием является наличие согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, предоставленного АО «СГРЦ» субъектом персональных данных.

5.4 В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

5.5 В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

5.6 Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

5.7 В случае отзыва субъектом персональных данных согласия на обработку персональных данных АО «СГРЦ» вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в части 2 статьи 6, части 2 статьи 10, части 2 статьи 11 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».

5.8 Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывать, что обрабатываемые персональные данные являются общедоступными, возлагается на АО «СГРЦ».

6. Обработка персональных данных

6.1 Обработка персональных данных в АО «СГРЦ» осуществляется смешанным способом: с использованием средств автоматизации и без использования таких средств.

6.2 Обработка персональных данных включает в себя следующие действия (операции) с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

6.3 Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

6.4 Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

6.5 Обработке подлежат только персональные данные, которые отвечают целям их обработки.

6.6 Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки.

6.7 При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. АО «СГРЦ» принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.

6.8 Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

6.9 Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

7. Защита персональных данных

7.1 Безопасность персональных данных при их обработке в информационных системах персональных данных обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации.

7.2 Обеспечение безопасности персональных данных достигается, в частности:

  • определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
  • применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • учетом машинных носителей персональных данных;
  • обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
  • восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  • контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

7.3 Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с нормативными правовыми актами ФСТЭК России и ФСБ России.

7.4 АО «СГРЦ» при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

7.5 Обеспечение безопасности персональных данных достигается, в частности:

  • определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
  • применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • учетом машинных носителей персональных данных;
  • обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
  • восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  • контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

7.6 АО «СГРЦ» самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

8. Контроль за соблюдением требований настоящего Положения

8.1 Контроль за выполнением требований настоящего Положения осуществляется лицом, ответственным за организацию обработки персональных данных АО «СГРЦ».

8.2 Лицо, ответственное за организацию обработки персональных данных АО «СГРЦ», вправе:

  • осуществлять контроль за соблюдением требований к защите персональных данных в АО «СГРЦ»;
  • вносить предложения по совершенствованию мер по защите персональных данных в АО «СГРЦ»;
  • вносить предложения об привлечении к дисциплинарной ответственности лиц, виновных в нарушении норм, регулирующих обработку и защиту персональных данных.

8.3 Контроль за соблюдением требований к защите персональных данных при их обработке в информационных системах персональных данных, в том числе требований к обеспечению безопасности персональных данных, установленных в соответствии с законодательством Российской Федерации, осуществляется в порядке, установленном Правительством Российской Федерации.

8.4 Лица, виновные в нарушении требований Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» при обработке персональных данных, несут предусмотренную законодательством Российской Федерации ответственность.