Политика обработки и защиты персональных данных в УГФПМП

УТВЕРЖДАЮ

Генеральный директор МФО УГФПМП

____________________ Вьюгов А.М.

«_____»____________________ 20__ г.

ПОЛИТИКА
обработки и защиты персональных данных
в МФО Удмуртском государственном фонде поддержки малого предпринимательства

1. Общие положения

1.1 Настоящая политика в отношении обработки персональных данных (далее — Политика) составлена в соответствии с п. 2 ст. 18.1 Федерального закона РФ «О персональных данных» №152-ФЗ от 27 июля 2006 года в (в ред. № 261-ФЗ от 25.07.2011) и действует в отношении всех персональных данных (далее — ПД), которые МФО Удмуртский государственный фонд поддержки малого предпринимательства (далее — МФО УГФПМП) получает в ходе основной производственной деятельности от субъектов персональных данных (далее — субъект ПД), являющихся сотрудниками МФО УГФПМП, близкими родственниками сотрудников МФО УГФПМП и субъектами малого предпринимательства, как стороной по гражданско-правовому договору.

1.2 МФО УГФПМП обеспечивает защиту обрабатываемых ПД от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановления Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и иных нормативных документов в области защиты ПД.

1.3 Изменение настоящей политики.

1.3.1 МФО УГФПМП имеет право вносить изменения в настоящую политику, указывая в заголовке о внесенных изменениях и дате последнего обновления редакции.

1.3.2 Новая редакция настоящей политики вступает в силу с момента ее размещения на сайте МФО УГФПМП в сети Интернет, если иное не предусмотрено новой редакцией настоящей политики.

1.3.3 Оригинал действующей редакции настоящей политики хранится по адресу нахождения МФО УГФПМП: Удмуртская Республика, г. Ижевск, ул. Свердлова, д. 26, электронная копия настоящей политики доступна на сайте МФО УГФПМП в сети Интернет по адресу: www.udbiz.ru

2. Термины и определения

Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД);

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД;

Автоматизированная обработка персональных данных — обработка ПД с помощью средств вычислительной техники;

Информационная система персональных данных (ИСПД) — совокупность содержащихся в базах данных ПД и обеспечивающих их обработку информационных технологий и технических средств;

Общедоступные персональные данные — ПД, доступ к которым предоставлен для неограниченного круга лиц по согласию субъекта ПД в соответствии с Федеральным законом ФЗ-152 «О персональных данных»;

Блокирование персональных данных — временное прекращение обработки ПД (за исключением случаев, если обработка необходима для уточнения ПД);

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание ПД и (или) в результате которых уничтожаются материальные носители ПД.

3. Обработка персональных данных

3.1 Обработка ПД в МФО УГФПМП осуществляется в соответствии с утвержденными генеральным директором положениями об обработке и защите ПД и инструкцией пользователя ИСПД.

3.2 Получение ПД в МФО УГФПМП от субъекта ПД.

3.2.1 Все ПД МФО УГФПМП получает от самого субъекта ПД, при его письменном согласии. Если ПД субъекта можно получить только у третьей стороны, то субъект ПД получает письменное уведомление об этом или от него должно быть получено согласие.

3.2.2 МФО УГФПМП сообщает субъекту ПД о составе обрабатываемых ПД, источнике их получения, целях, способах и сроках обработки данных ПД, а также о возможных последствиях отказа субъекта ПД от обработки его ПД МФО УГФПМП.

3.2.3 МФО УГФПМП получает ПД в ходе следующих процедур обработки ПД:

- получение оригиналов необходимых документов от субъекта ПД (трудовая книжка, справка о доходах и др.)

- копирование оригиналов документов, предоставленных субъектом ПД (паспорт, свидетельство ИНН, документ об образовании и др.);

- внесение сведений в электронные учетные формы со слов субъекта ПД;

- заполнение заявки на заем субъектом ПД.

3.3 Обработка ПД в МФО УГФПМП осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом № 152-ФЗ «О защите персональных данных».

3.3.1 Обработка ПД в МФО УГФПМП осуществляется в следующих случаях:

- с письменного согласия субъекта ПД на обработку его ПД;

- для осуществления и выполнения возложенных законодательством Российской Федерации на МФО УГФПМП функций, полномочий и обязанностей (Федеральный закон от 12.05.1995 «О государственной поддержке малого предпринимательства в Российской Федерации»);

- для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД, а также для заключения договора по инициативе субъекта ПД или договора, по которому субъект ПД будет являться выгодоприобретателем или поручителем.

3.3.2 Цели обработки ПД в МФО УГФПМП:

- осуществление трудовых отношений;

- осуществление гражданско-правовых отношений.

3.3.3 Категории субъектов ПД, обрабатываемых в МФО УГФПМП:

- физические лица, состоящие с МФО УГФПМП в трудовых отношениях;

- физические лица, являющие близкими родственниками сотрудников МФО УГФПМП;

- физические лица, уволившиеся из МФО УГФПМП;

- физические лица, состоящие с МФО УГФПМП в гражданско-правовых отношениях.

3.3.4 Состав ПД обрабатываемых в МФО УГФПМП (весь состав ПД, обрабатываемых в МФО УГФПМП, представлен в утвержденном генеральным директором перечне ПД):

- сведения, полученные при осуществлении трудовых отношений с субъектом ПД (Ф.И.О., паспортные данные, место жительства, ИНН, сведения о воинском учете, образовании, сведения о близких родственниках и др.);

- сведения, полученные при осуществлении гражданско-правовых отношений (Ф.И.О., паспортные данные, местожительства, свидетельство ОГРН, сведения о залоговом имуществе и др.).

3.3.5 Обработка ПД в МФО УГФПМП ведется с использованием средств автоматизации (электронные носители ПД) и без использования средств автоматизации (бумажный документооборот). Отчуждаемые (съемные) носители ПД не используются.

3.4 Хранение ПД в МФО УГФПМП осуществляется в форме, позволяющей определить субъекта ПД, не дольше, чем того требуют цели обработки ПД, за исключением случаев, когда срок хранения ПД установлен Федеральными законами или договором, стороной которого является субъект ПД.

3.4.1 ПД, полученные МФО УГФПМП от субъекта ПД, могут храниться как на бумажных носителях, так и в электронном виде.

3.4.2 ПД на бумажных носителях хранятся в запираемых металлических шкафах и сейфах в защищаемых помещениях.

3.4.3 ПД в электронном виде хранятся на жестких дисках компьютеров сотрудников МФО УГФПМП и файловом сервере.

3.4.4 В МФО УГФПМП программно-аппаратно запрещено использовать отчуждаемые (съемные) носители и размещать электронные документы, содержащие ПД, в открытых электронных каталогах (файлообменниках).

3.5 Уничтожение ПД осуществляется МФО УГФПМП в случае достижения целей обработки ПД в срок, не превышающий 30 (тридцати) дней с даты достижения целей обработки ПД и производится в соответствии с утвержденной генеральным директором инструкции о порядке уничтожения носителей ПД.

3.5.1 Уничтожение носителей ПД на бумажных носителях в МФО УГФПМП производится путем дробления (измельчения), с составлением соответствующего акта об уничтожении носителей ПД.

3.5.2 ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.

3.6 Передача ПД осуществляется МФО УГФПМП в следующих случаях:

- Если субъект ПД выразил свое согласие передачу своих ПД;

- Если передача ПД предусмотрена законодательством Российской Федерации

3.6.1 Перечень организаций, которым передаются ПД МФО УГФПМП:

- Пенсионный фонд РФ для учета (на законных основаниях);

- Налоговые органы РФ (на законных основаниях);

- Банки для начисления заработной платы (на основании договора);

- Иные государственные и муниципальные органы и организации (на основании согласия субъекта ПД или уведомления субъекта ПД о передаче его ПД), если это не нарушает права и законные интересы субъекта ПД.

4. Защита персональных данных

4.1 В соответствии с требованиями нормативных документов в МФО УГФПМП создана система защиты персональных данных (далее — СЗПД), состоящая из подсистем организационной и технической защиты.

- подсистема правовой защиты представляет собой комплекс организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД;

- подсистема технической защиты включает в себя комплекс программных и программно-аппаратных средств, обеспечивающих защиту ПД.

4.2 Основные организационные и технические меры по защите ПД, используемые в МФО УГФПМП:

- Назначено ответственное лицо за обеспечение безопасности ПД, которое осуществляет организацию обработки и защиты ПД, обучение сотрудников МФО УГФПМП требованиям по обработке и защите ПД и контроль над выполнением данных требований, организует прием и обработку обращений и запросов физических и юридических лиц;

- Утвержден состав ПДЭК по проведению организационных и аналитических работ в части защиты ПД и плановых проверочных мероприятий соблюдения сотрудниками МФО УГФПМП требований по обработке ПД;

- Утвержден перечень сотрудников МФО УГФПМП, допущенных к обработке ПД, права их доступа к конкретным носителям ПД и перечень разрешенных действий;

- Описана информационная система МФО УГФПМП, разработана модель актуальных угроз безопасности ПД.

- Установлены индивидуальные пароли доступа сотрудников в информационную систему в соответствии с их производственными обязанностями;

- Разработано техническое задание на СЗПД, утвержден план работ по реализации требований по защите ПД;

- Для защиты от внедрения вредоносных программ используется лицензионное антивирусное средство защиты с регулярно обновляемыми антивирусными базами;

- Обмен ПД с государственными органами и банком осуществляется в защищенном виде, с применением средств шифрования;

- Разграничен доступ в помещения, где ведется обработка ПД, для хранения бумажных носителей ПД предусмотрены запираемые металлические шкафы и сейфы.

- Предусмотрена возможность восстановления ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним или неумышленных действий.

- Сотрудники МФО УГФПМП, участвующие в обработке ПД, прошли инструктаж о порядке и принципах обработки и защиты ПД в соответствии с требованиями законодательства Российской Федерации и нормативными документами МФО УГФПМП по вопросам обработки и защиты ПД.

- В МФО УГФПМП проводится внутренний контроль и аудит безопасности ПД, осуществляются плановые проверки наличия носителей и соблюдения сотрудниками МФО УГФПМП требований по обработке и защите ПД.

5. Основные права субъекта ПД и обязанности МФО УГФПМП

5.1 Субъект ПД имеет право на доступ к своим ПД.

5.2 Субъект ПД имеет право получить от МФО УГФПМП следующие сведения:

- подтверждение факта обработки ПД МФО УГФПМП;

- правовые основания и цели обработки ПД;

- цели и применяемые МФО УГФПМП способы обработки ПД;

- наименование и место нахождения МФО УГФПМП, сведения о лицах (за исключением сотрудников МФО УГФПМП), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с МФО УГФПМП или на основании положений Федерального закона;

- сроки обработки и хранения ПД;

- порядок осуществления субъектом ПД прав, предусмотренных Федеральным законом;

- порядок обращения к МФО УГФПМП и направление ему запросов;

- порядок обжалования действий или бездействия МФО УГФПМП.

5.3 Обязанности МФО УГФПМП при обработке ПД:

- предоставить субъекту ПД информацию о целях, способах, сроках и перечне действий по обработке его ПД;

- уведомить субъект ПД, в случае если его ПД были получены не от субъекта ПД;

- опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему политику МФО УГФПМП в отношении обработки ПД и реализуемых требованиях по защите ПД;

- принимать необходимые правовые, организационные и технические меры по защите ПД от несанкционированного или случайного доступа к ним;

- предоставлять письменные ответы на запросы и обращения субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов ПД;

- предоставлять мотивированный письменный отказ в предоставлении сведений по запросу субъекта ПД.

Наверх