close

Вход

Забыли?

вход по аккаунту

код для вставкиСкачать
УТВЕРЖДЕНО
приказом ОАО «Омскоблгаз»
от 31 марта 2014 г. № 101
Политика обработки персональных данных
в информационных системах персональных данных
Открытого акционерного общества «Омскоблгаз»
г. Омск 2014
ОГЛАВЛЕНИЕ
Перечень обозначений и сокращений .........................................................................................3
1. Общие положения ...................................................................................................................3
2. Законодательная и нормативно-правовая база ....................................................................3
3. Основные термины, понятия и определения........................................................................4
4. Принципы и цели обработки персональных данных ..........................................................5
5. Перечень субъектов, персональные данные которых обрабатываются в ОАО
«Омскоблгаз» .................................................................................................................................6
6. Перечень персональных данных, обрабатываемых в ОАО «Омскоблгаз» .......................7
7. Функции, осуществляемые ОАО «Омскоблгаз» при обработке персональных данных .7
8. Условия обработки персональных данных и их передача третьим лицам .......................8
9. Перечень действий с персональными данными и способы их обработки ......................10
10.
Права субъекта персональных данных ...........................................................................10
11. Меры, принимаемые ОАО «Омскоблгаз» для обеспечения выполнения
обязанностей оператора при обработке персональных данных .............................................11
12. Контроль за соблюдением законодательства российской федерации и локальных
нормативных актов ОАО «Омскоблгаз» в области обработки персональных данных, в том
числе требований к защите персональных данных ..................................................................14
13.
Ответственность ...............................................................................................................14
14.
Изменение политики ........................................................................................................14
ПЕРЕЧЕНЬ ОБОЗНАЧЕНИЙ И СОКРАЩЕНИЙ
ИС
ПДн
ИСПДн
СЗИ
СКЗИ
- информационная система
- персональные данные
- ИС персональных данных
- средства защиты информации
- средства криптографической защиты информации
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика обработки персональных данных (далее – Политика)
Открытого акционерного общества «Омскоблгаз» (далее – ОАО «Омскоблгаз») является
официальным документом, определяющим политику ОАО «Омскоблгаз» в отношении
обработки персональных данных (далее – ПДн) в информационных системах
персональных данных, принадлежащих ОАО «Омскоблгаз».
1.2. Настоящая Политика является открытым документом и предназначена для
ознакомления с ней неограниченного круга лиц.
1.3. Политика разработана в соответствии с требованиями законодательства
Российской Федерации в области обработки и защиты персональных данных.
1.4. В Политике определены основные принципы, цели, условия и способы
обработки персональных данных и их передачи третьим лицам, перечни субъектов ПДн,
обрабатываемых в ИСПДн ОАО «Омскоблгаз», функции ОАО «Омскоблгаз», методы
защиты ПДн, реализуемые в ИСПДн ОАО «Омскоблгаз», права субъектов ПДн и
ответственность ОАО «Омскоблгаз».
2. ЗАКОНОДАТЕЛЬНАЯ И НОРМАТИВНО-ПРАВОВАЯ БАЗА
Настоящая Политика разработана в соответствии со следующими нормативными
правовыми актами:
2.1. Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ.
2.2. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
2.3. Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении
Перечня сведений конфиденциального характера».
2.4. Постановление Правительства Российской Федерации от 06.07.2008 №512 «Об
утверждении требований к материальным носителям биометрических персональных
данных и технологиям хранения таких данных вне информационных систем
персональных данных».
2.5. Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об
утверждении Положения об особенностях обработки персональных данных,
осуществляемой без использования средств автоматизации».
2.6. Постановление Правительства Российской Федерации от 01.11.2012 № 1119
«Об утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных».
2.7. Приказ Федеральной службы по техническому и экспортному контролю от
18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических
мер по обеспечению безопасности персональных данных при их обработке в
информационных системах персональных данных».
2.8. Приказ Федеральной службы по надзору в сфере связи, информационных
технологий и массовых коммуникаций от 05.09.2013 № 996 «Об утверждении требований
и методов по обезличиванию персональных данных».
2.9. Иные нормативные правовые акты органов государственной власти
Российской Федерации.
3. ОСНОВНЫЕ ТЕРМИНЫ, ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ
В настоящей Политике используются следующие основные термины, понятия и
определения:
3.1. Информация – сведения (сообщения, данные) независимо от формы их
представления.
3.2. Персональные данные - любая информация, относящаяся к прямо или косвенно
определенному или определяемому физическому лицу (субъекту персональных данных).
3.3. Оператор – государственный орган, муниципальный орган, юридическое или
физическое лицо, самостоятельно или совместно с другими лицами организующие и (или)
осуществляющие обработку персональных данных, а также определяющие цели
обработки персональных данных, состав персональных данных, подлежащих обработке,
действия (операции), совершаемые с персональными данными.
3.4. Обработка персональных данных – любое действие (операция) или
совокупность действий (операций), совершаемых с использованием средств
автоматизации или без использования таких средств с персональными данными, включая
сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение),
извлечение, использование, передачу (распространение, предоставление, доступ),
обезличивание, блокирование, удаление, уничтожение персональных данных.
3.5. Автоматизированная обработка персональных данных – обработка
персональных данных с помощью средств вычислительной техники.
3.6. Распространение персональных данных – действия, направленные на
раскрытие персональных данных неопределенному кругу лиц.
3.7. Предоставление персональных данных – действия, направленные на раскрытие
персональных данных определенному лицу или определенному кругу лиц.
3.8. Блокирование персональных данных – временное прекращение обработки
персональных данных (за исключением случаев, если обработка необходима для
уточнения персональных данных).
3.9. Уничтожение персональных данных – действия, в результате которых
становится невозможным восстановить содержание персональных данных в
информационной системе персональных данных и (или) в результате которых
уничтожаются материальные носители персональных данных.
3.10. Обезличивание персональных данных – действия, в результате которых
становится невозможным без использования дополнительной информации определить
принадлежность персональных данных конкретному субъекту персональных данных.
3.11. Информационная система персональных данных – совокупность
содержащихся в базах данных персональных данных и обеспечивающих их обработку
информационных технологий и технических средств.
4. ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Целью настоящей Политики является обеспечение обработки ПДн в
соответствии с требованиями действующего законодательства в сфере защиты ПДн,
обеспечение безопасности ПДн, обрабатываемых в ИСПДн ОАО «Омскоблгаз», от всех
видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация
ущерба от возможной реализации угроз безопасности ПДн.
4.2. Безопасность ПДн достигается путем исключения несанкционированного, в
том числе случайного, доступа к ПДн, результатом которого может стать уничтожение,
изменение, блокирование, копирование, распространение ПДн, а также иных
несанкционированных действий.
4.3. Обработка ПДн в ОАО «Омскоблгаз» осуществляется с учетом необходимости
обеспечения защиты прав и свобод работников ОАО «Омскоблгаз» и иных субъектов
персональных данных, в том числе защиты права на неприкосновенность частной жизни,
личную и семейную тайну.
4.4. При обработке ПДн ОАО «Омскоблгаз» придерживается следующих
принципов:
- соблюдение законности получения, обработки, хранения, а также иных
действий, совершаемых с ПДн;
- ограничение обработки ПДн достижением конкретных, заранее определенных и
законных целей;
- обработка ПДн исключительно в законных целях, перечисленных в п. 3
настоящей Политики;
- хранение ПДн, обработка которых осуществляется с несвязанными между собой
целями, в различных базах данных;
- обработка только тех ПДн, которые минимально необходимы для достижения
заявленных целей обработки; не допускается избыточность обрабатываемых
персональных данных по отношению к заявленным целям их обработки;
- выполнение мер по обеспечению безопасности ПДн, их точности,
достаточности и других характеристик при обработке и хранении;
- соблюдение прав субъекта ПДн на доступ к его ПДн;
- соблюдение требований по уничтожению либо обезличиванию ПДн по
достижении целей обработки или в случае утраты необходимости в достижении этих
целей.
4.5. Персональные данные в ОАО «Омскоблгаз» обрабатываются в целях:
- обеспечения соблюдения требований Конституции Российской Федерации,
законодательных и иных нормативных правовых актов Российской Федерации, локальных
нормативных актов ОАО «Омскоблгаз»;
- осуществления функций, полномочий и обязанностей, возложенных
законодательством Российской Федерации на ОАО «Омскоблгаз», в том числе по
предоставлению персональных данных в органы государственной власти (Пенсионный
фонд Российской Федерации, Фонд социального страхования Российской Федерации,
Федеральный фонд обязательного медицинского страхования, а также иные органы
государственной власти);
- регулирования трудовых отношений с работниками ОАО «Омскоблгаз»
(содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной
безопасности, контроль количества и качества выполняемых работ, обеспечение
сохранности имущества);
- предоставления работникам ОАО «Омскоблгаз» и членам их семей
дополнительных гарантий и компенсаций, в том числе негосударственного пенсионного
обеспечения, добровольного медицинского страхования, медицинского обслуживания и
других видов социального обеспечения;
- обеспечения кадровой деятельности и ведения кадрового резерва;
- защиты жизни, здоровья или иных жизненно важных интересов субъектов
персональных данных;
- подготовки, заключения, исполнения и прекращения договорных отношений с
контрагентами;
- обеспечения пропускного и внутриобъектового режимов на объектах ОАО
«Омскоблгаз»;
- формирования справочных материалов для внутреннего информационного
обеспечения деятельности группы лиц ОАО «Омскоблгаз»;
- исполнения судебных актов, актов других органов или должностных лиц,
подлежащих исполнению в соответствии с законодательством Российской Федерации;
- осуществления прав и законных интересов ОАО «Омскоблгаз» в рамках
осуществления видов деятельности, предусмотренных Уставом и иными локальными
нормативными актами ОАО «Омскоблгаз», или третьих лиц либо достижение
общественно значимых целей;
- в иных законных целях.
5. ПЕРЕЧЕНЬ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ
ОБРАБАТЫВАЮТСЯ В ОАО «ОМСКОБЛГАЗ»
5.1. В ИСПДн ОАО «Омскоблгаз» производится обработка ПДн следующих
категорий субъектов ПДн:
- лица, являющиеся работниками ОАО «Омскоблгаз», в том числе бывшие
работники;
- лица, связанные с работниками ОАО «Омскоблгаз», чьи данные необходимо
обрабатывать в соответствии с трудовым и иным законодательством (для выплаты
алиментов по решению суда, в целях заполнения унифицированной формы № Т-2 в
соответствии с трудовым законодательством и т.д.);
- соискатели на замещение вакантных должностей;
- контрагенты, с которыми заключены договоры гражданско-правового характера
(представителей организаций, физических лиц, индивидуальных предпринимателей);
- физические лица, осуществляющие постоянный и разовый доступ на
охраняемую территорию ОАО «Омскоблгаз».
- иные лица, обработка ПДн которых необходима для достижения целей,
указанных в разделе 4 настоящей Политики.
5.2. Обработка ПДн о судимости в ИСПДн ОАО «Омскоблгаз» допускается только
в случаях и в порядке, определенных в соответствии с федеральным законодательством.
5.3. По требованию субъекта ПДн ОАО «Омскоблгаз» обязуется немедленно
прекратить обработку ПДн.
5.4. В ИСПДн ОАО «Омскоблгаз» принятие решений на основании исключительно
автоматизированной обработки ПДн, порождающих юридические последствия в
отношении субъекта ПДн или иным образом затрагивающих его права и законные
интересы, не производится.
6. ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В
ОАО «ОМСКОБЛГАЗ»
6.1. Перечень персональных данных, обрабатываемых в ОАО «Омскоблгаз»,
определяется в соответствии с законодательством Российской Федерации и локальными
нормативными актами ОАО «Омскоблгаз» с учетом целей обработки персональных
данных, указанных в разделе 4 настоящей Политики.
6.2. Обработка специальных категорий персональных данных, касающихся
расовой, национальной принадлежности, политических взглядов, религиозных или
философских убеждений, интимной жизни, в ОАО «Омскоблгаз» не осуществляется.
7. ФУНКЦИИ, ОСУЩЕСТВЛЯЕМЫЕ ОАО «ОМСКОБЛГАЗ» ПРИ
ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
ОАО «Омскоблгаз» при осуществлении обработки персональных данных выполняет
следующие функции:
7.1. Принимает меры, необходимые и достаточные для обеспечения выполнения
требований законодательства Российской Федерации, а также локальных нормативных
актов ОАО «Омскоблгаз» в области обработки персональных данных.
7.2. Принимает правовые, организационные и технические меры для защиты
персональных данных от неправомерного или случайного доступа к ним, уничтожения,
изменения, блокирования, копирования, предоставления, распространения персональных
данных, а также иных неправомерных действий в отношении персональных данных.
7.3. Назначает лицо, ответственное за организацию обработки персональных
данных в ОАО «Омскоблгаз».
7.4. Издает локальные нормативные акты, определяющие политику и вопросы
обработки и защиты персональных данных в ОАО «Омскоблгаз».
7.5. Осуществляет ознакомление работников ОАО «Омскоблгаз», непосредственно
осуществляющих обработку персональных данных, с положениями законодательства
Российской Федерации и локальных нормативных актов ОАО «Омскоблгаз» в области
обработки персональных данных, в том числе с требованиями к защите персональных
данных, и обучение указанных работников.
7.6. Публикует настоящую Политику на Интернет-сайте ОАО «Омскоблгаз» и
обеспечивает неограниченный доступ к ней.
7.7. Сообщает в установленном порядке субъектам персональных данных или их
представителям информацию о наличии персональных данных, относящихся к
соответствующим субъектам, предоставляет возможность ознакомления с этими
персональными данными при обращении и (или) поступлении запросов указанных
субъектов персональных данных или их представителей, если иное не установлено
законодательством Российской Федерации.
7.8. Прекращает обработку и уничтожает персональные данные в случаях,
предусмотренных законодательством Российской Федерации.
7.9. Совершает иные действия, предусмотренные законодательством Российской
Федерации в области обработки персональных данных.
8. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ И ИХ
ПЕРЕДАЧА ТРЕТЬИМ ЛИЦАМ
8.1. Обработка ПДн в ИСПДн ОАО «Омскоблгаз» осуществляется с соблюдением
принципов и правил, предусмотренных Федеральным законом Российской Федерации от
27.07.2006 № 152-ФЗ «О персональных данных».
8.2. Обработка персональных данных в ОАО «Омскоблгаз» осуществляется с
согласия субъекта персональных данных на обработку его персональных данных, если
иное не предусмотрено законодательством Российской Федерации.
8.3. В целях внутреннего информационного обеспечения деятельности группы лиц
ОАО «Омскоблгаз» могут создаваться внутренние справочные материалы, в которые с
письменного согласия субъекта персональных данных, если иное не предусмотрено
законодательством Российской Федерации, могут включаться его фамилия, имя, отчество,
место работы, должность, год и место рождения, адрес, абонентский номер, адрес
электронной почты, иные персональные данные, сообщаемые субъектом персональных
данных.
8.4. К обработке ПДн в ОАО «Омскоблгаз» допускаются только сотрудники,
прошедшие определенную процедуру допуска, к которой относятся:
- ознакомление сотрудника под роспись с локальными нормативными актами ОАО
«Омскоблгаз» (положения, инструкции и т.д.), строго регламентирующими порядок и
процедуру работы с ПДн;
- взятие с сотрудника подписки о соблюдении конфиденциальности в отношении
ПДн при работе с ними, а также при прекращении обработки ПДн, ставших известными
ему в связи с исполнением должностных обязанностей, в случае расторжения с ним
трудового договора;
- получение сотрудником и использование в работе индивидуальных атрибутов
доступа к информационным системам (далее - ИС) ОАО «Омскоблгаз», содержащих ПДн.
При этом каждому сотруднику выдаются минимально необходимые для исполнения
трудовых обязанностей права на доступ в ИСПДн.
8.5. Сотрудники, имеющие доступ к ПДн, получают только те ПДн, которые
необходимы им для выполнения конкретных трудовых функций.
8.6. ПДн в ОАО «Омскоблгаз» хранятся в бумажном и электронном виде. В
электронном виде ПДн хранятся в ИСПДн, а также в архивных копиях баз данных этих
ИСПДн.
8.7. При хранении ПДн соблюдаются организационные и технические меры,
обеспечивающие их сохранность и исключающие несанкционированный доступ к ним. К
ним относятся:
- назначение сотрудника, ответственного за обработку ПДн;
- назначение должностного лица (работника), ответственного за обеспечение
безопасности ПДн в ИСПДн;
- применение утвержденной и поддерживаемой в актуальном состоянии
организационно-распорядительной документации;
- организация режима обеспечения безопасности помещений, в которых размещена
ИСПДн, препятствующего возможности неконтролируемого проникновения или
пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения,
ограничение физического доступа к техническим средствам ИСПДн, средствам защиты
информации, средствам обеспечения функционирования, местам хранения и носителям
ПДн;
- утверждение генеральным директором ОАО «Омскоблгаз» документа,
определяющего перечень лиц, доступ которых к ПДн, обрабатываемым в ИСПДн,
необходим для выполнения ими служебных (трудовых) обязанностей;
- учет всех информационных систем и электронных носителей, а также архивных
копий;
- применение сертифицированных средств защиты информации и средств
криптографической защиты информации (далее – СКЗИ).
8.8. Места хранения носителей ПДн, порядок хранения, учета и уничтожения к ним
регламентируются внутренними документами, утверждаемыми генеральным директором
ОАО «Омскоблгаз».
8.9. Для целей обработки данных ОАО «Омскоблгаз» может передавать ПДн
исключительно своим сотрудникам и третьим лицам, подписавшим личное обязательство
по обеспечению конфиденциальности и безопасности полученных сведений.
8.10. Передача ПДн третьим лицам возможна в исключительных случаях только с
согласия субъекта ПДн и только с целью исполнения обязанностей перед субъектом ПДн
в рамках договора, либо когда такая обязанность у ОАО «Омскоблгаз» наступает в
результате требований федерального законодательства или при поступлении запроса от
уполномоченных государственных органов. В последнем случае ОАО «Омскоблгаз»
ограничивает передачу ПДн запрошенным объемом.
8.11. При передаче ПДн в электронном виде третьим лицам по открытым каналам
связи ОАО «Омскоблгаз» обеспечивает все необходимые меры по защите передаваемой
информации в соответствии с требованиями нормативно-методических документов в
области защиты ПДн.
8.12. Трансграничная передача ПДн в ОАО «Омскоблгаз» не производится.
8.13. ОАО «Омскоблгаз» вправе поручить обработку ПДн другому лицу с
согласия субъекта ПДн (в согласие включаются: наименование или фамилия, имя,
отчество и адрес лица, осуществляющего обработку ПДн по поручению ОАО
«Омскоблгаз»), если иное не предусмотрено федеральным законом, на основании
заключаемого с этим лицом договора. При этом в поручении ОАО «Омскоблгаз»
определяет перечень действий (операций) с ПДн, которые будут совершаться лицом,
осуществляющим обработку ПДн, и цели обработки, устанавливает обязанность такого
лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их
обработке, а также указывает требования к защите обрабатываемых ПДн в соответствии
со ст. 19 Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О
персональных данных».
8.14. Лицо, осуществляющее обработку ПДн по поручению, обязано соблюдать
принципы и правила обработки ПДн, предусмотренные законодательством. В случае
поручения обработки ПДн другому лицу ОАО «Омскоблгаз» несет ответственность перед
субъектом ПДн за действия указанного лица.
9. ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ И
СПОСОБЫ ИХ ОБРАБОТКИ
9.1. ОАО «Омскоблгаз» осуществляет сбор, запись, систематизацию, накопление,
хранение, уточнение (обновление, изменение), извлечение, использование, передачу
(распространение, предоставление, доступ), обезличивание, блокирование, удаление и
уничтожение персональных данных.
9.2. Обработка персональных данных в ОАО «Омскоблгаз» осуществляется
следующими способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных с передачей полученной
информации по информационно-телекоммуникационным сетям или без таковой;
смешанная обработка персональных данных.
10.ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
Субъекты ПДн имеют право на:
10.1. Получение информации, касающейся обработки его ПДн, за исключением
случаев, когда право субъекта ПДн на доступ к ПДн может быть ограничено в
соответствии с федеральными законами.
В частности, субъект ПДн имеет право на получение следующей информации,
касающейся обработки его ПДн:
- подтверждение факта обработки ПДн;
- правовые основания и цели обработки ПДн;
- цели и применяемые способы обработки ПДн;
- сведения о лицах (за исключением сотрудников ОАО «Омскоблгаз»), которые
имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора или
на основании федерального закона;
- обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн,
источник их получения;
- сроки обработки ПДн, в том числе сроки их хранения;
- порядок осуществления субъектом ПДн своих прав;
- иные сведения, предусмотренные Федеральным законом от 27 июля 2006 г.
№ 152-ФЗ «О персональных данных» или другими нормативно-правовыми актами
Российской Федерации.
Получить данную информацию субъект ПДн может, обратившись с письменным
запросом в ОАО «Омскоблгаз». Содержание запроса должно соответствовать
требованиям п. 3 ст. 14 Федерального закона Российской Федерации от 27.07.2006 № 152ФЗ «О персональных данных». Ответ, содержащий запрашиваемую информацию, либо
мотивированный отказ в ее предоставлении направляется по адресу, указанному в
запросе, в течение 30 дней.
Порядок обработки запросов субъектов ПДн по выполнению их законных прав в
ОАО «Омскоблгаз» производится согласно утвержденному внутреннему документу,
разработанному в соответствии с действующим законодательством в области защиты
ПДн и подконтролен сотруднику, ответственному за организацию обработки ПДн.
10.2. Доступ к своим персональным данным, включая право на получение копии
любой записи, содержащей их персональные данные, за исключением случаев,
предусмотренным законодательством Российской Федерации.
10.3. Уточнение своих персональных данных, их блокирование или уничтожение
в случае, если персональные данные являются неполными, устаревшими, неточными,
незаконно полученными или не являются необходимыми для заявленной цели обработки.
10.4. Отзыв согласия на обработку персональных данных.
10.5. Принятие предусмотренных законодательством Российской Федерации мер по
защите своих прав.
10.6. Обжалование действия или бездействия ОАО «Омскоблгаз», осуществляемого
с нарушением требований законодательства Российской Федерации в области персональных
данных, в уполномоченный орган по защите прав субъектов персональных данных или суд.
10.7. Осуществление иных прав, предусмотренных законодательством Российской
Федерации.
11.МЕРЫ, ПРИНИМАЕМЫЕ ОАО «ОМСКОБЛГАЗ» ДЛЯ
ОБЕСПЕЧЕНИЯ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА
ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. ОАО «Омскоблгаз» обязуется осуществлять обработку ПДн только с согласия
субъектов ПДн, за исключением случаев, предусмотренных Федеральным законом
Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
11.2. При сборе ПДн ОАО «Омскоблгаз» обязуется по запросу субъекта ПДн
предоставлять информацию, касающуюся обработки его ПДн, перечисленную в п. 11
настоящей Политики. В случае если предоставление ПДн является обязательным в
соответствии с федеральным законом, ОАО «Омскоблгаз» обязуется разъяснять субъекту
ПДн юридические последствия отказа предоставить его ПДн.
11.3. Если ПДн получены не от субъекта ПДн, ОАО «Омскоблгаз» до начала
обработки таких ПДн обязуется предоставить субъекту ПДн сведения, касающиеся
обработки его ПДн, за исключением случаев, предусмотренных ч. 4 ст. 18 Федерального
закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных». В случаях если ОАО
«Омскоблгаз» не является оператором ПДн, полученных от субъектов ПДн, обязанность
по предоставлению субъекту ПДн соответствующих сведений возлагается на оператора
ПДн, от которого эти данные получены.
11.4. ОАО «Омскоблгаз» при обработке ПДн обязуется принимать необходимые
правовые, организационные и технические меры или обеспечивать их принятие для
защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения,
блокирования, копирования, предоставления, распространения ПДн, а также от иных
неправомерных действий в отношении ПДн. Перечень принимаемых мер включает в себя:
- введение в ОАО «Омскоблгаз» режима защиты ПДн;
- назначение сотрудников, ответственных за организацию обработки ПДн, а
также за обеспечение безопасности ПДн в ИСПДн;
- назначение ответственного пользователя криптосредств;
- проведение аудита ИСПДн ОАО «Омскоблгаз», содержащих ПДн, и
определением требуемого уровня защищенности ПДн, обрабатываемых в ИСПДн;
- определение угроз безопасности ПДн при их обработке в ИСПДн и разработка
Модели угроз безопасности ПДн;
- утверждение генеральным директором ОАО «Омскоблгаз» перечня лиц, доступ
которым к ПДн, обрабатываемым в ИСПДн, необходим для выполнения ими служебных
(трудовых) обязанностей;
- организацию режима обеспечения безопасности помещений, в которых
размещены ИСПДн, препятствующего возможности неконтролируемого проникновения
или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
- обеспечение сохранности носителей ПДн, а также учет машинных носителей
ПДн;
- определение правил доступа к ПДн, обрабатываемым в ИСПДн, а также
обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
- обнаружение фактов несанкционированного доступа к ПДн и принятие
соответствующих мер;
- восстановление ПДн, модифицированных или уничтоженных вследствие
несанкционированного доступа к ним;
- разработку и утверждение локальных нормативных актов ОАО «Омскоблгаз»,
регламентирующих порядок обработки ПДн, а также разработка для пользователей и
ответственных лиц рабочих инструкций;
- контроль за принимаемыми мерами по обеспечению безопасности ПДн и
уровнем защищенности ПДн, обрабатываемых в ИСПДн;
- проведение периодического обучения и повышение осведомленности
сотрудников в области защиты ПДн, ознакомлением сотрудников, непосредственно
осуществляющих обработку ПДн, с положениями законодательства Российской
Федерации о ПДн, в том числе требованиями к защите ПДн, документами,
определяющими политику ОАО «Омскоблгаз» в отношении обработки ПДн, локальными
актами по вопросам обработки ПДн;
- реализацию технических мер, снижающих вероятность реализаций угроз
безопасности ПДн, при помощи сертифицированных средств защиты информации и
СКЗИ;
- проведение периодических проверок состояния защищенности ИСПДн ОАО
«Омскоблгаз».
11.5. ОАО «Омскоблгаз» обязуется отвечать на запросы субъектов ПДн, их
представителей, а также уполномоченного органа по защите прав субъектов ПДн
касательно обрабатываемых ПДн в соответствии с требованиями законодательства.
11.6. В случае предоставления субъектом ПДн либо его представителем сведений,
подтверждающих факты каких-либо нарушений в процессе обработки ПДн, ОАО
«Омскоблгаз» обязуется устранить данные нарушения в течение семи рабочих дней и
уведомить субъекта ПДн о внесенных изменениях и предпринятых мерах.
11.7. В случае достижения целей обработки ПДн ОАО «Омскоблгаз» обязуется
прекратить обработку ПДн и уничтожить ПДн в течение 7 дней, если иное не
предусмотрено условиями договора, заключенного с субъектом ПДн, либо иным
соглашением.
11.8. ОАО «Омскоблгаз» обязуется уведомлять уполномоченный орган по защите
прав субъектов ПДн о своем намерении осуществлять обработку ПДн, за исключением
случаев, предусмотренных Федеральным законом Российской Федерации от 27 июля 2006
г. № 152-ФЗ «О персональных данных». В случае изменения предоставленных сведений
ОАО «Омскоблгаз» обязуется предоставлять актуализированные сведения в течение
десяти рабочих дней с даты возникновения таких изменений или с даты прекращения
обработки ПДн.
11.9. Лицо, ответственное за организацию обработки персональных данных и
назначаемое приказом ОАО «Омскоблгаз», получает указания от руководства ОАО
«Омскоблгаз» и подотчетно ему.
11.10. Лицо, ответственное за организацию обработки персональных данных, в
частности, обязано организовывать:
- внутренний контроль за соблюдением работниками ОАО «Омскоблгаз»
законодательства Российской Федерации в области обработки персональных данных, в
том числе требований к защите персональных данных;
- доведение до сведения работников ОАО «Омскоблгаз» положений
законодательства Российской Федерации, локальных нормативных актов ОАО
«Омскоблгаз» в области обработки персональных данных, в том числе требований к
защите персональных данных;
- контроль за приемом и обработкой обращений и запросов субъектов
персональных данных или их представителей.
12.КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА
РОССИЙСКОЙ ФЕДЕРАЦИИ И ЛОКАЛЬНЫХ НОРМАТИВНЫХ
АКТОВ ОАО «ОМСКОБЛГАЗ» В ОБЛАСТИ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ, В ТОМ ЧИСЛЕ ТРЕБОВАНИЙ К
ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
12.1. Контроль за соблюдением структурными подразделениями ОАО
«Омскоблгаз» законодательства Российской Федерации, локальных нормативных актов
ОАО «Омскоблгаз» в области обработки персональных данных, в том числе требований к
защите персональных данных, осуществляется с целью проверки соответствия обработки
персональных данных в ОАО «Омскоблгаз» законодательству Российской Федерации,
локальным нормативным ОАО «Омскоблгаз» в области обработки персональных данных,
в том числе требованиям к защите персональных данных, а также принятых мер,
направленных на предотвращение и выявление нарушений законодательства Российской
Федерации в области обработки персональных данных, выявления возможных каналов
утечки и несанкционированного доступа к персональным данным, устранения последствий
таких нарушений.
12.2. Внутренний контроль за соблюдением структурными подразделениями ОАО
«Омскоблгаз» законодательства Российской Федерации, локальных нормативных актов
ОАО «Омскоблгаз» в области обработки персональных данных, в том числе требований к
защите персональных данных, осуществляет ОАО «Омскоблгаз».
12.3. Персональная
ответственность
за
соблюдение
структурными
подразделениями ОАО «Омскоблгаз» требований законодательства Российской Федерации,
локальных нормативных актов ОАО «Омскоблгаз» в области обработки персональных
данных, в том числе требований к защите персональных данных, возлагается на
начальников структурных подразделений ОАО «Омскоблгаз».
13.ОТВЕТСТВЕННОСТЬ
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту
ПДн в ОАО «Омскоблгаз», привлекаются к дисциплинарной, материальной, гражданскоправовой, административной и уголовной ответственности в порядке, установленном
действующим законодательством.
14.ИЗМЕНЕНИЕ ПОЛИТИКИ
В целях обеспечения пригодности, адекватности и эффективности, настоящая
Политика подлежит пересмотру не реже одного раза в год с момента ее опубликования.
Политика подлежит внеплановому пересмотру в случае существенных изменений
деятельности ОАО «Омскоблгаз», изменений в законодательстве в области защиты ПДн и
иных подобных случаях.
1/--страниц
Пожаловаться на содержимое документа