СИСТЕМА УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В АО «МТТ»
Ответственный за применение политики
Заместитель генерального директора по безопасности
Ответственное подразделение за разработку политики
Отдел информационной безопасности
ТЕРМИНЫ И СОКРАЩЕНИЯ
Наименование термина | Сокращение | Определение термина |
---|---|---|
Абонент | физическое или лицо, с которым заключен договор о предоставлении услуг связи | |
Персональные данные | ПДн | любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн) (ст. 3 п.1 Федерального закона №152) |
Биометрические ПДн | сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн (ст. 11 п.1 Федерального закона №152) | |
Оператор ПДн | государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия, совершаемые с ПДн (ст. 3 п.2 Федерального закона №152) | |
Обработка ПДн | оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия, совершаемые с ПДн (ст. 3 п.3 Федерального закона №152) | |
Распространение ПДн | действия, направленные на раскрытие ПДн неопределенному кругу лиц (ст. 3 п.4 Федерального закона №152) | |
Предоставление ПДн | действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц (ст. 3 п.6 Федерального закона №152) | |
Блокирование ПДн | временное прекращение обработки ПДн (ст. 3 п.7 Федерального закона №152) | |
Уничтожение ПДн | действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и/или в результате которых уничтожаются материальные носители ПДн (ст. 3 п.8 Федерального закона №152) | |
Обезличивание ПДн | действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн (ст. 3 п.9 Федерального закона №152) | |
Информационная система ПДн | ИСПДн | совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств (ст. 3 п.10 Федерального закона №152) |
Трансграничная передача ПДн | передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (ст. 3 п.11 Федерального закона №152) | |
Внутренний распорядительный документ | ВРД | внутренний распорядительный документ АО «МТТ» |
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Целью Политики является закрепление принимаемых АО «МТТ» мер, направленных на обеспечение выполнения АО «МТТ» обязанностей, предусмотренных Законодательством о ПДн, в целях соблюдения и защиты прав и свобод субъекта ПДн при их обработке АО «МТТ».
1.2. Политика разработана в соответствии с Конституцией Российской Федерации, положениями Федерального закона «О персональных данных» №152-ФЗ от 27 июля 2006г., Трудового кодекса Российской Федерации, постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Политики об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», приказа ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», а также иных нормативных правовых актов, регулирующих порядок обработки персональных данных и защиты прав субъектов персональных данных и действует в отношении всех обрабатываемых в АО «МТТ» ПДн.
1.3. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в АО «МТТ» вопросы обработки персональных данных.
1.4. Во всех случаях, не урегулированных настоящей Политикой, необходимо руководствоваться действующим законодательством Российской Федерации.
2. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. АО «МТТ» является оператором ПДн, самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку ПДн, а также определяет цели обработки ПДн, состав ПДн, подлежащих обработке и действия, совершаемые с ПДн.
2.2. Обработка персональных данных субъектов ПДн осуществляется в следующих целях:
- предоставление услуг связи и выполнения требований законодательства о связи;
- обеспечение трудовых и производственных процессов и выполнения требований законодательства РФ, связанного с трудовыми отношениями;
- предоставление услуг, неразрывно связанных с услугами связи;
- учет и регистрация посетителей офиса АО «МТТ»;
- выполнение иных требований законодательства РФ.
2.3. Обработка ПДн должна осуществляться на законной и справедливой основе, то есть обработке подлежат только ПДн, которые отвечают целям их обработки, а также обработка ПДн должна ограничиваться достижением целей, представленных в пункте 2.2. настоящей Политики.
2.4. При обработке ПДн должны быть обеспечены их точность, достаточность и актуальность по отношению к целям обработки ПДн. В АО «МТТ» должны приниматься необходимые меры по удалению или уточнению неполных или неточных данных. Ответственность за своевременное предоставление в АО «МТТ» сведений об изменении ПДн, обрабатываемых в ИСПДн АО «МТТ», возлагается на Субъектов ПДн.
2.5. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2.6. Обработка в АО «МТТ» специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не осуществляется.
2.7. Биометрические ПДн, которые используются АО «МТТ» для установления личности субъекта ПДн, могут обрабатываться в ИСПДн АО «МТТ» только при наличии согласия в письменной форме субъекта ПДн, за исключением случаев, установленных Федеральным законом №152-ФЗ «О персональных данных».
2.8. Обработка ПДн в АО «МТТ» осуществляется:
- работниками АО «МТТ»;
- другими лицами, выполняющими обработку ПДн по поручению АО «МТТ».
2.9. Обработка ПДн другими лицами может осуществляться только на основании соответствующего договора с АО «МТТ», в котором содержится поручение на обработку ПДн. Поручение включает в себя: перечень действий с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки, а также определена ответственность за соблюдение конфиденциальности ПДн и обеспечение безопасности ПДн при их обработке.
2.10. Обработка персональных данных в АО «МТТ» осуществляется следующими способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных (в ИСПДн);
- смешанная обработка персональных данных.
2.11. Сроки обработки ПДн определяются в соответствии со сроком действия договора с субъектом ПДн, сроками исковой давности, а также иными сроками, установленными законодательством РФ и ВРД АО «МТТ».
2.12. ПДн, срок обработки которых истек, должны быть уничтожены, если иное не предусмотрено законодательством Российской Федерации. Хранение ПДн после истечения срока хранения допускается только после их обезличивания.
3. ОБЕСПЕЧЕНИЕ ПРАВ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку добровольно. Согласие на обработку ПДн может быть дано субъектом персональных данных или его представителем в любой форме, позволяющей подтвердить факт его получения, если иное не установлено федеральным законом.
3.2. Обязанность предоставить доказательство получения согласия субъекта ПДн на обработку его персональных данных или доказательство наличия оснований, указанных в Федеральном законе от 27.07.2006 №152-ФЗ «О персональных данных», возлагается на АО «МТТ».
3.3. Субъект ПДн имеет право на получение информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Субъект ПДн вправе требовать от АО «МТТ» уточнения его персональных данных, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3.4. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
- подтверждение факта обработки ПДн оператором;
- правовые основания и цели обработки ПДн;
- цели и способы обработки ПДн;
- сроки обработки ПДн, в том числе сроки их хранения;
- информацию об осуществленной или о предполагаемой трансграничной передаче ПДн;
- наименование и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» или другими федеральными законами.
3.5. Обработка ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, допускается только при условии предварительного согласия субъекта ПДн. АО «МТТ» обязано немедленно прекратить по требованию субъекта персональных данных обработку его ПДн в вышеуказанных целях.
4. ПОЛУЧЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Обработка персональных данных осуществляется с согласия субъектов ПДн на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
4.2. В случае недееспособности субъекта ПДн письменное согласие на обработку его ПДн получается от его законного представителя.
4.3. ПДн могут быть получены АО «МТТ» от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных».
5. ПРЕДОСТАВЛЕНИЕ И ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. При предоставлении ПДн третьей стороне должны выполняться следующие условия:
- передача ПДн третьей стороне осуществляется на основании действующего законодательства РФ;
- наличие письменного согласия субъекта ПДн на передачу его ПДн третьей стороне, за исключением случаев, предусмотренных законодательством.
5.2. Трансграничная передача ПДн на территорию иностранных государств АО «МТТ» не осуществляется.
5.3. Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов.
6. БЛОКИРОВАНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Основанием блокирования АО «МТТ» ПДн, относящихся к соответствующему субъекту ПДн, является:
- обращение или запрос субъекта ПДн при условии подтверждения факта недостоверности, устаревания, неполноты персональных данных, отсутствия необходимости в них для заявленной цели обработки, неправомерных действий с ними, незаконного их получения;
- обращение или запрос законного представителя субъекта при условии подтверждения факта недостоверности, устаревания, неполноты персональных данных, отсутствия необходимости в них для заявленной цели обработки, неправомерных действий с ними, незаконного их получения;
- обращение или запрос уполномоченного органа по защите прав субъектов персональных данных при условии подтверждения факта недостоверности, устаревания, неполноты персональных данных, отсутствия необходимости в них для заявленной цели обработки, неправомерных действий с ними, незаконного их получения.
6.2. Основанием для уничтожения ПДн, обрабатываемых в ИСПДн АО «МТТ», является:
- достижение цели обработки ПДн;
- утрата необходимости в достижении цели обработки ПДн;
- отзыв субъектом ПДн согласия на обработку своих ПДн, за исключением случаев, когда обработка указанных ПДн является обязательной в соответствии с законом РФ или договором;
- выявление неправомерных действий с ПДн и невозможности устранения допущенных нарушений в срок, не превышающий трех рабочих дней с даты такого выявления;
- истечение срока хранения ПДн, установленного законодательством РФ и ВРД АО «МТТ»;
- предписание уполномоченного органа по защите прав субъектов ПДн, Прокуратуры России или решение суда.
7. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ
7.1. При обработке ПДн в ИСПДн АО «МТТ» реализуются правовые, организационные и технические меры для защиты ПДн от неправомерных действий в отношении ПДн.
7.2. Обеспечение безопасности ПДн осуществляется в рамках установления в АО «МТТ» режима безопасности информации конфиденциального характера.
7.3. Обеспечение безопасности ПДн достигается:
- определением угроз безопасности ПДн при их обработке в ИСПДн;
- применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн;
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
- учетом машинных носителей ПДн;
- обнаружением фактов несанкционированного доступа к ПДн и принятием мер к блокированию каналов несанкционированного доступа;
- восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
- контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ПДн в ИСПДн.
7.4. Обеспечение безопасности тайны связи и сведений об абонентах при обработке информации в системах и сетях связи осуществляется в соответствии с требованиями законодательства Российской Федерации о связи.
7.5. Обеспечение безопасности ПДн, обрабатываемых в информационных системах при обеспечении оперативно-розыскных мероприятий, осуществляется в соответствии с законодательством РФ об оперативно-розыскной деятельности.
7.6. Уровни защищенности ПДн при их обработке в ИСПДн АО «МТТ», требования к защите ПДн, обеспечивающих уровни защищенности ПДн, определяются в зависимости от угроз безопасности персональным данным с учетом возможного вреда субъекту ПДн, объема и содержания обрабатываемых ПДн, вида деятельности, при осуществлении которого обрабатываются ПДн, актуальности (уровня) угроз безопасности ПДн в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Постановлениями Правительства РФ, иными нормативными правовыми актами, а также договорами между АО «МТТ», операторами ПДн и субъектами ПДн.
8. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Работники АО «МТТ», виновные в нарушении требований законодательства РФ о ПДн, а также положений настоящей политики, несут предусмотренную законодательством Российской Федерации ответственность.
8.2. Моральный вред, причиненный субъекту ПДн вследствие нарушения его прав, нарушения правил обработки ПДн, а также требований к защите ПДн подлежит возмещению в соответствии с законодательством Российской Федерации.
9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
9.1. Настоящая Политика является общедоступной и опубликована на Интернет-сайтах АО «МТТ» по следующим адресам:
9.2. Настоящая Политика подлежит пересмотру в соответствии с ВРД АО «МТТ».
9.3. Лица, чьи персональные данные обрабатываются АО «МТТ», могут получить разъяснения по вопросам обработки своих персональных данных, направив соответствующий письменный запрос по почтовому адресу: 109147, Москва, ул. Марксистская, дом 22, стр.1 или в электронной форме по адресу: office@mtt.ru