Карта сайта

Телефон приемной: 8 (8652) 94-53-90
Электронная почта: mail@sgrc.ru

Политика обработки персональных данных АО «Ставропольский городской расчётный центр»

Утверждена Генеральным директом АО «СГРЦ»
24.05.2021 г.

Политика обработки персональных данных в 
АО «Ставропольский городской расчётный центр»

  
     

1.Общие положения

1.1. Настоящая Политика обработки персональных данных (далее – Политика):

является основополагающим внутренним документом АО «Ставропольский городской расчётный центр» (далее – АО «СГРЦ»), регулирующим вопросы обработки персональных данных;

разработана в целях обеспечения соответствия с законодательством Российской Федерации обработки, хранения и защиты персональных данных сотрудников, граждан;

раскрывает основные категории персональных данных, обрабатываемых АО «СГРЦ», цели и принципы обработки АО «СГРЦ», а также перечень мер, применяемых АО «СГРЦ» в целях обеспечения безопасности персональных данных при их обработке;

предназначена для сотрудников АО «СГРЦ», осуществляющих обработку персональных данных в целях непосредственной реализации ими закрепленных в Политике принципов, а также является информационным ресурсом для субъектов персональных данных, позволяющим определить концептуальные основы деятельности АО «СГРЦ» при обработке персональных данных.

2.Источники нормативного правового регулирования вопросов обработки персональных данных

2.1.Политика АО «СГРЦ» в области обработки персональных данных определяется на основании следующих нормативных правовых актов РФ:

Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;

Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

Федеральный закон от 27.07.2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации»;

Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства Российской Федерации от 15 сентября 2008 г № 687;

Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные Постановлением Правительства Российской Федерации от 1 ноября 2012 г. №1119;

Указ Президента РФ от 06.03.1997 №188 «Об утверждении перечня сведений конфиденциального характера»;

Конституция Российской Федерации;

Трудовой кодекс Российской Федерации;

Гражданский кодекс Российской Федерации;

Налоговый кодекс Российской Федерации;

Уголовный кодекс Российской Федерации;

нормативные и методические документы ФСБ России, ФСТЭК России, Роскомнадзора.

2.2.Во исполнение настоящей Политики в АО «СГРЦ» приказами утверждаются следующие локальные нормативные правовые акты:

Инструкция ответственного за обеспечение безопасности и обработку персональных данных;

Инструкция администратора информационной безопасности информационных систем персональных данных;

Инструкция администратора информационных систем персональных данных;

Инструкция по действиям пользователей информационных систем персональных данных в нештатных ситуациях;

Инструкция по организации антивирусной защиты информационных систем персональных данных;

Инструкция по порядку проведения проверок состояния защиты персональных данных;

План внутренних проверок состояния защиты персональных данных;

Инструкция Пользователя информационных систем персональных данных;

Перечень персональных данных, обрабатываемых в АО «СГРЦ»;

План мероприятий по защите персональных данных;

Положение о порядке организации и проведению работ по обработке и защите персональных данных, обрабатываемых в информационных системах персональных данных АО «СГРЦ»;

Акты классификации информационных систем персональных данных АО «СГРЦ»;

Модель угроз и нарушителя безопасности персональных данных информационных систем персональных данных АО «СГРЦ» (в составе «Аналитического обоснования необходимости создания системы защиты персональных данных АО «СГРЦ»);

и иные локальные документы АО «СГРЦ», принимаемые во исполнение требований действующих нормативных правовых актов Российской Федерации в области обработки персональных данных.

3.Основные термины и понятия, используемые во внутренних нормативных актах АО «СГРЦ», принимаемых по вопросу обработки персональных данных

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

Персональные данные (далее также – ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Предоставление персональных данных – действия, направленные на раскрытие ПДн определенному кругу лиц.

Распространение персональных данных – действия, направленные на раскрытие ПДн неопределенному кругу, в том числе обнародование ПДн в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПДн каким-либо иным способом.

Блокирование персональных данных – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители ПДн.

Информационная система персональных данных – информационная система, представляющая собой совокупность содержащихся в базе данных ПДн и их обработку, информационных технологий и технических средств.

Конфиденциальная информация – информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся её владельцем.

Трансграничная передача персональных данных – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

4.Принципы обработки персональных данных

Обработка ПДн в АО «СГРЦ» осуществляется на основе следующих принципов:

Законности и справедливости обработки ПДн.

Законности целей и способов обработки ПДн и добросовестности.

Соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям АО «СГРЦ».

Соответствия содержания и объема обрабатываемых ПДн целям обработки ПДн.

Достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн.

Недопустимости объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.

Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Субъект ПДн является собственником своих ПДн и самостоятельно решает вопрос передачи АО «СГРЦ» своих ПДн.

Держателем ПДн является АО «СГРЦ», которому субъект ПДн передает во владение свои ПДн. АО «СГРЦ» выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.

5.Меры по защите персональных данных

Комплекс мер по защите ПДн направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности ПДн и обеспечивает безопасность информации в процессе деятельности АО «СГРЦ».

АО «СГРЦ» при обработке ПДн обязано принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий, в соответствии с требованиями к обеспечению безопасности ПДн при их обработке в ИСПДн.

Мероприятия по защите ПДн определяются Положением, приказами, инструкциями и другими внутренними документами АО «СГРЦ».

Для защиты ПДн в АО «СГРЦ» применяются следующие принципы и правила:

Ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют доступа к информации, содержащей ПДн.

Строгое избирательное и обоснованное распределение документов и информации между сотрудниками.

Рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование защищаемой информации.

Знание сотрудниками требований нормативно-методических документов по защите ПДн.

Распределение персональной ответственности между сотрудниками, участвующими в обработке ПДн, за выполнение требований по обеспечению безопасности ПДн.

Установление режима конфиденциальности в соответствии с требованиями по обеспечению безопасности ПДн при работе с конфиденциальными документами и базами данных.

Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

Исключение бесконтрольного пребывания посторонних лиц в помещениях, в которых ведется обработка ПДн и находится соответствующая вычислительная техника.

Организация порядка уничтожения персональных данных.

Своевременное выявление нарушений требований разрешительной системы доступа.

Воспитательная и разъяснительная работа с сотрудниками отделов по предупреждению утраты ценных сведений при работе с конфиденциальными документами.

Регулярное обучение работников по вопросам, связанным с обеспечением безопасности ПДн.

Ограничение доступа к техническим средствам и системам обработки информации, на которых содержатся ПДн.

Создание целенаправленных неблагоприятных условий и труднопреодолимых препятствий для лица, пытающегося совершить несанкционированный доступ и овладение информацией.

Резервирование защищаемых данных (создание резервных копий).

6. Цель обработки персональных данных

Обработка персональных данных в информационных системах персональных данных АО «СГРЦ» осуществляется в целях:

-исполнения обязательств АО «СГРЦ» в рамках Агентских договоров (Контрактов) по расчетам платы за жилищно-коммунальные и прочие услуги, заключенных с поставщиками жилищно-коммунальных услуг (производство расчетов размера платы за жилищно-коммунальные услуги, прием платы за жилищно-коммунальные услуги, поддержание в актуальном состоянии базы данных потребителей жилищно-коммунальных услуг).

-исполнения трудового законодательства (ведение кадрового и бухгалтерского учета сотрудников, предоставление отчетности по кадровому и бухгалтерскому учету сотрудников, начисление заработной платы).

7. Субъекты персональных данных

В информационных системах персональных данных АО «СГРЦ» обрабатываются персональные данные следующих категорий субъектов персональных данных:

-физические лица – потребители жилищно-коммунальных услуг;

-физические лица, состоящие с АО «СГРЦ» в трудовых отношениях (сотрудники АО «СГРЦ»);

-физические лица, являющиеся ближайшими родственниками сотрудников АО «СГРЦ»;

-физические лица, уволившиеся из АО «СГРЦ»;

-физические лица, являющиеся кандидатами на работу в АО «СГРЦ»;

8. Правовое основание обработки персональных данных

Обработка персональных данных осуществляется на основании:

-норм действующего законодательства РФ: ст.1005 Гражданского кодекса РФ, ст.153, ст.155, ст.157 Жилищного кодекса РФ, п.п."г" п.31, п.п."е" п.32, гл.VI, гл.VIII-IX Правил предоставления коммунальных услуг собственникам и пользователям помещений в многоквартирных домах и жилых домов, утвержденных Постановлением Правительства РФ от 06.05.2011 г. №354, ст.3, 4 Федерального закона от 03.06.2009 N 103-ФЗ "О деятельности по приему платежей физических лиц, осуществляемой платежными агентами", ст.ст.86-90 Трудового кодекса РФ, п.7 ч.1, ч.3-5 ст.6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", ст. 7, ст. 8 Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства Российской Федерации от 15 сентября 2008 г № 687, Федерального закона от 06.12.2011 N 402-ФЗ «О бухгалтерском учете», Налогового кодекса РФ, Федерального закона № 173-ФЗ от 17.12.2001 «О трудовых пенсиях в Российской Федерации»; Федерального закона № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе Обязательного пенсионного страхования», Федерального закона от 24.07.2009 г. № 212-ФЗ «О страховых взносах в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования», Федерального закона от 02.10.2007 № 229-ФЗ «Об исполнительном производстве»;

-внутренних нормативных актов АО «СГРЦ»: Положения о порядке организации и проведении работ по обработке персональных данных в информационных системах персональных данных АО «СГРЦ»; Политики обработки персональных данных в АО «СГРЦ»;

-трудовых договоров;

-Агентских договоров (Контрактов) по расчетам платы за жилищно-коммунальные и прочие услуги, заключенные с поставщиками жилищно-коммунальных услуг;

-согласия субъекта персональных данных на обработку персональных данных.