Положение

об обеспечении безопасности персональных данных абонентов при их обработке в информационных системах персональных данных

ООО «ТЕЛЕСЕТЬ»

Раздел 1. Общие положения


    1. Цели и назначение документа


      1. Настоящее положение устанавливает требования к обеспечению безопасности (защите) персональных данных физических лиц (клиентов, абонентов, потребителей и т.д.) при их обработке в информационных системах, применяемых ООО «ТЕЛЕСЕТЬ» (далее Общество), а также информационных технологий и технических средств, позволяющих осуществлять обработку персональных данных с использованием средств автоматизации.

      2. Целью Положения является защита персональных данных клиентов -физических лиц от несанкционированного доступа, неправомерного их использования и утраты.

      3. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случае обезличивания или по истечении сроков хранения, установленного законодательством, и их уничтожения.

      4. Положение утверждается и вводится в действие приказом генерального директора и является обязательным для исполнения всеми сотрудниками Общества, имеющими доступ к персональным данным.

      5. Положение разработано на основании Конституции РФ, федерального закона от 27.06.2006г., № 149-ФЗ «Об информации, информационных технологиях и о защите информации», федерального закона от 27.06.2006 г. № 152–ФЗ «О защите персональных данных», Постановления Правительства РФ от 17.11.2007г.,

        № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при обработке в информационных системах персональных данных», Приказа ФСТЭК России №21 от 18.02.2013г., иных нормативно-правовых актов, Устава Общества и определяет порядок обработки и защиты персональных данных субъектов персональных данных-абонентов.


    2. Термины и определения


      1. Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе:

        Фамилия, имя, отчество; год, месяц и дата рождения; место рождения; данные документа, удостоверяющего личность (номер, серия, кем и когда выдан); адрес места регистрации; адрес места оказания услуг связи.

      2. Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных.

      3. Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными самого субъекта персональных данных, его законного представителя, уполномоченных в

        соответствии с федеральными законами лиц, либо предоставления доступа к персональным данным каким-либо иным законным способом.

      4. Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия (подготовки к принятию) решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других физических лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных.

      5. Оператор – юридическое лицо, организующее и осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных: ООО «ТЕЛЕСЕТЬ» (Общество).

      6. Блокирование персональных данных – временное прекращение сбора, накопления, систематизации, использования, распространения персональных данных, в том числе их передачу.

      7. Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе или в результате которых уничтожаются материальные носители персональных данных.

      8. Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

      9. Информационная система персональных данных – информационная система оператора, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку персональных данных с использованием средств автоматизации или без использования таких средств.

      10. Конфиденциальность персональных данных – обязательное соблюдение оператором или иным, получившим доступ к персональным данным, лицом требование не допускать их распространение без согласия субъекта персональных данных или без наличия иного законного основания.

        Предоставление конфиденциальных сведений, содержащих персональные данные о физическом лице допускается на основании федеральных законов:

        а) по запросам органов, осуществляющих оперативно-розыскную деятельность (органы внутренних дел РФ; органы федеральной службы безопасности (в том числе органы пограничной службы); федеральные органы государственной охраны; таможенные органы; органы службы внешней разведки);

        б) по запросам (постановлениям) прокуратуры и следственных органов; в) по судебным запросам (решениям, определениям, постановлениям).

        Данный перечень исчерпывающий и не может быть изменен иначе, как федеральным законом.

      11. Абоненты (физические лица) – лица, вступившие в правоотношения с Оператором в силу договоров оказания услуг связи для целей телевизионного вещания и/или договоров об оказании телематических услуг связи и услуг связи по передаче данных, в соответствии со ст. 53 Федерального закона от 07.07.2003

№ 126-ФЗ «О связи», п. 20 Правил оказания услуг связи для целей

телевизионного вещания и (или) радиовещания, утвержденных Постановлением Правительства РФ от 22.12.2006 № 785, п. 22 Правил оказания телематических услуг связи, утвержденных Постановлением Правительства РФ от 10.09.2007 № 575, п. 26 Правил услуг связи по передаче данных, утвержденных Постановлением Правительства РФ от 23.01.2006 № 32.


Раздел 2.Политика обработки персональных данных в ООО «ТЕЛЕСЕТЬ»


    1. Принципы обработки персональных данных.


      1. В целях обеспечения прав и свобод человека и гражданина обработка персональных данных абонентов должна осуществляться оператором на основе следующих принципов:

        • законности целей и способов обработки персональных данных. Обработка персональных данных абонента может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативно-правовых актов Российской Федерации;

        • осмотрительности и добросовестности в работе с персональными данными;

          - соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиями оператора;

        • соответствия объема и характера обрабатываемых персональных данных, способов обработки целям обработки;

        • достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

        • недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

        • обеспечение защиты персональных данных от неправомерного доступа, несанкционированного их использования или утраты.


    2. Основания обработки персональных данных

      1. Получение персональных данных может осуществляться только путем представления их самим абонентом. Субъект персональных данных является собственником своих персональных данных и самостоятельно решает вопросы передачи оператору своих персональных данных.

      2. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем того требуют цели их обработки.

      3. Персональные данные подлежат уничтожению по достижению целей обработки или в случае утраты надобности в достижении таких целей.


    3. Категории обрабатываемых персональных данных

      1. Оператор обрабатывает персональные данные, не относящиеся к специальным категориям персональных данных, то есть не касающиеся расовой,

        национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости.

      2. Информация о жизнедеятельности в сфере семейных, бытовых, личных отношений может быть получена и обработана только с письменного согласия субъекта персональных данных.

      3. Оператор не осуществляет трансграничную передачу персональных данных.


    4. Способы обработки персональных данных

      Оператор осуществляет как автоматизированную обработку персональных данных, так и обработку персональных данных без использования средств автоматизации.


    5. Прекращение обработки и уничтожение персональных данных

      Обработка персональных данных ООО «ТЕЛЕСЕТЬ» прекращается, а собранные персональные данные уничтожаются в следующих случаях (если иное не установлено законодательством Российской Федерации):

      1. по истечению установленного срока обработки персональных данных;

      2. по достижении целей обработки или при утрате необходимости в их достижении;

      3. по требованию субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных — если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

      4. при отзыве субъектом персональных данных согласия на обработку своих персональных данных, если такое согласие требуется в соответствии с законодательством Российской Федерации;


Раздел 3. Обработка персональных данных


    1. Доступ к персональным данным абонента


      Внутренний доступ (внутри организации)

      1. К обработке персональных данных абонента могут иметь доступ сотрудники (уполномоченные лица) ООО «ТЕЛЕСЕТЬ» в пределах своих должностных обязанностей. Уполномоченные лица определяются приказом по организации.

      2. Все меры конфиденциальности при обработке персональных данных распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

      3. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.


        Внешний доступ

      4. К числу потребителей персональных данных вне организации относятся:

        • правоохранительные органы;

        • надзорно - контрольные органы (в сфере своей компетенции);

        • судебные органы.

      5. Взаимодействие с федеральными органами исполнительной власти, в том числе с уполномоченным органом по защите прав субъектов персональных данных, по вопросам обработки и обеспечения безопасности обрабатываемых ООО «ТЕЛЕСЕТЬ» персональных данных, осуществляется в соответствии с законодательством Российской Федерации.

      6. ООО «ТЕЛЕСЕТЬ» способствует реализации законных прав субъектов персональных данных и осуществляет реагирование на запросы и обращения субъектов персональных данных, в том числе предоставление им информации, связанной с обработкой их персональных данных, в соответствии с требованиями законодательства Российской Федерации.

      7. Персональные данные абонента могут быть представлены родственникам или членам его семьи только с письменного разрешения самого клиента.


    2. Защита персональных данных


      1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.

      2. Риск угрозы информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.

      3. Защита персональных данных представляет собой же стко р е гл а м е н т и р о ва н н ы й и д и н а м и ч е с к и - т ех н ол о г и ч е с к и й п р о ц е с с , предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой деятельности организации – оператора.

      4. Защита персональных данных субъекта персональных данных от неправомерного их использования или утраты обеспечивается оператором за счет его средств, в порядке, установленном федеральными нормативно-правовыми актами.


    3. Внутренняя защита


      1. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных. Предназначена для разграничения полномочий между руководителями и специалистами.

      2. Для обеспечения внутренней защиты персональных данных обеспечивается:

        • ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;

          • строгое избирательное и обоснованное распределение документов и информации между работниками;

          • рациональное размещение рабочих мест, при котором исключается бесконтрольное использование защищаемой информации;

          • знание работниками требований нормативно-методических документов по защите информации и отнесения ее к конфиденциальной информации;

          • наличие необходимых условий в помещении оператора для работы с конфиденциальными документами и базами данных;

          • определение и регламентация состава работников, имеющих право доступа

            (входа) в помещение, в котором находится вычислительная техника;

          • организация порядка уничтожения информации;

            - своевременное выявление нарушения требований разрешительной системы доступа работниками структурных подразделений;

          • воспитательная и разъяснительная работа с сотрудниками, допущенными к работе с персональными данными по предупреждению утраты сведений при работе с конфиденциальной информацией.

      3. Защита персональных данных от копирования на электронные носители.


    4. Внешняя защита


      1. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией.

        Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение конфиденциальными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания документа или его реквизитов и др.

      2. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности структурных подразделений Общества, посетители, работники других структурных подразделений.

        Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления оформления, ведения и хранения документов и рабочих материалов. Поэтому, при приеме посетителей сотрудники должны быть бдительными и осмотрительными, не переговариваться между собой во всеуслышание, исключать возможность просмотра рабочей документации и экрана монитора.

      3. Для обеспечения внешней защиты персональных данных обеспечивается:

        • соблюдение установленного порядка приема, учета и контроля поведения посетителей;

        • имеются технические средства охраны и сигнализации;

        • соблюдается установленный порядок охраны территории, помещений;

        • соблюдаются требования к защите информации при собеседованиях, телефонных переговорах, даче интервью.

      4. Все сотрудники Общества, в должностные обязанности которых входит получение, обработка и защита персональных данных подписывают обязательство о неразглашении персональных данных абонентов – физических лиц.

Раздел 4. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными


    1. Персональная ответственность - одно из главных требований к организации работы системы защиты конфиденциальной информации и обязательное условие обеспечения эффективного функционирования этой системы.

    2. ООО «ТЕЛЕСЕТЬ» и сотрудники, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и обрабатывающие её, несут ответственность в соответствии с законодательством РФ за нарушение установленного режима защиты, обработки и порядка использования такой информации.

    3. Каждый сотрудник ООО «ТЕЛЕСЕТЬ», получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя информации и конфиденциальность его содержания.

    4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных несут дисциплинарную, административную или уголовную ответственность в соответствии с федеральными законами РФ.

    5. Лица, незаконными методами, получившие информацию, содержащую персональные данные, обязаны возместить, причиненные субъекту персональных данных, убытки, в том числе, моральный вред.

    6. Уголовная ответственность за нарушение неприкосновенности частной жизни (в том числе незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом информации, неправомерный отказ в предоставлении собранных в установленном порядке сведений персонального характера по запросу самого субъекта персональных данных или его законного представителя, установлена Уголовным Кодексом РФ.

Приложение 1


к Положению об обеспечении безопасности персональных данных абонентов при их обработке в информационных системах персональных данных ООО «ТЕЛЕСЕТЬ»


Перечень персональных данных абонентов - физических лиц


  1. Фамилия, имя, отчество

  2. Пол

  3. Год, месяц, дата рождения

  4. Место рождения

  5. Данные документа, удостоверяющего личность (серия, номер, кем и когда выдан)

  6. Адрес места регистрации

  7. Адрес места оказания услуг связи

  8. Телефон