Политика конфиденциальности

Ассоциации «Центр правового мониторинга, юридической техники и правозащитной работы «РИМ»

г. Томск «16» сентября 2019 года

1. ОБЩИЕ ПОЛОЖЕНИЯ

1. Настоящая политика (далее - Политика) разработана в соответствии со ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон о ПДн) и является основополагающим внутренним регулятивным документом Ассоциации «Центр правового мониторинга, юридической техники и правозащитной работы «РИМ», (далее - Ассоциация) определяющим ключевые направления ее деятельности в области обработки и защиты персональных данных (далее - ПДн), оператором которых является Ассоциация.

1.2. Настоящий документ составлен с целью выполнения требований ч. 2 ст. 18.1 Закона о ПДн и определяет политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных с целью опубликования данного документа в соответствующей информационно-телекоммуникационной сети.

1.3. Политика разработана в целях реализации требований законодательства в области обработки и защиты ПДн и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн в Ассоциации, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайн.

1.4. Положения Политики распространяются на отношения по обработке и защите ПДн, полученных Ассоциацией как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите ПДн, полученных до ее утверждения.

1.5. Ассоциация не вправе обрабатывать персональные данные в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обрабатывать персональные данные, несовместимые с целями сбора персональных данных.

1.6. Ассоциация не вправе обрабатывать персональные данные без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных.

1.7. Ассоциация производит обработку персональных данных исключительно в случаях, определенных ч. 2 ст. 22 Закона о ПДн:

1) обрабатываемых в соответствии с трудовым законодательством;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.

1.8. Ассоциация оказывает услуги по созданию сайтов, содержащие в себя возможности автоматизированной обработки информации, доступ к которым имеет исключительно Заказчик, в связи с чем, Ассоциация не обрабатывает персональные данные граждан, которые имеются у Заказчика.

2. ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Основной задачей обеспечения безопасности ПДн при их обработке в Ассоциации является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения ПДн, разрушения (уничтожения) или искажения их в процессе обработки.

2.2. Для обеспечения безопасности ПДн Ассоциация руководствуется следующими принципами:

1) законность: защита ПДн основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты ПДн;

2) системность: обработка ПДн в Ассоциации осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности ПДн;

3) комплексность: защита ПДн строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Ассоциации (далее - ИС) и других имеющихся в Ассоциации систем и средств защиты;

4) непрерывность: защита ПДн обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки ПДн, в том числе при проведении ремонтных и регламентных работ;

5) своевременность: меры, обеспечивающие надлежащий уровень безопасности ПДн, принимаются до начала их обработки;

6) преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты ПДн осуществляется на основании результатов анализа практики обработки ПДн в Ассоциации с учетом выявления новых способов и средств реализации угроз безопасности ПДн, отечественного и зарубежного опыта в сфере защиты информации;

7) персональная ответственность: ответственность за обеспечение безопасности ПДн возлагается на работников в пределах их обязанностей, связанных с обработкой и защитой ПДн;

8) минимизация прав доступа: доступ к ПДн предоставляется работникам только в объеме, необходимом для выполнения их должностных обязанностей;

3. ДОСТУП К ОБРАБАТЫВАЕМЫМ ПЕРСОНАЛЬНЫМ ДАННЫМ

3.1. Доступ к обрабатываемым в Ассоциации ПДн имеют лица, уполномоченные приказом Ассоциации, а также лица, чьи ПДн подлежат обработке.

3.2. Доступ работников к обрабатываемым ПДн осуществляется в соответствии с их должностными обязанностями и требованиями внутренних регулятивных документов Ассоциации.

Допущенные к обработке ПДн работники под роспись знакомятся с документами Ассоциации, устанавливающими порядок обработки ПДн, включая документы, устанавливающие права и обязанности конкретных работников.

3.3. Порядок доступа субъекта ПДн к его ПДн, обрабатываемым Ассоциацией, определяется в соответствии с законодательством и определяется внутренними регулятивными документами Ассоциации.

4. РЕАЛИЗУЕМЫЕ ТРЕБОВАНИЯ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Ассоциация принимает правовые, организационные и технические меры (или обеспечивает их принятие), необходимые и достаточные для обеспечения исполнения обязанностей, предусмотренных Законом о ПДн и принятыми в соответствии с ним нормативными правовыми актами, для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

4.2. Ассоциация осуществляется ознакомление работников Ассоциации, непосредственно осуществляющих обработку ПДн, с положениями законодательства о ПДн, в том числе требованиями к защите ПДн, Политикой и иными внутренними регулятивными документами по вопросам обработки ПДн, и (или) обучение указанных работников по вопросам обработки и защиты ПДн.

4.3. При обработке ПДн с использованием средств автоматизации Ассоциации, в частности, применяются следующие меры:

1) назначается ответственный за организацию обработки ПДн;

2) утверждаются (издаются) внутренние регулятивные документы по вопросам обработки и защиты ПДн, в том числе устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений;

3) осуществляется внутренний контроль и (или) аудит соответствия обработки ПДн Закону о ПДн и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, Политике и внутренним регулятивным документам Ассоциации;

4) проводится оценка вреда, который может быть причинен субъектам ПДн в случае нарушения Закона о ПДн, определяется соотношение указанного вреда и принимаемых Ассоциацией мер, направленных на обеспечение исполнения обязанностей, предусмотренных Законом о ПДн.

4.4. Обеспечение безопасности ПДн в Ассоциации при их обработке в ИСПДн достигается, в частности, путем:

1) определения угроз безопасности ПДн. Тип актуальных угроз безопасности ПДн и необходимый уровень защищенности ПДн определяются в соответствии с требованиями законодательства и с учетом проведения оценки возможного вреда;

2) определения в установленном порядке состава и содержания мер по обеспечению безопасности ПДн, выбора средств защиты информации. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности ПДн, а также с учетом экономической целесообразности

3) применения организационных и технических мер по обеспечению безопасности ПДн, необходимых для выполнения требований к защите ПДн, обеспечивающих определенные уровни защищенности ПДн, включая применение средств защиты информации, прошедших процедуру оценки соответствия, когда применение таких средств необходимо для нейтрализации актуальных угроз.

4.4. Обеспечение защиты ПДн в Ассоциации при их обработке, осуществляемой без использования средств автоматизации, достигается, в частности, путем:

1) обособления ПДн от иной информации;

2) недопущения фиксации на одном материальном носителе ПДн, цели обработки которых заведомо не совместимы;

3) использования отдельных материальных носителей для обработки каждой категории ПДн;

4) принятия мер по обеспечению раздельной обработки ПДн при несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн;

5) соблюдения требований: к раздельной обработке зафиксированных на одном материальном носителе ПДн и информации, не относящейся к ПДн; уточнению ПДн; уничтожению или обезличиванию части ПДн; использованию типовых форм документов, характер информации в которых предполагается или допускается включение в них ПДн.