Политика обработки и защиты персональных данных

 

ПОЛИТИКА

ГУП ЯНАО «АЭРОПОРТЫ МАНГ АЗЕИ»

В ОТНОШЕНИИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЪНЫХ ДАННЫХ

1. Общие положения

1.1. Настоящая политика (далее - Политика) разработана в соответствии со ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о ПДн) и является внутренним регулятивным документом ГУП ЯНАО «Аэропорты Мангазеи» (далее - Предприятие), определяющим ключевые направления его деятельности в области обработки и защиты персональных данных (далее - ПДн), оператором которых является Предприятие.

1.2. Политика разработана в целях реализации требований законодательства в области обработки и защиты ПДн и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн на Предприятии, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайн.

1.3. Положения Политики распространяются на отношения по обработке и защите ПДн, полученных Предприятием как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите, ПДн, полученных до ее утверждения.

1.4. Настоящая Политика вступает в силу с момента ее утверждения генеральным

директором предприятия и действует бессрочно до замены её новой Политикой.

1.5. В соответствии с П.2. ст.Гх.! Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", доступ к настоящему документу не может быть ограничен.

2. Основания обработки и состав персональных данных, обрабатываемых в Предприятии

2.1. Обработка ПДн на Предприятии осуществляется в соответствии с:

  1. Конституцией Российской Федерации.
  2. Воздушным кодексом Российской Федерации" от 19.03.1997 N 60-ФЗ.

3) Федеральным законом от 09.02.2007 N 16-ФЗ (ред. от 13.07.2015) "О транспортной

безопасности" .

  1. Федеральными авиационными правилами.
  2. Гражданским кодексом Российской Федерации.

Кроме того, обработка ПДн на Предприятии осуществляется в ходе трудовых и иных непосредственно связанных с ними отношений, в которых Предприятие выступает в качестве работодателя (гл. 14 Трудового кодекса Российской Федерации), в связи с реализацией Предприятием своих прав и обязанностей как юридического лица.

2.2. Оператор осуществляет обработку ПДн в целях:

  1. исполнения положений нормативных актов, указанных в п.2.1. настоящей Политики;
  2. исполнения обязательств в соответствии с трудовым законодательством РФ;
  3. формирования списков пассажиров при оформлении перевозки пассажиров по заказу;
  4. в ходе учета, обслуживания и сопровождения работы с дебиторской задолженностью контрагентов по договорам, в Т.Ч. осуществления взыскания в судебном порядке, обращения в право охранительные и другие органы, и Т.П.;

5) осуществления пропускного режима на Предприятие, а также граждан, письменно обращающихся в Предприятие по вопросам его деятельности.


2.3. В связи с трудовыми и иными непосредственно связанными с ними отношениями, в которых Предприятие выступает в качестве работодателя, обрабатываются ПДн лиц, претендующих на трудоустройство на Предприятие, работников Предприятия (далее - Работники) и бывших Работников.

2.4. В связи с реализацией своих прав и обязанностей как юридического лица, Предприятием обрабатываются ПДн физических лиц, являющихся контрагентами Предприятия по гражданско-правовым договорам, ПДн руководителей и представителей юридических лиц.

2.5. ПДн получаются и обрабатываются Предприятием на основании федеральных законов и иных нормативных правовых актов Российской Федерации, а в необходимых случаях - при наличии письменного согласия субъекта ПДн.

2.6. Предприятие предоставляет обрабатываемые им ПДн государственным органам и организациям, имеющим, в соответствии с федеральным законом, право на получение соответствующих ПДн.

2.7. На Предприятии не производится обработка ПДн, несовместимая с целями их сбора.

Если иное не предусмотрено федеральным законом, по окончании обработки ПДн в Предприятии, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся Предприятием ПНд уничтожаются или обезличиваются.

2.8. При обработке ПДн обеспечиваются их точность, достаточность, а при необходимости - и актуальность по отношению к целям обработки. Предприятие принимает необходимые меры по удалению или уточнению неполных или неточных ПДн.

3. Принципы обеспечения безопасности персональных данных

3.1. Основной задачей обеспечения безопасности ПДн при их обработке на Предприятии является предотвращение несанкционированного доступа к ним третьих лиц, п..редупреждение преднамеренных программно-технических и иных воздействий с целью хищения ПДн, разрушения (уничтожения) или искажения их в процессе обработки.

3.2. Для обеспечения безопасности ПДн Предприятие руководствуется следующими принципами:

1) законность: защита ПДн основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защитыПДн;

2) комплексность: защита ПДн строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Предприятия (далее - ИС) и других имеющихся на Предприятии систем и средств защиты;

3) непрерывность: защита ПДн обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки ПДн, в том числе при про ведении ремонтных и регламентных работ;

4) своевременность: меры, обеспечивающие надлежащий уровень безопасности ПДн, принимаются до начала их обработки;

5) преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты ПДн осуществляется на основании результатов анализа практики обработки ПДн на Предприятии с учетом выявления новых способов и средств реализации угроз безопасности ПДн, отечественного и зарубежного опыта в сфере защиты информации;

6) персональная ответственность: ответственность за обеспечение безопасности ПДн возлагается на Работников в пределах их обязанностей, связанных с обработкой и защитой ПДн; 7) минимизация прав доступа: доступ к ПДн предоставляется Работникам только в объеме, необходимом для выполнения их должностных обязанностей;

8) наблюдаемость и прозрачность: меры по обеспечению безопасности ПДн должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль;

9) непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты ПДн, а результаты контроля регулярно анализируются.


4. Доступ к обрабатываемым персональным данным

4.1. Доступ к ПДн имеют лица, упопномоченные приказом Предприятия, которым поручена обработка ПДн, а также лица, чьи ПДн подлежат обработке.

4.2. Доступ Работников к обрабатываемым ПДн осуществляется в соответствии с их должностными обязанностями и требованиями внутренних регулятивных документов

Предприятия.

4.3. Допущенные к обработке ПДн Работники под роспись знакомятся с документами

Предприятия,      устанавливающими       порядок      обработки       ПДн,      включая       документы,

устанавливающие права и обязанности конкретных Работников.

4.4. Порядок доступа субъекта ПДн к его ПДн, обрабатываемым Предприятием, определяется в соответствии с законодательством и определяется внутренними регулятивными документами Предприятия.

5. Реализуемые требования к защите персональных данных

5.1. Предприятие принимает правовые, организационные и технические меры (или обеспечивает их принятие), необходимые и достаточные для обеспечения исполнения обязанностей, предусмотренных Законом о ПДн и принятыми В соответствии с ним нормативными правовыми актами, для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

5.2. Состав указанных в пункте 5.1 Политики мер, включая их содержание и выбор средств защиты ПДн, определяется, а внутренние регулятивные документы об обработке и защите ПДн утверждаются (издаются) Предприятием исходя из требований:

-Закона о ПДн;

-главы 14 Трудового кодекса Российской Федерации;

-посгановления Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об

утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

-приказа ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания

организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн";

-постановления Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

-иных нормативных правовых актов Российской Федерации об обработке и защите ПДн.

5.3. В предусмотренных законодательством случаях обработка ПДн осуществляется Предприятием с согласия субъектов ПДн.

Предприятием про изводится устранение выявленных нарушений законодательства об

обработке и защите ПДн.

5.4. Хранение ПДн осуществляется в форме, позволяющей определить субъект ПДн, не

дольше чем этого требуют цели обработки ПДн, если срок хранения не установлен федеральным законом,ДОГОВОРОМ.

            5.5.      Предприятием        осуществляется       ознакомление        работников       Предприятия,

непосредственно осуществляющих обработку ПДн, с положениями законодательства о ПДн, в том числе требованиями к защите ПДн, Политикой и иными внутренними регулятивными документами по вопросам обработки ПДн.

5.6. При обработке ПДн Предприятием применяются следующие меры:

1) назначается Ответственный за организацию обработки ПДн, являющийся начальником отдела кадров, определяется его компетенция;

2) утверждаются (издаются) внутренние регулятивные документы по вопросам обработки и защиты ПДн, в том числе устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений;

3) осуществляется внутренний контроль и (или) аудит соответствия обработки ПДн Закону о ПДн и принятым В соответствии с ним нормативным правовым актам, требованиям к защите ПДн, Политике и внутренним регулятивным документам Предприятия;

5.7. Обеспечение безопасности ПДн на Предприятии при их обработке достигается путем:

1) определения угроз безопасности ПДн. Тип актуальных угроз безопасности ПДн и необходимый уровень защищенности ПДн определяются в соответствии с требованиями законодательства и с учетом про ведения оценки возможного вреда;

2) определения в установленном порядке состава и содержания мер по обеспечению

безопасности ПДн, выбора средств защиты информации;

3) применения организационных и технических мер по обеспечению безопасности ПДн, необходимых для выполнения требований к защите ПДн, обеспечивающих определенные уровни защищенности ПДн, включая применение средств защиты информации, прошедших процедуру оценки соответствия, когда применение таких средств необходимо для нейтрализации

актуальных угроз.

4) оценки эффективности принимаемых и реализованных мер по обеспечению безопасности

ПДн;

  1. учета машинных носителей ПДн, обеспечение их сохранности;
  2. обнаружение фактов несанкционированного доступа к ПДн и принятие соответствующих

мер;

  1. восстановления ПДн, уничтоженных вследствие несанкционированного доступа к ним;
  2. организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

5.8. Обеспечение защиты ПДн на Предприятии при их обработке, осуществляемой без использования средств автоматизации, достигается, в частности, путем:

  1. обособления ПДн от иной информации;
  2. недопущения фиксации на одном материальном носителе ПДн, цели обработки которых

заведомо не совместимы;

3) использования отдельных материальных носителей для обработки каждой категории

ПДн;

4) принятия мер по обеспечению раздельной обработки. ПДн при несовместимости целей

обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на

том же носителе ПДн;

5) соблюдения требований:

к раздельной обработке зафиксированных на одном материальном носителе ПДн и

информации, не относящейся к ПДн; уточнению ПДн;

уничтожению или обезличиванию части ПДн;

использованию типовых форм документов, характер информации в которых предполагается

или допускается включение в них ПДн;

ведению журналов, содержащих ПДн, необходимых для выдачи однократных пропусков

субъектам ПДн в занимаемые Предприятием здания и помещения;

хранению ПДн, в том числе к обеспечению раздельного хранения ПДн (материальных носителей), обработка которых осуществляется в различных целях, и установлению перечня лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.

/sysfiles/files/Politika-v-otnoshenii-obrabotki-i-zaschityi-personalnyih-dannyih%281%29.pdf