Политика организации призвана защищать персональные данные (ПД) работника. Ее разработка выполняется в соответствии с Федеральным законом № 152 «О персональных данных», вступившим в действие с 27.07.06 г. В этом документе определен порядок выполнения процедуры обработки ПД, предусмотрены меры для повышения безопасности этой информации в компании. Эти мероприятия позволяют создать целостную защиту прав, а также предусмотренных законом свобод каждого сотрудника, любого человека во время выполнения всех действий с его ПД, совместно с защитой прав, создающих условия неприкосновенности частной жизни.

Основные понятия

Политикой обработки ПД компании предусмотрено использование понятий:

• автоматизированные системы обработки персональных данных – инструменты по обработке, вычислительная техника;
• блокировка персональных данных – приостановка работы с ПД (кроме случаев, когда обработка проводится для уточнения этих сведений);
• информационные системы ПД – комплекс информации, хранящейся в базах, выполняющих обработку этой информации с задействованием информтехнологий и техсредств;
• обезличивание персональных данных – действия, при проведении которых нельзя установить без применения дополнительной информации принадлежность сведений к их субъекту;
• обработка персональных данных – какие-либо операции, выполняемые с применением автоматизированных средств или без таковых, с ПД, включительно со сбором, записью, накапливанием, сбережением, уточнением, извлечением, применением, передачей, обезличиванием, удалением, блокировкой, ликвидацией;
• оператор – органы государственного, муниципального значения, физлица или юрлица, самостоятельно организовывающие или вместе с другими лицами, обрабатывающими ПД, устанавливающие цели обработки персональных данных, содержание данных, действия, выполняемые с этими сведениями;
• персональные данные – любые виды информации, относящейся прямо или косвенно к конкретному или устанавливаемому физлицу, субъекту ПД;
• предоставление персональных данных – операции, выполняемые с целью демонстрации ПД кому-либо;
• распространение ПД – раскрытие ПД (передача) для ознакомления неограниченному количеству лиц, включая обнародование ПД в СМИ, организация доступа к этим сведениям какими-либо другими способами;
• уничтожение персональных данных – действия, после выполнения которых не представляется возможным восстановить ПД в информсистеме, или в результате указанных действий происходит уничтожение ПД.

Оператор должен опубликовать или как-то иначе обеспечить неограниченность доступа к данной Политике.

Условия обработки ПД

Оператору необходимо придерживаться следующих принципов при обработке ПД:

• Выполнять требования законодательства и основываться на справедливости реализации любых операций, связанных с ПД.
• Не допускать обрабатывания ПД в случае, когда цели таких действий не совпадают с целями, которые преследовались при их сборе.
• Не объединять базы сведений, содержащих ПД, при условии, что обработка выполнялась для несовместимых задач.
• Объем и состав подлежащих обработке данных должен соответствовать декларируемым целям.
• Не допускать работу с ПД при их избыточности для указанных задач.
• Обеспечить сбор точных, достаточных, актуальных ПД, необходимых для работы.
• Ликвидировать, обезличить ПД, когда цели, которые преследовались при их сборе и обработке, были достигнуты, или когда утрачена необходимость достигать их.

Условия обработки

Оператор наделяется правом на работу с ПД, если соблюдается хотя бы один из перечисленных ниже критериев.

Обработка ПД:

• выполняется по согласию субъекта на эти действия;
• призвана достичь задач, указанных в международных соглашениях РФ или законе, и необходима для выполнения различных полномочий, обязанностей, возложенных на оператора законами РФ;
• нужна для реализации задач правоохранительных органов, выполнения решений судов, в рамках исполнительного судопроизводства;
• требуется для того, чтобы обеспечить выполнение договорных условий;
• нужна для реализации законных интересов и прав оператору, третьим лицам, для выполнения общественно значимых задач, если отсутствует нарушение законодательных требований по отношению к субъекту ПД;
• выполняется с предоставлением доступа к ПД лицам по поручению или просьбе субъекта ПД;
• нужна для публикации, обязательного раскрытия по требованиям законодательства.

Оператору, прочим лицам, получившим возможность доступа к ПД, запрещено предоставлять сведения посторонним гражданам, заниматься их распространением, если нет согласия субъекта ПД.

Общедоступные источники ПД

Для информационного обеспечения оператор имеет право формировать источники ПД субъектов, являющиеся общедоступными, включая справочную информацию, книги адресов. Такие блоки ПД могут состоять из сведений, полученных по согласию субъекта, которое он предоставит письменно. В эту категорию входят:

• ФИО;
• сведения о рождении;
• профессия;
• телефонные номера;
• e-mail и другие ПД, предоставленные субъектом.

Эти сведения должны быть на постоянной основе исключены из блока общедоступных, если их субъектом предъявлено требование или если выдано решение суда, других госорганов, имеющих на это право.

Специальные ПД

Допускается возможность обработки ПД, если они относятся к специальным (политические предпочтения, расовые признаки, национальность, взгляды, информация о здоровье, личной жизни), при соблюдении требований:

• гражданин согласен на эти действия, предоставил письменное разрешение;
• он самостоятельно сделал свои ПД общедоступными;
• их обработка выполняется на законных основаниях;
• работа с ПД нужна для защиты интересов субъекта ПД или иных лиц, которые считаются жизненно важными для него, и получить положительное решение от субъекта нет возможности;
• обработка выполняется в медицинских целях, при установке диагнозов, для предоставления медуслуг, если соблюдается условие: лицо, занимающееся медицинской деятельностью, соблюдает врачебную тайну;
• работа с ПД нужна для реализации прав их собственника, иных граждан для выполнения судебных и других правовых действий; 
• такие действия с ПД необходимы по условиям соблюдения законодательства, касающегося обязательного страхования при соблюдении норм этого направления в законодательстве. 

Работа с ПД, относящимися к специальным, должна быть срочно прекращена, если причины, по которым она выполнялась, устранены, если другое не указано в законе.

Биометрические ПД

Информацию, которая представляет собой характеристики биологических, физиологических сведений о человеке, способных стать основой для его идентификации, оператор имеет право обрабатывать при наличии письменного согласия этого гражданина на возможность выполнения этих операций.

Передача обработки ПД иным лицам

Оператор может передать возможность работы с ПД иному оператору, если собственник этих данных согласился на выполнение указанных действий, если другое не предусматривается в законодательных требованиях. Основанием являются договорные обязательства со стороной, осуществляющей какие-либо действия с ПД, при наличии поручения от стороны, передавшей такие полномочия. Такое лицо должно придерживаться всех установленных законодательных принципов, нормативов и правил обработки ПД.

Права субъекта ПД

Согласие субъекта на обработку ПД

Каждый гражданин самостоятельно решает вопрос передачи собственных ПД, соглашается с тем, что будет выполняться их обработка. Такое согласие он предоставляет без принуждения, преследуя личные интересы. Формат такого разрешения может быть любым и должен подтверждаться фактами его предоставления, если другое не содержится в ФЗ.

Оператор должен представить доказательства, что требуемое одобрение получено, и обязан доказать, на каких основаниях он их получает, основываясь на требованиях закона 152-ФЗ.

Права субъекта ПД

Гражданин наделен правом получения от оператора информации о видах обработки его личных данных (при отсутствии законных ограничений по такому праву), прописанных в ФЗ. Он имеет право требования от оператора уточнить личные сведения, а также потребовать их уничтожить, если они неполные, неактуальные, неточные, получены незаконным путем, не нужны для достижения поставленных задач, связанных с действиями по обработке информации.

Гражданин имеет право применить все возможные законные средства для защиты собственных прав.

Работа с ПД для продвижения различных услуг, любых товаров, выполнения каких-либо работ с использованием прямых контактов с возможным партнером, покупателем с задействованием средств коммуникации, по политическим мотивам может осуществляться при наличии предварительно полученного одобрения таких действий субъектом ПД.

Такая обработка ПД будет признана исполняемой без получения предварительного согласия субъекта ПД, если организация может предоставить свидетельства того, что данное одобрение было предоставлено.

Оператор должен срочно остановить работу с ПД, если этого требует субъект.

Обеспечение безопасности ПД

Обеспечение безопасности ПД, обработкой которых занимается оператор, должно осуществляться путем реализации всех возможных законных мер, позволяющих выполнить все требования ФЗ по защите персональных данных.

Предотвратить несанкционированный доступ к ПД оператор должен с применением таких мер:

• назначить приказом лиц, ответственных за правильную организацию работ по обработке и защите ПД;
• ограничить круг лиц, которым может быть предоставлен доступ к этой информации;
• знакомить субъектов с нормами ФЗ, других нормативных документов, применяемых оператором для обработки и защиты таких сведений;
• организовать строгий учет, хранение, использование носителей данных;
• определить перечень угроз, влияющих на безопасность ПД во время обработки, смоделировать на этой основе угрозы;
• разработать на этой модели систему эффективной защиты ПД;
• проверить эффективность работы средств по защите сведений;
• разграничить возможность доступа пользователей к информресурсам, к средствам программно-аппаратного обеспечения по обработке данных;
• регистрировать и учитывать действия пользователей таких систем;
• применять антивирусные средства и средства для восстановления защитных систем ПД;
• организовать межсетевое экранирование, анализ, обнаружение вторжений и криптографическую защиту данных;
• организовать пропускной режим на предприятие, обеспечить охрану помещений, в которых сосредоточены средства обработки ПД.

Другие права оператора и его обязанности, не изложенные в этом Положении, устанавливаются нормами законодательства РФ по защите и обработке персональных данных.

Должностные лица, допустившие нарушения законодательства, регулирующего вопросы обработки, защиты ПД, несут все предусмотренные законодательством виды ответственности.