УТВЕРЖДЕНО

приказом президента НПФ «Роствертол»

от 10.09.2013 г. №73

 

 

 

 


 

Положение


об обработке персональных данных в информационных системах персональных

данных НПФ «Роствертол»


 

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Назначение документа

1.1.1. Положение об обработке персональных данных в информационных системах персональных данных (далее – Положение) определяет особенности и порядок обработки персональных данных субъектов персональных данных в НПФ «Роствертол» и принципы обеспечения безопасности персональных данных при их обработке.

1.1.2. Настоящее Положение разработано в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон), Постановлением Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных, «Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства РФ от 15.09.2008 № 687, иными нормативно-правовыми актами.

1.1.3. Цель Положения – обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, установление ответственности работников НПФ «Роствертол», имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

 

1.2. Область действия документа

1.2.1. Действие Положения распространяется на информационные системы персональных данных НПФ «Роствертол» (ИСПДн НПФ "Роствертол"), в которых осуществляется обработка персональных данных как с использованием средств автоматизации, так и без использования таковых.

1.2.2. Все работники НПФ «Роствертол», допущенные к работе с персональными данными, обрабатываемыми в НПФ «Роствертол», в обязательном порядке должны быть ознакомлены с настоящим Положением под роспись.

 

1.3. Вступление в силу документа

1.3.1. Настоящее Положение вступает в силу с момента его утверждения президентом НПФ «Роствертол» и действует бессрочно до замены его новым Положением.

1.3.2. Все изменения в Положение вносятся приказом президента НПФ «Роствертол».

 

1.4. Основные понятия, используемые в Положении

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2. КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ В НПФ «Роствертол» ПЕРСОНАЛЬНЫХ ДАННЫХ И ЦЕЛИ ИХ ОБРАБОТКИ

2.1. Персональные данные, обрабатываемые в НПФ «Роствертол», относятся к сведениям конфиденциального характера. НПФ «Роствертол», работники НПФ «Роствертол», получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Указанная информация может быть передана правопреемникам участников и застрахованных лиц, а также в установленных законодательством Российской Федерации случаях по требованию следственных, судебных, налоговых органов, Банка России.

 

2.2. В соответствии с принципами и условиями обработки персональных данных, установленными Законом, в НПФ «Роствертол» определены следующие цели обработки персональных данных:

1). осуществление и выполнение возложенных законодательством Российской Федерации на НПФ «Роствертол» функций, полномочий и обязанностей;

2). исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных: трудового договора, договора негосударственного пенсионного обеспечения, договора об обязательном пенсионном страховании, иного гражданско-правового договора.

 

2.3. Состав персональных данных, обрабатываемых в НПФ «Роствертол», определен в Перечне персональных данных, обрабатываемых в НПФ «Роствертол» (Приложение 1 к настоящему Положению), и содержит следующие категории персональных данных (в скобках указаны цели их обработки):

- персональные данные работников (исполнение обязательств по трудовому договору);

- персональные данные клиентов по НПО (исполнение обязательств по договору НПО);

- персональные данные клиентов по ОПС (исполнение обязательств по договору ОПС);

- персональные данные, обрабатываемые при трансферагентской деятельности (регистрация и передача в ПФР в электронном виде заявлений застрахованных лиц);

- персональные данные контрагентов по гражданско-правовым договорам (исполнение обязательств по договорам).

 

2.4. Содержание и объем обрабатываемых персональных данных в ИСПДн НПФ «Роствертол» соответствуют заявленным целям их обработки. В ИСПДн НПФ «Роствертол» не обрабатываются специальные категории персональных данных и биометрические персональные данные.

 

3. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ В НПФ «Роствертол»

3.1. Сбор, хранение и уничтожение персональных данных

3.1.1. Персональные данные поступают в НПФ «Роствертол» непосредственно от субъекта на основании договорных отношений или от третьей стороны при условии наличия оснований, предусмотренных Законом..

3.1.2. Персональные данные работника НПФ «Роствертол» могут быть получены только от работника - субъекта персональных данных.

3.1.3. В случае получения персональных данных правопреемника от лица, вступившего с НПФ «Роствертол» в договорные отношения, ответственность за уведомление правопреемника о факте передачи его персональных данных для обработки в НПФ «Роствертол» возлагается на данное лицо.

3.1.4. Персональные данные обрабатываются и хранятся в НПФ «Роствертол» не дольше, чем этого требуют цели обработки персональных данных и требования действующего законодательства Российской Федерации Сроки хранения информации, содержащей персональные данные субъектов, определяются требованиями действующего законодательства Российской Федерации.

3.1.5. Персональные данные субъектов обрабатываются в НПФ «Роствертол» как в электронном виде (автоматизированная обработка), так и на бумажных носителях (обработка без использования средств автоматизации).

3.1.6. НПФ «Роствертол» не поручает обработку персональных данных другим лицам.

3.1.7. НПФ «Роствертол» не осуществляет трансграничную передачу персональных данных (передачу персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу).

 

3.2. Особенности обработки персональных данных с использованием средств автоматизации

3.2.1. Обработка персональных данных с использованием средств автоматизации осуществляется в рамках информационных систем персональных данных НПФ «Роствертол». В состав информационных систем персональных данных НПФ «Роствертол» входит ИСПДн вкладчиков, участников и застрахованных лиц НПФ "Роствертол" и ИСПДн работников НПФ "Роствертол".

3.2.2. Машинные носители данных, предназначенные для обработки персональных данных, подлежат обязательной регистрации и учету в соответствии с Журналом учета машинных носителей ИСПДн НПФ "Роствертол".

 

3.3. Особенности обработки персональных данных без использования средств автоматизации

3.3.1. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных носителях.

3.3.2. Не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо несовместимы. Для обработки каждой категории персональных данных должен использоваться отдельный бумажный носитель.

3.3.3. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна проводиться таким образом, чтобы обеспечивать раздельное хранение персональных данных разных целей обработки.

3.3.4. Уничтожение бумажных носителей персональных данных производится после поступления от руководителей структурных подразделений НПФ «Роствертол», обрабатывающих персональные данные, в постоянно действующую экспертную комиссию перечня (в том числе в электронном виде) подлежащих уничтожению бумажных носителей персональных данных с указанием основания для их уничтожения.

3.3.5. Бумажные носители уничтожаются исполнителем в присутствии членов комиссии с оформлением акта по следующей процедуре:

- включение каждого отобранного к уничтожению документа (дела) отдельной позицией в акт;

- оформление в акте итоговой записи с указанием количества уничтожаемых документов (дел), подписание итоговой записи членами комиссии, составившими акт;

- письменное согласование акта с руководителями структурных подразделений НПФ «Роствертол», направившими запрос на уничтожение бумажных носителей;

- подписание акта членами комиссии;

- утверждение акта президентом НПФ «Роствертол».

3.3.6. Перед непосредственным уничтожением бумажных носителей персональных данных членами комиссии должна быть осуществлена сверка носителей с описью, приведенной в акте уничтожения.

3.3.7. Бумажные носители персональных данных уничтожаются в присутствии членов комиссии в составе не менее 3 человек, принимавших участие в сверке (проверке) документов и дел, подлежащих уничтожению. После уничтожения документов члены комиссии производят запись в акте об уничтожении, заверяют ее своими подписями.

3.3.8. Уничтожение документов производится путем сожжения, дробления, растворения или химического разложения, превращения в бесформенную массу или порошок. Допускается уничтожение документов путем измельчения в кусочки площадью не более 2,5 кв. мм.

 

4. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ, ОБРАБАТЫВАЕМЫМ В НПФ «Роствертол»

4.1. Доступ работников НПФ «Роствертол» к персональным данным субъектов персональных данных, обрабатываемым в НПФ «Роствертол»

4.1.1. Работники НПФ «Роствертол» получают доступ к персональным данным субъектов персональных данных исключительно в объеме, необходимом для выполнения своих должностных обязанностей.

4.1.2. Доступ работника к персональным данным осуществляется на основании Перечня подразделений и работников, допущенных к работе с персональными данными, обрабатываемыми в НПФ «Роствертол» (Приложение 2 к настоящему Положению) в соответствии  со списком работников, имеющим доступ к персональным данным,  утверждаемым президентом НПФ «Роствертол».

4.1.3. Перечень подразделений и работников, допущенных к работе с персональными данными, обрабатываемыми в НПФ «Роствертол», разрабатывается и пересматривается по мере необходимости (изменение организационно-штатной структуры, введение новых должностей и т.п.) ответственным за эксплуатацию ИСПДн НПФ «Роствертол.

4.1.4. Работнику НПФ «Роствертол», должность которого не включена в Перечень подразделений и работников, допущенных к работе с персональными данными, обрабатываемыми в НПФ «Роствертол», но которому необходим разовый или временный доступ к персональным данным субъектов персональных данных в связи с исполнением должностных обязанностей, приказом президентом НПФ «Роствертол» может быть предоставлен такой доступ на основании письменного мотивированного запроса непосредственного руководителя работника.

4.1.5. Работник НПФ «Роствертол» получает доступ к персональным данным субъектов персональных данных после:

- ознакомления и изучения требований настоящего Положения и иных внутренних нормативных документов НПФ «Роствертол» по защите персональных данных в части, его касающейся;

- прохождения инструктажа о соблюдении правил обработки персональных данных, обрабатываемых в НПФ «Роствертол»;

- ознакомления с видами ответственности за нарушение (невыполнение) норм законодательства РФ в сфере обработки персональных данных.

 

4.2. Доступ субъектов персональных данных к персональным данным, обрабатываемым в НПФ «Роствертол»

4.2.1. Право субъекта персональных данных на доступ к его персональным данным реализуется в НПФ «Роствертол» в соответствии с нормами Закона.

4.2.2. Субъект персональных данных имеет право на получение сведений о наличии в НПФ «Роствертол» его персональных данных, а также на ознакомление с такими персональными данными. НПФ «Роствертол» обязан сообщить субъекту персональных данных по его просьбе или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

4.2.3. В процессе основной деятельности НПФ «Роствертол» непрерывно взаимодействует с субъектами персональных данных в рамках исполнения договорных обязательств, требуя от субъекта поддержания своих персональных данных в актуальном состоянии. НПФ «Роствертол» вносит необходимые изменения в персональные данные субъекта в срок, не превышающий семь рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными.

4.2.4. Право на получение информации, касающейся обработки персональных данных, закрепляется за субъектом персональных данных с момента заключения договора с НПФ «Роствертол» и действует на протяжении всего срока обработки персональных данных (включая хранение), предусмотренного действующим законодательством Российской Федерации. Право субъекта персональных данных на доступ к своим персональным данным может быть ограничено в случае нарушения при таковом доступе конституционных прав и свобод других субъектов персональных данных и в других случаях, предусмотренных федеральными законами.

4.2.5. При реализации НПФ «Роствертол» своих договорных обязательств в рамках предоставления субъектам персональных данных услуг по пенсионному обеспечению и обязательному пенсионному страхованию НПФ «Роствертол» получает от субъекта персональных данных письменное согласие на обработку его персональных данных.

4.2.6. Субъект персональных данных (или его законный представитель) может безвозмездно ознакомиться с персональными данными, относящимися к этому субъекту персональных данных, обрабатываемых в НПФ «Роствертол», при обращении либо при направлении письменного запроса в адрес НПФ «Роствертол».

4.2.7. Сведения о каждом работнике НПФ «Роствертол» (Ф.И.О., должность и рабочий телефон), который имеет доступ к персональным данным субъекта, могут быть получены субъектом исключительно при направлении им письменного запроса в адрес НПФ «Роствертол».

Письменный запрос субъекта должен содержать сведения, подтверждающие участие субъекта персональных данных в отношениях с НПФ «Роствертол» (номер договора,  дата заключения договора или иные сведения, либо сведения, иным образом подтверждающие факт обработки персональных данных НПФ «Роствертол»).

Запрос должен быть удостоверен следующими документами:

- общегражданским паспортом – в случае непосредственного обращения субъекта персональных данных с запросом в НПФ «Роствертол»;

- электронной цифровой подписью – в случае направления в НПФ «Роствертол» электронного запроса;

- нотариально заверенной подписью – в случае направления в НПФ «Роствертол» почтового запроса;

- документом, подтверждающим полномочия законного представителя субъекта персональных данных, – в случае направления в НПФ «Роствертол» запроса от законного представителя субъекта персональных данных. При этом непосредственно запрос должен быть удостоверен одним из вышеприведенных способов.

4.2.8. При предоставлении в НПФ «Роствертол» в рамках исполнения договорных обязательств персональных данных правопреемников субъект принимает на себя обязательства по уведомлению указанного им правопреемника о целях и способах обработки его персональных данных в НПФ «Роствертол».

Правопреемники субъекта персональных данных вправе получить от НПФ «Роствертол» информацию об обработке и доступ к своим персональным данным, полученным НПФ «Роствертол» от субъекта персональных данных в соответствии с федеральным законодательством, на основании подлинника или нотариально заверенной копии документа о смерти субъекта персональных данных.

4.2.9. Все поступившие письменные и электронные запросы субъектов персональных данных (или их законных представителей) регистрируются секретариатом в журнале входящей корреспонденции НПФ «Роствертол» с докладом президенту НПФ «Роствертол», а затем направляются президентом контролеру НПФ «Роствертол» для занесения в Журнал принятых заявлений по ПДн и компетентному работнику для подготовки ответа субъекту персональных данных.

Ответ НПФ «Роствертол" в письменной форме на запрос субъекта должен быть сформирован компетентным работником, подписан президентом НПФ «Роствертол» и отправлен секретариатом субъекту персональных данных в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя на почтовый адрес

субъекта через отделение почтовой связи заказным письмом с уведомлением о вручении или курьером (непосредственно в руки адресату под роспись).

4.3. Доступ третьих лиц к персональным данным субъектов персональных данных, обрабатываемым в НПФ «Роствертол»

4.3.1. Список третьих лиц, с которыми НПФ «Роствертол» имеет право осуществлять обмен персональными данными, ограничен следующим перечнем:

- правопреемники участников и застрахованных лиц.

 

5. ПОРЯДОК ОБМЕНА ПЕРСОНАЛЬНЫМИ ДАННЫМИ ИСПДн нпФ «РОСТВЕРТОЛ»

5.1. НПФ «Роствертол» осуществляет обмен персональными данными исключительно в случаях и в порядке, установленных федеральными законами Российской Федерации.

5.2. Обмен персональными данными осуществляется с использованием сертифицированных средств криптографической защиты информации и программ для ЭВМ, представляющих собой защищенную телекоммуникационную систему.

 

6. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

6.1. Безопасность персональных данных при их обработке в ИСПДН НПФ «Роствертол» обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона "О персональных данных".

Система защиты персональных данных в ИСПДН НПФ «Роствертол» включает в себя правовые, организационные и технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в ИСПДН НПФ «Роствертол» для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

В целях обеспечения необходимого уровня защищенности персональных данных при их обработке в НПФ «Роствертол» обеспечивается выполнение следующих требований:

6.1.1. назначен работник, ответственный за эксплуатацию и обеспечение безопасности персональных данных при их обработке в ИСПДН НПФ «Роствертол»;

6.1.2. организован режим обеспечения безопасности помещений, в которых размещена ИСПДН НПФ «Роствертол», препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

6.1.3. обеспечивается сохранность носителей персональных данных;

6.1.4. перечень работников НПФ «Роствертол», доступ которых к персональным данным, обрабатываемым в ИСПДН НПФ «Роствертол», необходим для выполнения ими служебных (трудовых) обязанностей, утверждается президентом НПФ «Роствертол»;

6.1.5. используются средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации.

 

6.2. Внутренний контроль соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора в НПФ «Роствертол» осуществляет контролер НПФ «Роствертол».

 

6.3. НПФ «Роствертол» самостоятельно проводит оценку эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных не реже одного раза в 3 года.


 

7. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы с персональными данными работодатель вправе применять предусмотренные Трудовым кодексом Российской Федерации дисциплинарные взыскания.

 

7.2. Лица, виновные в нарушении требований к обработке и защите персональных данных, несут предусмотренную законодательством Российской Федерации ответственность.

 

7.3. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных законодательством Российской Федерации, а также требований к защите персональных данных, установленных в соответствии с законодательством Российской Федерации, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

 

 

Приложение №1


 

Приложение №2