Утверждено

Политика

Акционерного общества «Псковские Коммунальные Системы» в отношении обработки и защиты персональных данных

1. Аннотация

Настоящая Политика акционерного общества «Псковские коммунальные системы» в отношении обработки и защиты персональных данных (далее – Политика) регулирует отношения, связанные с обработкой персональных данных, осуществляемой Акционерным обществом «Псковские коммунальные системы» (далее АО «ПКС»)  с использованием средств автоматизации или без использования таких средств.

2. Политика защиты персональных данных

2.1 Назначение Политики

Настоящая Политика предназначена для определения правил обработки и обеспечения безопасности персональных данных с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, а также законных прав и интересов АО «ПКС» связанных с необходимостью обработки персональных данных.

Все работы по обработке персональных данных в АО «ПКС»  проводятся в строгом соответствии с законодательством РФ, локальными правовыми актами:  Положением о работе  с персональными данными населения, Политикой АО «ПКС» в отношении обработки и защиты персональных данных.

2.2. Порядок утверждения Политики

Настоящая Политика утверждается и вводится в действие приказом генерального директора АО «ПКС» и является обязательным для исполнения  работниками, которые имеют доступ к персональным данным, а также осуществляют обработку персональных данных.

2.3. Идентификация Политики

Полное и официальное наименование настоящей Политики: «Политика Акционерного общества «Псковские коммунальные системы» в отношении обработки и защиты персональных данных».

Полное наименование настоящей Политики является однозначно определяющим его   идентификатором.

2.4. Ознакомление должностных лиц с Политикой

Должностные лица АО «ПКС», которые при осуществлении должностных обязанностей имеют доступ либо обрабатывают персональные данные,  ознакомлены с настоящей Политикой под роспись.

2.5. Нормативно-правовое обоснование и статус Политики

Настоящая Политика разработана в соответствии с действующим законодательством Российской Федерации, государственными и отраслевыми стандартами, рекомендациями уполномоченных органов исполнительной власти и др., и является документом, определяющим общие правила обработки и обеспечения безопасности, персональных данных в АО «ПКС».

2.6. Срок действия Политики

Действие настоящей Политики является бессрочным.

2.7. Толкование Политики и порядок её применения

Термины, применяемые в настоящей Политики, используются строго в контексте общего смысла Политики. В случае противоречия и (или) расхождения смысла и толкования положений настоящей Политики со смыслом терминов и определений, приведённых в п. 3.1, применяется толкование терминов и определений в соответствии с п. 3.1 настоящей Политики.

В случае противоречия и (или) расхождения названия какой-либо статьи настоящей Политики со смыслом какого-либо пункта, в ней содержащегося, подлежат применению формулировки каждого конкретного пункта.

В случае противоречия и (или) расхождения положений настоящей Политики с действующим законодательством Российской Федерации, применяются положения соответствующих нормативно-правовых актов Российской Федерации. В случае возникновения противоречий и (или) расхождений различных положений настоящей Политики применяются специальные положения.

2.8. Информация об операторе

Полное официальное наименование: Акционерное общество «Псковские коммунальные системы»;

Сокращённое официальное наименование: АО «ПКС»;

ИНН 6027139120, КПП 602701001, ОГРН 1116027014751;

Фактический адрес: 180000, г. Псков, ул. Советская, д.31;

E-mail: info@pkspskov.ru;

Тел.8(8112)29-12-50, факс 8(8112)72-12-50

3. Общие требования по обработке персональных данных

3.1. Понятия и определения

Термины, определения и понятия, используемые в настоящей Политики, определяются согласно нормативно-правовым актам.

В целях настоящей Политики используются следующие основные понятия:

  1. персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);
  2. оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  3. обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение персональных данных;
  4. автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
  5. распространение персональных данных – действия, направленные на раскрытие персональных данных неопределённому кругу лиц;
  6. предоставление персональных данных – действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;
  7. блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  8. уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
  9. обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
  10. информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

3.2. Принципы обработки персональных данных

Обработка персональных данных в АО «ПКС» осуществляется на основе следующих принципов:

  • соблюдение законных прав субъекта персональных данных;
  • законности целей и способов обработки персональных данных и добросовестности;
  • соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям АО «ПКС;
  • соответствия объёма и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
  • достоверности персональных данных, их достаточности для целей обработки;
  • недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
  • недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;
  • хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
  • уничтожения персональных данных по достижении целей обработки или в случае утраты необходимости в их достижении;
  • принятия необходимых организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий;
  • соблюдения обязанностей, возлагаемых на оператора персональных данных, действующим законодательством и иными нормативными актами по обработке персональных данных;
  • личной ответственности должностных лиц, осуществляющих обработку персональных данных;
  • документального подтверждения всех принятых решений по обработке  и обеспечению безопасности персональных данных.

Нарушение указанных принципов обработки персональных данных запрещается.

3.3. Цель обработки персональных данных

АО «ПКС», являясь оператором персональных данных, определяет  цели и содержание обработки персональных данных в своих информационных системах персональных данных и в учреждении в целом.

Цель обработки персональных данных в АО «ПКС» в целом,  соответствует  заявленным в учредительных документах видам деятельности.

Цели обработки персональных данных в информационных системах персональных данных  чётко определены и соответствуют перечням задач.

Цели обработки персональных данных определяют:

  • объем обрабатываемых персональных данных (достаточность и недопустимость обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных);
  • характер обрабатываемых персональных данных;
  • способы обработки персональных данных;
  • срок обработки (в том числе хранения) персональных данных.

Цели обработки персональных:

  • законны (имеют правовое обоснование);
  • заранее определены;
  • заявлены при сборе персональных данных;
  • соответствуют полномочиям оператора;

Не допускается объединение созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

Совместимость целей определяется по наличию общей цели связанной с заявленным в учредительных документах организации видом деятельности или по наличию общей цели, определяемой действующим законодательством Российской Федерации.

АО «ПКС» является информационно-расчетным центром и осуществляет обработку персональных  данных с целью выполнения обязательств по  агентским договорам, заключённым с предприятиями коммунального комплекса на сопровождение расчётов по договорам на предоставление жилищно-коммунальных услуг населению.

Агент – АО «ПКС» от своего имени по поручению и за счет Принципала оказывает информационно-вычислительные и иные услуги по сопровождению расчётов Принципала с собственниками и пользователями помещений в многоквартирных и индивидуальных жилых домах.

Обращения (письменные запросы, заявления) граждан по вопросам начисления платы за жилищно-коммунальные услуги рассматриваются в установленном законом порядке. Заявления граждан подлежат хранению в течении трех лет в архиве, после истечения указанного срока документы подлежат уничтожению  с использованием специализированной техники для уничтожения документов – шредера.

Принципал предоставляет Агенту – АО  «ПКС» всю информацию (персональные данные собственников и пользователей помещений) необходимую для исполнения обязательств по агентскому договору.

3.4. Перечень персональных данных, подлежащих обработке.

АО «ПКС» обрабатывает следующие персональные данные

в отношении потребителей жилищно-коммунальных услуг:

  1. фамилия, имя, отчество, дата рождения;
  2. контактный телефон;
  3. адрес фактического проживания;
  4. сведения о собственниках на жилые и нежилые помещения (фамилия, имя, отчество);
  5. сведения о жилых помещениях (зарегистрированные жильцы);
  6. сведения о временном отсутствии по месту, временная регистрация).

3.5.Способы обработки персональных данных в информационных системах персональных данных в зависимости от применения средств автоматизации

Обработка персональных данных в АО «ПКС» включает: сбор, систематизацию, использование, хранение, обновление и уничтожение персональных данных.

Способы обработки персональных данных в рамках каждой из заявленных задач обработки персональных данных в информационной системе персональных данных:

обработка персональных данных без использования средств автоматизации осуществляется в соответствии с Постановлением Правительства РФ от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».;

обработка персональных данных с использованием средств автоматизации осуществляется в соответствии с  Постановлением Правительства РФ  от 01.11.2012 года N 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных” .

3.6 Информационные системы персональных данных

3.6.1. Критерии определения информационных систем персональных данных АО «ПКС»

Все информационные системы, в которых производится обработка персональных данных, являются информационными системами персональных данных. Информационная система персональных данных состоит из совокупности:

базы данных, в состав которой входят персональные данные;

информационных технологий, позволяющих осуществлять обработку, содержащихся в базе данных персональных данных;

технических средств, позволяющих осуществлять обработку, содержащихся в базе данных персональных данных.

Обработка персональных данных может осуществляться как с использованием средств автоматизации, так и без использования таких средств.

Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлечённых из такой системы, считается осуществлённой без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Частным случаем автоматизированной обработки персональных данных является исключительно автоматизированная обработка персональных данных, при осуществлении которой решения, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, принимаются на основании исключительно автоматизированной обработки его персональных данных.

Обязательным условием создания информационной системы персональных данных является наличие обособленной базы данных, содержащей персональные данные, при изоляции которой от других информационных систем персональных данных, возможна обработка содержащихся в ней персональных данных с помощью информационных технологий и технических средств, входящих в состав этой информационной системы персональных данных.

Допускается использование одних и тех же информационных технологий и технических средств, для обработки различных баз данных, содержащих персональные данные, при этом разделение на различные информационные системы персональных данных производится по критерию уникальности баз данных, содержащих персональные данные.

3.6.2. Наименование информационной системы персональных данных:

Перечень информационных систем, используемых в АО «ПКС» утверждён генеральным директором АО «ПКС». Для каждой информационной системы персональных данных составлен акт классификации, который является конфиденциальным документом и имеет гриф конфиденциальности «КОНФЕДЕНЦИАЛЬНО».

4. Конфиденциальность персональных данных

4.1. Режим ограниченного доступа к персональным

С целью реализации требований действующего законодательства Российской Федерации в области персональных данных по обеспечению конфиденциальности персональных данных в АО «ПКС»  вводится режим ограниченного доступа к персональным данным.

Создание режима ограниченного доступа к персональным данным включает в себя:

создание и уточнение Перечня информации ограниченного доступа ;

определение помещений, предназначенных для обработки персональных данных;

определение должностных лиц  допущенных к обработке персональных данных;

В АО «ПКС» издан приказ, которым утверждён перечень должностных лиц допущенных к обработке персональных данных, должностные лица  ознакомлены с Приказом под роспись.

Допуск работников к обработке персональных данных без ознакомления с  Положением о работе с персональными данными населения в АО «ПКС», Политикой обработки и защиты персональных данных категорически запрещается.

Работники допущенные к обработке персональных данных подписывают обязательство о неразглашении персональных данных и предупреждены о том, что в случае нарушения  требований действующего законодательства и (или) Положения о работе с персональными данными населения в АО “ПКС”,  Политики обработки и защиты персональных данных определяющих режим их обработки, в том числе в случае их незаконного разглашения или утраты,  несут ответственность в соответствии с действующим законодательством,

  • определение технических средств обработки персональных данных;
  • определение информационных ресурсов;
  • создание комиссии по защите персональных данных;
  • создание актов классификации помещений, предназначенных для обработки персональных данных на предмет соответствия требованиям к инженерно-технической укрепленности по защите объектов от преступных посягательств;
  • проведение мероприятий по обследованию помещений, предназначенных для обработки персональных данных, с составлением актов соответствия или проведением, при необходимости, доработок помещений по инженерно-технической укрепленности по защите объектов от преступных посягательств;
  • дополнение в гражданско-правовые договоры с контрагентами по вопросам обязательства по обеспечению охраны конфиденциальности информации и ответственности за обеспечение охраны ее конфиденциальности;
  • не разглашении работниками  информации ограниченного доступа, обладателями которой является АО «ПКС», в том числе и после прекращения или расторжения трудового договора;  отказе работниками без согласия АО «ПКС» в использовании информации ограниченного доступа в личных целях;
  • разработка инструкций о действиях работников, допущенных к обработке информации ограниченного доступа с такой информацией (носителями) при возникновении чрезвычайных ситуаций (стихийных бедствий, техногенных катастроф, наводнений, пожаров, нарушениях правопорядка и др.);
  • разработка инструкций для работников, допущенных к обработке информации ограниченного доступа, по вопросам обеспечения безопасности персональных данных.

В АО «ПКС» утверждены приказами генерального директора «Инструкция пользователей и технология обработки персональных данных в информационной системе персональных данных Акционерного общества «Псковские коммунальные системы»», «Инструкция ответственного за организацию работы по обработке персональных данных в акционерном обществе «Псковские коммунальные системы»».

4.2 . Порядок снятия режима конфиденциальности

В случаях, оговорённых  Положением о работе с персональными данными населения в АО “ПКС”, допускается снятие режима конфиденциальности.

Снятие режима конфиденциальности осуществляется только на основании приказа генерального директора АО «ПКС». Перед осуществлением операций по снятию режима конфиденциальности лица, их осуществляющие, обязаны убедиться, что все условия таких действий, оговорённые  Положением и определённые действующим законодательством Российской Федерации, соблюдены.

5. Состав мероприятий по обеспечению безопасности персональных данных

Мероприятия по обеспечению безопасности персональных данных  носят комплексный характер и включают в себя правовые, организационные и технические меры.

Порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются  Положением.

В АО «ПКС» назначена комиссия по защите персональных данных.

Комиссия является постоянно действующим органом и создана в целях исполнения требований Федерального закона №152-ФЗ от 27 июля 2006 года «О персональных данных», иных законодательных и нормативных актов, регламентирующих обработку персональных данных.

Состав комиссии:

  • Председатель
  • Заместитель председателя

Члены комиссии:

  • специалист по кадровой и правовой работе
  •  системный администратор
  • главный бухгалтер

Комиссия определяет приоритетные направления и формы деятельности в области защиты персональных данных. Определяет состав мероприятий по обеспечению безопасности персональных данных и осуществляет их проведение.

  •  Комиссия проводит специальные исследования и контрольные проверки  по выявлению демаскирующих признаков, возможных каналов утечки персональных данных, в том числе по техническим каналам;
  • Комиссия рассматривает результаты и проводит анализ сложившейся практики работы АО «ПКС» в области обеспечения безопасности персональных данных;

Состав мероприятий по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации.

Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

При хранении материальных носителей  соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

Состав мероприятий по обеспечению безопасности персональных данных при их обработке, осуществляемой с использованием средств автоматизации.

Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных  включает в себя:

  • определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
  • разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
  • проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
  • установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
  • обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
  • учёт применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
  • учёт лиц, допущенных к работе с персональными данными в информационной системе;
  • контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
  • разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
  • описание системы защиты персональных данных.

К методам и способам защиты информации в информационных системах персональных данных относятся:

  • методы и способы защиты информации, обрабатываемой техническими средствами информационной системы, от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий (далее – методы и способы защиты информации от несанкционированного доступа);
  • методы и способы защиты речевой информации, а также информации, представленной в виде информативных электрических сигналов, физических полей, от несанкционированного доступа к персональным данным, результатом которого может стать копирование, распространение персональных данных, а также иных несанкционированных действий (далее – методы и способы защиты информации от утечки по техническим каналам).

Методами и способами защиты информации от несанкционированного доступа являются:

  • реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с её использованием работам, документам;
  • ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;
  • резервирование технических средств, дублирование массивов и носителей информации;
  • использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
  • использование защищённых каналов связи;
  • размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;
  • организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;
  • предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.

5.1.Требования к помещениям, в которых производится обработка персональных данных

Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведётся работа с персональными данными, организация режима обеспечения безопасности в этих помещениях  обеспечивают сохранность носителей персональных данных и средств защиты информации, а также исключают возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

Помещения, в которых располагаются технические средства информационных систем персональных данных или хранятся носители персональных данных, соответствуют требованиям пожарной безопасности, установленными действующим законодательством Российской Федерации.

5.2. Требования к персоналу, задействованному в обработке персональных данных

Лица, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утверждённого генеральным директором    АО «ПКС».

Лица, обрабатывающие персональные данные обязаны:

  • знать и выполнять действующее законодательство в области персональных данных;
  • знать и выполнять локальные нормативные документы АО «ПКС» по вопросам обработки и обеспечения безопасности персональных данных;
  • правильно эксплуатировать средства защиты информации, в соответствии с документацией к ним.

5.3. Требования к техническим средствам, системному программному обеспечению и их настройкам

Требования к техническим средствам, системному программному обеспечению и их настройкам определяются требованиями документов по оценке соответствия средств защиты информации, заводской и  эксплуатационной документации на них.

6. Порядок контроля за соблюдением требований по обработке и обеспечению безопасности персональных данных

6.1. Порядок внутреннего контроля за соблюдением требований по обработке и обеспечению безопасности данных

С целью соблюдения законности обработки и обеспечения безопасности персональных данных в АО «ПКС» проводится периодический контроль за соблюдением установленных требований по данным вопросам.

Основными вопросами внутреннего контроля являются:

  • соответствие документации по вопросам персональных данных реальному положению дел;
  • соблюдение лицами, допущенными к обработке персональных данных, всех требований, установленными локальными нормативными актами по вопросам персональных данных.

6.2. Порядок внешнего контроля за соблюдением требований по обработке и обеспечению безопасности данных

Законодательство в области персональных данных определяет следующие контролирующие органы по вопросам обработки и обеспечения безопасности персональных данных:

уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям законодательства в области персональных данных, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору сфере связи, информационных технологий и массовых коммуникаций – Управление Роскомнадзора по Псковской области.

7. Ответственность за нарушение норм, регулирующих обработку персональных данных

Лица, допустившие нарушений правил обработки или обеспечения безопасности персональных данных несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

8. Мероприятия при возникновении обстоятельств непреодолимой силы (форс-мажор)

В случае возникновения обстоятельств непреодолимой силы, возникших в результате событий чрезвычайного характера, которые АО «ПКС» не могло предвидеть и предотвратить разумными мерами, должностные лица АО «ПКС» обязаны принять все возможные меры по недопущению нарушения прав субъектов персональных данных.

К обстоятельствам непреодолимой силы относятся события, на которые АО «ПКС» не могло оказывать влияние и за возникновение которых оно не несет ответственности: землетрясение, наводнение, пожар, забастовки, насильственные или военные действия любого характера, решения органов государственной власти препятствующие исполнению требований законодательства в области персональных данных.