УТВЕРЖДЕНА
Приказом ПАО МГТС
от "24" апреля 2017 г. № 339

 

Политика
«Обработка персональных данных в ПАО МГТС»
ПТ-МГТС-010-7

Ответственный за применение НД Блок безопасности и режима секретности/Член Правления -заместитель Генерального директора по безопасности и режиму секретности ПАО МГТС;
Ответственное подразделение за разработку НД Блок безопасности и режима секретности/Департамент информационной безопасности/Отдел технологий информационной безопасности;

1. ИНФОРМАЦИЯ О ДОКУМЕНТЕ

Наименование Описание

Цель документа

  • Защита прав и законных интересов субъектов персональных данных.
  • Выполнение ПАО МГТС требований законодательства в области персональных данных.

Краткое описание документа

  • Политика ПТ-МГТС-010 «Обработка персональных данных в ПАО МГТС» (далее Политика) определяет принципы, порядок и условия обработки персональных данных абонентов, работников публичного акционерного общества «Московская городская телефонная сеть» (далее ПАО МГТС) и иных лиц, чьи персональные данные обрабатываются ПАО МГТС, а также третьими лицами по поручению ПАО МГТС.

Ограничение доступа

нет

 

2. ОТВЕТСТВЕННОСТЬ И ОБЛАСТЬ ПРИМЕНЕНИЯ

2.1. Настоящий документ регламентирует деятельность следующих подразделений и должностных лиц, включая исполняющих роли:

Наименование подразделения/должности/роли

ПАО МГТС/Все работники ПАО МГТС, осуществляющие обработку персональных данных

Сотрудники сторонних организаций, выполняющие обработку персональных данных по поручению ПАО МГТС.


3. ОПРЕДЕЛЕНИЯ ТЕРМИНОВ, СОКРАЩЕНИЙ И РОЛЕЙ

3.1. Определения терминов и сокращений

Наименование термина Сокращение Определение термина (расшифровка сокращения)

Абонент

физическое или юридическое лицо, с которым заключен Договор о предоставлении услуг связи

Персональные данные

ПДн

любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Биометрические персональные данные

сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных

Оператор персональных данных

Оператор ПДн

государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными

Обработка персональных данных

любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации, или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

Распространение персональных данных

действия, направленные на раскрытие персональных данных неопределенному кругу лиц

Предоставление персональных данных

действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц

Блокирование персональных данных

временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Уничтожение персональных данных

действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных

Обезличивание персональных данных

действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных

Информационная система персональных данных

ИСПДн

совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств

Трансграничная передача персональных данных

передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу

Локальный нормативный акт

ЛНА

локальный нормативный акт

 

3.2. Определения ролей

Наименование роли Определение роли

нет


4. ОБЩИЕ ПОЛОЖЕНИЯ

4.1. Деятельность ПАО МГТС в соответствии с настоящей Политикой обеспечивает защиту прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиту прав на неприкосновенность частной жизни, личную и семейную тайну. Настоящая Политика призвана скоординировать деятельность при работе ПАО МГТС с ПДн.

4.2. Настоящая Политика разработана в соответствии с положениями Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных» (далее – Закон №152-ФЗ) и действует в отношении всех ПДн обрабатываемых в ПАО МГТС. Политика распространяется на персональные данные, полученные как до, так и после ввода в действие настоящей Политики.

4.3. ПДн являются информацией ограниченного доступа (конфиденциального характера), в соответствии с законодательством РФ. ПДн могут обрабатываться самостоятельно или в составе другой информации конфиденциального характера, порядок обработки которой устанавливается отраслевыми федеральными законами, в частности, о коммерческой тайне (коммерческая тайна), о связи (сведения об абоненте и тайна связи), о банках (банковская тайна), об архивном деле и другими (далее отраслевое законодательство). Порядок обработки ПДн в ПАО МГТС регулируется настоящей Политикой в соответствии с требованиями действующего законодательства РФ в области ПДн и отраслевого законодательства РФ, если в нем установлен порядок обработки информации конфиденциального характера.

4.4. Организация хранения, учета и использования ПДн в ПАО МГТС осуществляется в соответствии Законом №152-ФЗ и ЛНА ПАО МГТС.

4.5. В соответствии с пунктом 2 части 2 статьи 1 Закона №152-ФЗ обращение с документами, переданными на хранение в соответствии с архивным законодательством, не регулируется настоящей Политикой.

4.6. Настоящая Политика распространяется на все процессы ПАО МГТС связанные с обработкой ПДн субъектов и обязательна для применения всеми работниками, осуществляющими обработку ПДн в силу своих должностных обязанностей.

4.7. Во всех случаях, не урегулированных настоящей Политикой, необходимо руководствоваться действующим законодательством Российской Федерации.

4.8. Положения настоящей Политики призваны скоординировать деятельность при работе ПАО МГТС с ПДн. Положения Политики не распространяется на ПДн относящиеся к государственной тайне.

5. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. ПАО МГТС и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

6. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. ПАО МГТС является оператором ПДн, самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку ПДн, а также определяет цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

6.2. Обработка персональных данных субъектов ПДн осуществляется в ПАО МГТС в следующих целях:

  • предоставление услуг связи и выполнения законодательства о связи;
  • обеспечение трудовых и производственных процессов и выполнения законодательства РФ связанного с трудовыми отношениями;
  • учет и регистрация посетителей офисов ПАО МГТС;
  • выполнение законодательства РФ об акционерных обществах;
  • предоставление услуг, неразрывно связанных с услугами связи;
  • предоставление дополнительных услуг;
  • выполнение иных требований законодательства РФ.

6.3. Обработка ПДн должна осуществляться на законной и справедливой основе. Обработке подлежат только ПДн, которые отвечают целям их обработки. Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

6.4. При обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. В ПАО МГТС должны приниматься необходимые меры по удалению или уточнению неполных или неточных данных. Ответственность за своевременное предоставление в ПАО МГТС сведений об изменении ПДн, обрабатываемых в ПАО МГТС, возлагается на субъектов ПДн, которым они принадлежат.

6.5. Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если иной срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

6.6. Обработка ПДн в ПАО МГТС допускается в следующих случаях:

  • обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
  • обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на ПАО МГТС функций, полномочий и обязанностей;
  • обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • обработка ПДн необходима для предоставления государственной или муниципальной услуги;
  • обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, в том числе в случае реализации оператором своего прав на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
  • обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
  • обработка ПДн необходима для осуществления прав и законных интересов ПАО МГТС или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
  • обработка ПДн необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта ПДн;
  • обработка ПДн осуществляется в статистических или иных исследовательских целях, за исключением целей продвижения товаров, работ, услуг на рынке, политической агитации, при условии обязательного обезличивания ПДн;
  • осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе (общедоступные ПДн);
  • обработка ПДн осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством РФ;
  • обработка персональных данных осуществляется в соответствии с законодательством РФ о гражданстве Российской Федерации;
  • осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

6.7. Обработка в ПАО МГТС специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается только в случаях, предусмотренных федеральным законодательством РФ. Обработка указанных специальных категорий ПДн должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась их обработка, если иное не установлено федеральным законом.

6.8. Биометрические ПДн, которые используются ПАО МГТС для установления личности субъекта ПДн, могут обрабатываться в ПАО МГТС только при наличии согласия в письменной форме субъекта ПДн, за исключением случаев, предусмотренных ч. 2 ст. 11 Закона №152-ФЗ.

6.9. Обработка ПДн в ПАО МГТС может осуществляться:

  • работниками ПАО МГТС;
  • другими лицами, осуществляющими обработку ПДн по поручению ПАО МГТС.

6.10. Обработка ПДн другими лицами может осуществляться только на основании соответствующего договора с ПАО МГТС, в котором содержится поручение на обработку ПДн. В поручении должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со статьей 19 Закона №152-ФЗ.

6.11. Обработка ПДн в ПАО МГТС может осуществляться как с использованием, так и без использования средств автоматизации.

6.12. Автоматизированная обработка ПДн должна осуществляться в ИСПДн ПАО МГТС в строгом соответствии с настоящей Политикой.

6.13. В ПАО МГТС запрещается принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных законодательством РФ.

6.14. Неавтоматизированная обработка ПДн должна осуществляться таким образом, чтобы ПДн обособлялись от иной информации, в частности путем фиксации их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм (бланков) и иным способом.

6.15. Лица, осуществляющие обработку ПДн без использования средств автоматизации (работники ПАО МГТС и другие лица, осуществляющие обработку ПДн по поручению ПАО МГТС), должны быть проинформированы о факте обработки ими ПДн, обработка которых осуществляется ПАО МГТС без использования средств автоматизации, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также ЛНА ПАО МГТС.

6.16. При неавтоматизированной обработке ПДн, предполагающей использование типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее - типовая форма), необходимо выполнять следующие условия:

a) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать:

  • сведения о цели обработки ПДн, осуществляемой без использования средств автоматизации;
  • реквизиты ПАО МГТС или стороннего лица, выполняющего обработку ПДн по поручению ПАО МГТС (наименование и адрес);
  • фамилию, имя, отчество и адрес субъекта ПДн;
  • источник получения ПДн, сроки обработки ПДн;
  • перечень действий с ПДн, которые будут совершаться в процессе их обработки;
  • общее описание используемых оператором способов обработки ПДн;

b) типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку ПДн, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку ПДн;

c) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПДн, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПДн;

d) типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы.

6.17. При сохранении ПДн на материальных носителях не допускается сохранение на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДн следует использоваться отдельный материальный носитель.

7. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Субъект ПДн принимает решение о предоставлении его ПДн и даёт согласие на их обработку свободно, своей волей и в своём интересе. Согласие на обработку ПДн может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

7.2. Обязанность предоставить доказательство получения согласия субъекта ПДн на обработку его персональных данных или доказательство наличия оснований, указанных в Законе №152-ФЗ, возлагается на ПАО МГТС.

7.3. Субъект ПДн имеет право на получение информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Субъект ПДн вправе требовать от ПАО МГТС уточнения его персональных данных, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

7.4. Обработка ПДн в целях продвижения товаров, работ, услуг на рынке путём осуществления прямых контактов с потенциальным потребителем с помощью средств связи, допускается только при условии предварительного согласия субъекта ПДн. ПАО МГТС обязано немедленно прекратить по требованию субъекта персональных данных обработку его ПДн в вышеуказанных целях.

  • 7.5. Субъект ПДн, чьи персональные данные обрабатываются в ПАО МГТС, имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
    • подтверждение факта обработки ПДн оператором;
    • правовые основания и цели обработки ПДн;
    • цели и способы обработки ПДн;
    • сроки обработки ПДн, в том числе сроки их хранения;
    • наименование и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу;
    • иные сведения, предусмотренные Законом №152-ФЗ или другими федеральными законами.

    7.6. Сведения, указанные в п.7.5. предоставляются субъекту ПДн ПАО МГТС в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.

    8. ПОЛУЧЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

    8.1. Получение персональных данных в ПАО МГТС организуется таким способом, чтобы не нарушить конфиденциальность собираемых ПДн.

    8.2. Перечень случаев, когда необходимо получить письменное согласие субъекта ПДн на обработку его персональных данных, а также порядок и форма получения согласия определяются ЛНА ПАО МГТС в соответствии с положениями Закона №152-ФЗ.

    8.3. В случае недееспособности субъекта ПДн письменное согласие на обработку его ПДн получается от его законного представителя.

    8.4. ПДн могут быть получены ПАО МГТС от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона №152-ФЗ.

    8.5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменения), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных Законом №152-ФЗ.

    8.6. Порядок получения ПДн определяется ЛНА ПАО МГТС.

    9. СРОКИ ОБРАБОТКИ (ХРАНЕНИЯ) ПЕРСОНАЛЬНЫХ ДАННЫХ

    9.1. Порядок хранения ПДн, обрабатываемых в ПАО МГТС, определяется ЛНА ПАО МГТС в соответствии с положениями Закона №152-ФЗ.

    9.2. Сроки обработки (хранения) ПДн определяются в соответствии со сроком действия договора с субъектом ПДн, приказом Минкультуры РФ от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», сроками исковой давности, а также иными сроками, установленными законодательством РФ и ЛНА ПАО МГТС.

    9.3. Персональные данные, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом. Хранение ПДн после истечения срока хранения допускается только после их обезличивания.

    10. УТОЧНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

    10.1. Уточнение ПДн, обрабатываемых в ПАО МГТС осуществляется по запросам субъектов ПДн, их законных представителей или в случае обращения уполномоченного органа по защите прав субъектов ПДн.

    10.2. Уточнение ПДн при осуществлении их обработки без использования средств автоматизации следует производить путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, то путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

    11. ПРЕДОСТАВЛЕНИЕ И ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

    11.1. При предоставлении ПДн третьей стороне должны выполняться следующие условия:

    • передача (предоставление доступа) ПДн третьей стороне осуществляется на основании договора, существенным условием которого является обеспечение третьей стороной конфиденциальности ПДн и безопасности персональных данных при их обработке;
    • передача (предоставление доступа) ПДн третьей стороне в соответствии с действующим законодательством РФ;
    • наличие письменного согласия субъекта ПДн на передачу его ПДн третьей стороне, за исключением случаев предусмотренных законодательством.

    11.2. Трансграничная передача ПДн, на территорию иностранных государств не осуществляется.

    11.3. В целях информационного обеспечения в ПАО МГТС могут создаваться специализированные справочники (телефонные, адресные книги и др.), содержащие персональные данные, к которым с письменного согласия субъекта ПДн может предоставляться доступ неограниченному кругу лиц.

    11.4. Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

    12. БЛОКИРОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

    12.1. Основанием блокирования ПАО МГТС персональных данных, относящихся к соответствующему субъекту ПДн, является:

    • обращение или запрос субъекта ПДн при условии подтверждения факта недостоверности, устаревания, неполноты персональных данных, отсутствия необходимости в них для заявленной цели обработки, неправомерных действий с ними, незаконного их получения;
    • обращение или запрос законного представителя субъекта при условии подтверждения факта недостоверности, устаревания, неполноты персональных данных, отсутствия необходимости в них для заявленной цели обработки, неправомерных действий с ними, незаконного их получения;
    • обращение или запрос уполномоченного органа по защите прав субъектов персональных данных при условии подтверждения факта недостоверности, устаревания, неполноты персональных данных, отсутствия необходимости в них для заявленной цели обработки, неправомерных действий с ними, незаконного их получения.

    13. УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

    13.1. Основанием для уничтожения ПДн, обрабатываемых в ПАО МГТС является:

    • достижение цели обработки ПДн;
    • утрата необходимости в достижении цели обработки ПДн;
    • отзыв субъектом ПДн согласия на обработку своих ПДн, за исключением случаев, когда обработка указанных ПДн является обязательной в соответствии с законом РФ или договором;
    • выявление неправомерных действий с ПДн и невозможности устранения допущенных нарушений в срок, не превышающий трех рабочих дней с даты такого выявления;
    • истечение срока хранения ПДн, установленного законодательством РФ и ЛНА ПАО МГТС;
    • предписание уполномоченного органа по защите прав субъектов ПДн, Прокуратуры России или решение суда.

    13.2. При несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн и при необходимости уничтожения или блокирования части ПДн уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению или блокированию.

    13.3. Уничтожение части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

    14. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

    14.1. При обработке ПДн ПАО МГТС принимает правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

    14.2. Обеспечение безопасности ПДн осуществляется в рамках установления в ПАО МГТС режима безопасности информации конфиденциального характера.

    14.3. Обеспечение безопасности ПДн, в частности, достигается:

    • определением угроз безопасности ПДн при их обработке в ИСПДн;
    • применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн;
    • применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
    • оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
    • учетом машинных носителей ПДн;
    • обнаружением фактов несанкционированного доступа к ПДн и принятием мер к блокированию каналов несанкционированного доступа;
    • восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
    • установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
    • контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ПДн в ИСПДн.

    14.4. Обеспечение безопасности тайны связи и сведений об абонентах при обработке информации в системах и сетях связи осуществляется в соответствии с требованиями законодательства РФ о связи.

    14.5. Обеспечение безопасности ПДн, обрабатываемых в информационных системах при обеспечении оперативно-розыскных мероприятий, осуществляется в соответствии с законодательством РФ об оперативно-розыскной деятельности.

    14.6. В соответствии с требованиями федерального закона «О лицензировании отдельных видов деятельности» при обеспечении безопасности ПДн в ИСПДн с использованием средств технической и/или криптографической защиты информации ПАО МГТС получает соответствующие лицензии ФСТЭК и/или ФСБ России.

    14.7. Уровни защищенности ПДн при их обработке в ИСПДн ПАО МГТС, требования к защите ПДн, обеспечивающих уровни защищенности ПДн, требования к материальным носителям биометрических ПДн и технологиям их хранения вне ИСПДн, определяются в зависимости от актуальных угроз безопасности персональным данным с учетом возможного вреда субъекту ПДн, объема и содержания обрабатываемых ПДн, вида деятельности, при осуществлении которого обрабатываются ПДн, актуальности (уровня) угроз безопасности ПДн в соответствии с Законом №152-ФЗ, Постановлениями Правительства РФ, иными нормативными правовыми актами, а также договорами между ПАО МГТС, операторами ПДн и субъектами ПДн.

    14.8. Использование и хранение биометрических ПДн вне ИСПДн осуществляется только с применением материальных носителей информации и технологии хранения, которые обеспечивают защиту биометрических ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления и распространения.

    14.9. Защита ПДн при неавтоматизированной обработке осуществляется в соответствии с требованиями подзаконных нормативно-правовых актов РФ и ЛНА ПАО МГТС по работе с материальными носителями информации.

    15. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

    15.1. ПАО МГТС и/или работники ПАО МГТС, виновные в нарушении требований законодательства РФ в области персональных данных, а также положений настоящей Политики, несут предусмотренную законодательством Российской Федерации ответственность.

    15.2. Моральный вред, причиненный субъекту ПДн вследствие нарушения его прав, нарушения правил обработки ПДн, а также требований к защите ПДн подлежит возмещению в соответствии с законодательством Российской Федерации.

    16. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

    16.1. Настоящая Политика является общедоступной. Общедоступность Политики обеспечивается путем ее опубликования на сайте ПАО МГТС в сети «Интернет» по адресу: mgts.ru.

    16.2. Настоящая Политика подлежит пересмотру в соответствии с ЛНА ПАО МГТС.

    16.3. Лица, чьи персональные данные обрабатываются ПАО МГТС, могут получить разъяснения по вопросам обработки своих персональных данных, направив соответствующий письменный запрос по почтовому адресу: 119991, Россия, г. Москва, ул. Большая Ордынка, дом 25, стр. 1, или в электронной форме по адресу: mgts@mgts.ru

    17. НОРМАТИВНЫЕ ССЫЛКИ

    17.1. Внешние документы

    № п/п Наименование документа

    Путь (адрес) к документу на внутреннем портале

    1

    Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»

    2

    Приказ Минкультуры России от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»