Политика информационной безопасности ГУ - Амурского регионального отделения Фонда социального страхования РФ в части обработки персональных данных

1. Общие положения

1.1. Настоящей Политикой регулируются отношения, связанные с обработкой персональных данных, осуществляемой Государственным учреждением – Амурским региональным отделением Фонда социального страхования Российской Федерации (далее - региональное отделение Фонда) с использованием средств автоматизации и без использования таких средств. Действие Политики не распространяется на отношения, возникающие при обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

1.2. Региональное отделение Фонда для автоматизированной обработки персональных данных использует сервисы доступные в Амурском региональном сегменте Федеральной Государственной информационной системы «ЕИИС Соцстрах» (далее - ЕИИС «Соцстрах») ФГИС «ЕИИС «Соцстрах» включена в реестр Федеральных Государственных информационных систем.

1.3. Региональное отделение Фонда обрабатывает персональные данные субъектов персональных данных в следующих целях:

            - предоставление региональным отделением Фонда государственных услуг;

            - осуществление функций работодателя.

1.4. Основные понятия, используемые в настоящей Политике:

- персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);

- оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

- угроза безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных;

- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2. Правовые основания обработки персональных данных

2.1. Региональное отделение Фонда является оператором персональных данных.

2.2. Региональное отделение Фонда обрабатывает персональные данные своих работников, застрахованных лиц, страхователей, инвалидов и отдельных категорий граждан из числа ветеранов техническими на основании:

- Трудового Кодекса Российской Федерации;

- Федерального закона от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»;

- Федерального закона от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;

- Федерального закона от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;

- Федерального закона от 19.05.1999 № 81-ФЗ «О государственных пособиях гражданам, имеющим детей»;

- Федерального закона от 24.11.1995 № 181-ФЗ «О социальной защите инвалидов в Российской Федерации»;

- Федерального закона от 17.07.1999 № 178-ФЗ «О государственной социальной помощи»;

- Постановления Правительства РФ от 21.04.2011 № 294 «Об особенностях финансового обеспечения, назначения и выплаты в 2012 - 2020 годах территориальными органами Фонда социального страхования Российской Федерации застрахованным лицам страхового обеспечения по обязательному социальному страхованию на случай временной нетрудоспособности и в связи с материнством и по обязательному социальному страхованию от несчастных случаев на производстве и профессиональных заболеваний, осуществления иных выплат и возмещения расходов страхователя на предупредительные меры по сокращению производственного травматизма и профессиональных заболеваний работников, а также об особенностях уплаты страховых взносов по обязательному социальному страхованию на случай временной нетрудоспособности и в связи с материнством и по обязательному социальному страхованию от несчастных случаев на производстве и профессиональных заболеваний»;

- иных нормативных правовых актов Российской Федерации, регулирующих правоотношения: по обязательному социальному страхованию от несчастных случаев на производстве и профессиональных заболеваний, по обязательному социальному страхованию на случай временной нетрудоспособности и в связи с материнством, по обеспечению инвалидов и отдельных категорий граждан из числа ветеранов техническими средствами реабилитации / протезно-ортопедическими изделиями  / услугами, по предоставлению инвалидам и отдельным категориям граждан из числа ветеранов, при наличии у них медицинских показаний, путевок на санаторно-курортное лечение и бесплатного проезда к месту лечения и обратно.

2.3. Региональное отделение Фонда обрабатывает персональные данные специальных категорий в соответствии со ст. 10 Федерального закона от 27.07.2006 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ).

3. Принципы и условия обработки персональных данных

3.1. Обработка персональных данных осуществляется на законной и справедливой основе.

3.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

3.4. В информационной системе регионального отделения Фонда обрабатываются только персональные данные, отвечающие целям их обработки.

3.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки.

3.6. При обработке персональных данных обеспечены точность персональных данных, их достаточность, актуальность по отношению к целям обработки персональных данных. Региональное отделение Фонда принимает необходимые меры по удалению или уточнению неполных, или неточных данных.

3.7. В региональном отделении Фонда обеспечивается конфиденциальность персональных данных.

3.8. Хранение персональных данных на бумажных носителях осуществляется в соответствии Федеральным законом от 22.10.2004  № 125-ФЗ «Об архивном деле в Российской Федерации», Законом Амурской области 27.06.2005 № 21-ОЗ «Об управлении архивным делом в Амурской области», Приказом  ФСС РФ от 02.07.1999 № 102 "Об утверждении Правил учета и хранения в исполнительных органах Фонда социального страхования Российской Федерации документов, подтверждающих право пострадавших на обеспечение по обязательному социальному страхованию от несчастных случаев на производстве и профессиональных заболеваний»

3.9. Права субъекта персональных данных реализованы в соответствии со ст. 14 Федерального закона № 152-ФЗ.

3.10. Субъекту персональных данных в соответствии со ст. 17 Федерального закона № 152-ФЗ предоставлено право на обжалования действий или бездействия оператора персональных данных.

4. Меры, направленные на обеспечение выполнения региональным отделением Фонда обязанностей, предусмотренных действующим Российским законодательством в области защиты персональных данных

4.1. Проведена классификация регионального сегмента ЕИИС «Соцстрах» по уровню защищенности в соответствии с Постановлением Правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

4.2. Определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных.

4.3. Проведена классификация ЕИИС «Соцстрах» по требованиям к классу защищенности регионального сегмента ЕИИС «Соцстрах» в соответствии с приказом ФСТЭК от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей Государственную тайну, содержащейся Государственных информационных системах».

4.4. Разработан и внедрен комплекс технических и организационно-распорядительных мероприятий в соответствии с действующим Российским законодательством в области защиты информации, в том числе:

4.4.1. Назначены ответственные лица:

            - за организацию обработки персональных данных;

            - за обеспечение защиты персональных данных при их обработке с использованием ЕИИС «Соцстрах»;

            - за обеспечение защиты персональных данных при их обработке без использования средств автоматизации.

4.4.2. Создана комиссия по защите  персональных данных.

4.4.3. Назначено структурное подразделение, ответственное за обеспечение защиты конфиденциальной информации, в т.ч. персональных данных при их обработке в ЕИИС «Соцстрах».

 4.4.4. Установлен порядок доступа к персональным данным, обрабатываемым в ЕИИС «Соцстрах», а также обеспечена регистрация и учета всех действий, совершаемых с персональными данными в ЕИИС «Соцстрах».

4.4.5. Организован учет машинных носителей персональных данных.

4.4.6. Для технической защиты информации применяются средства прошедшие в установленном порядке процедуру оценки соответствия (сертифицированные по информационной безопасности).

4.4.7. На федеральном уровне предусмотрены средства обнаружения фактов несанкционированного доступа к  данным ЕИИС «Соцстрах».

4.4.8. Предусмотрена возможность оперативного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

4.4.9. Разработаны меры внутреннего контроля соответствия обработки персональных данных Федеральному закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора.

4.4.10. Выполнено ознакомление работников регионального отделения Фонда, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных под роспись.

Политика ГУ – Амурского регионального отделения Фонда социального страхования Российской Федерации в области защиты персональных данных утверждена приказом Государственного учреждения – Амурского регионального отделения Фонда социального страхования Российской Федерации от 05.10.2020 № 86А (скачать)