Политика в области обработки и обеспечения безопасности персональных данных

1              Общие положения

1.1        С целью поддержания деловой репутации и обеспечения выполнения норм федерального законодательства НПФ «Ренессанс Жизнь и Пенсии» (далее – Компания) считает важнейшей задачей обеспечение легитимности обработки и безопасности персональных данных субъектов в бизнес-процессах Компании.

Для решения данной задачи в Компании введена, функционирует и проходит периодический пересмотр (контроль) система защиты персональных данных.

1.2        Обработка персональных данных в Компании основана на следующих принципах:

-          законности целей и способов обработки персональных данных и добросовестности;

-          соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Компании;

-          соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

-          достоверности персональных данных, их актуальности и достаточности для целей обработки, недопустимости обработки избыточных по отношению к целям сбора персональных данных;

-          легитимности организационных и технических мер по обеспечению безопасности персональных данных;

-          непрерывности повышения уровня знаний работников Компании в сфере обеспечения безопасности персональных данных при их обработке;

-          стремления к постоянному совершенствованию системы защиты персональных данных.

2              Цели обработки персональных данных

В соответствии с принципами обработки персональных данных, в Компании определены состав и цели обработки:

-          исполнение положений Трудового/Гражданского/Налогового кодексов и других нормативных актов РФ;

-          принятие решения о трудоустройстве кандидата в Компанию;

-          заключение и выполнение обязательств по трудовым договорам и агентским соглашениям;

-          заключение и выполнение обязательств по договорам обязательного пенсионного страхования;

-          осуществление выплат правопреемникам застрахованных лиц.

3              Правила обработки персональных данных

3.1        В Компании осуществляется обработка следующих категорий ПДн:

-     фамилия, имя, отчество;

-     паспортные данные или данные иного документа, удостоверяющего личность;

-     личные данные (дата, место рождения, пол);

-     сведения о месте жительства (регистрации/фактическое место жительства);

-     контактная информация;

-     данные о гражданстве;

-     сведения об образовании;

-     сведения о дополнительном образовании;

-     сведения о трудовой деятельности;

-     данные о трудовом стаже;

-     сведения о воинском учете;

-     данные военного билета;

-     данные о семейном положении;

-     данные о браке;

-     сведения о супруге;

-     сведения о детях;

-     информация о наградах;

-     информация о наличии взысканий;

-     данные о государственном пенсионном страховании (СНИЛС);

-     данные о постановке на учёт в налоговом органе (ИНН);

-     данные полиса ОМС/ДМС;

-     сведения о трудовом договоре;

-     информация об условиях трудоустройства;

-     данные для табельного учета;

-     информация о должности;

-     информация о заработной плате;

-     сведения о социальных льготах;

-     информация об отработанном времени;

-     данные о командировке;

-     данные об отпуске;

-     сведения о временной нетрудоспособности;

-     информация о смене анкетных данных;

-     информация об увольнении;

-     информация о лицевом счете;

-     сведения о начислении заработной платы;

-     сведения о сумме отпускных;

-     сведения о размере пособия по временной нетрудоспособности;

-     информация о перечисленных страховых взносах;

-     данные о размере выплаты при увольнении работника;

-     информация о начисленных/удержанных средствах;

-     данные о налоговом вычете;

-     данные о премиях;

-     информация о сумме агентских вознаграждений;

-     информация о перечисленных пенсионных выплатах;

-     сведения о договоре ОПС;

-     информация о распределении средств пенсионных накоплений/резервов между правопреемниками;

-     информация о пенсионных накоплениях;

-     информация о прекращении действия договора ОПС;

-     дополнительные сведения, предоставленные субъектом персональных данных.

 

3.2        В Компании НЕ допускается обработка следующих категорий ПДн:

-          расовая принадлежность;

-          политические взгляды;

-          философские убеждения;

-          состояние интимной жизни;

-          национальная принадлежность;

-          религиозные убеждения.

3.3        В Компании осуществляется обработка следующих категорий субъектов ПДн:

-          работники;

-          кандидаты на вакантные должности;

-          субагенты;

-          застрахованные лица;

-          правопреемники.

3.4        Компания в ходе своей деятельности может предоставлять персональные данные субъектов следующим лицам:

-          Федеральной налоговой службе России;

-          Пенсионному фонду России;

-          негосударственным пенсионным фондам;

-          страховым компаниям;

-          медицинским учреждениям;

-          кредитным организациям;

-          организациям, осуществляющим пассажироперевозки;

-          туристическим агентствам;

-          частным охранным предприятиям;

-          зарубежным организациям.

3.5        В Компании НЕ обрабатываются биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).

3.6        В Компании НЕ осуществляется трансграничная передача персональных данных (передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу).

3.7        В Компании запрещено принятие решений относительно субъектов персональных данных на основании исключительно автоматизированной обработки их персональных данных.

3.8        В Компании НЕ осуществляется обработка данных о судимости субъектов.

3.9        Компания НЕ размещает персональные данные субъекта в общедоступных источниках без его предварительного согласия.

4              Реализованные требования по обеспечению безопасности персональных данных

4.1        С целью обеспечения безопасности персональных данных при их обработке в Компании реализуются требования следующих нормативных документов РФ в области обработки и обеспечения безопасности персональных данных:

-          Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;

-          постановление Правительства Российской Федерации от 17.11.2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;

-          постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

-          порядок проведения классификации информационных систем персональных данных (утвержден приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 г. № 55/86/20);

-          базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена заместителем директора ФСТЭК России 15.02.2008 г.);

-          методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена заместителем директора ФСТЭК России 14.02.2008 г.);

-          типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены руководством 8 центра ФСБ России 21.02.2008 г. № 149/6/6-622);

-          методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (утверждены руководством 8 Центра ФСБ России 21.02.2008 г. №149/5-144);

-          положение о методах и способах защиты информации в информационных системах персональных данных (утверждено приказом ФСТЭК России от 05.02.2010 г. № 58;

-          отраслевой стандарт обеспечения безопасности персональных данных СТО НАПФ 4.1-2010.

4.2        Компания проводит оценку вреда, который может быть причинен субъектам персональных данных и определяет угрозы безопасности персональных данных. В соответствии с выявленными актуальными угрозами Компания применяет необходимые и достаточные организационные и технические меры, включающие в себя использование средств защиты информации, обнаружение фактов несанкционированного доступа, восстановление персональных данных, установление правил доступа к персональным данным, а также контроль и оценку эффективности применяемых мер.

4.3        В Компании назначены лица, ответственные за организацию обработки и обеспечения безопасности персональных данных.

4.4        Руководство Компании осознает необходимость и заинтересовано в обеспечении должного как с точки зрения требований нормативных документов РФ, так и обоснованного с точки зрения оценки рисков для бизнеса уровня безопасности персональных данных, обрабатываемых в рамках выполнения основной деятельности Компании.