Настоящая политика разработана в соответствии со статьей 18.1 Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных» и является основополагающим внутренним документом ГК «Стройтрансгаз», (далее – Общество) определяющим ключевые направления его деятельности в области обработки и защиты персональных данных (далее - ПДн).

Обработка ПДн в Обществе осуществляется с учетом необходимости обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

В Обществе персональные данные обрабатываются в ходе трудовых и иных непосредственно связанных с ними отношений, в которых Общество выступает в качестве работодателя (гл. 14 Трудового кодекса Российской Федерации), в связи с реализацией своих прав и обязанностей как юридического лица.

В связи с реализацией своих прав и обязанностей как юридического лица, Обществом обрабатываются ПДн физических лиц, являющихся контрагентами Общества по гражданско- правовым договорам, физических лиц, ПДн которых используются для осуществления пропускного режима в занимаемых Обществом помещениях.

В установленном порядке Общество вправе поручить обработку ПДн третьим лицам.

В договоры с лицами, которым Общество поручает обработку ПДн, включаются условия, обязывающие таких лиц соблюдать предусмотренные законодательством требования к обработке и защите ПДн.

Общество может предоставлять обрабатываемые им ПДн государственным органам и организациям, имеющим, в соответствии с законодательством, право на получение соответствующих ПДн.

В Обществе не производится обработка ПДн, несовместимая с целями их сбора. Если иное не предусмотрено законодательством, по окончании обработки ПДн в Обществе, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатываемые Обществом ПДн уничтожатся или обезличиваются.

При обработке ПДн обеспечиваются их точность, достаточность, а при необходимости и актуальность по отношению к целям обработки. Общество принимает необходимые меры по удалению или уточнению неполных, или неточных ПДн.

Для обеспечения безопасности ПДн Общество руководствуется следующими принципами:

-  законность: обеспечение безопасности ПДн основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов Российской Федерации в области обработки и защиты ПДн;

-  комплексность: защита ПДн строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах

Общества (далее - ИС) и других имеющихся в Обществе систем и средств защиты информации;

-  непрерывность: защита ПДн обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки ПДн, в том числе при проведении ремонтных и регламентных работ;

-  своевременность: меры, обеспечивающие надлежащий уровень безопасности ПДн, принимаются до начала их обработки;

-  преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты ПДн осуществляется на основании результатов анализа практики обработки ПДн в Общество с учетом выявления новых способов и средств реализации угроз безопасности ПДн, отечественного и зарубежного опыта в сфере защиты информации;

-  персональная ответственность: ответственность за обеспечение безопасности ПДн возлагается на работников в пределах их обязанностей, связанных с обработкой и защитой ПДн;

-  минимизация прав доступа: доступ к ПДн предоставляется работникам только в объеме, необходимом для выполнения их должностных обязанностей;

-  гибкость: обеспечение выполнения функций защиты ПДн при изменении характеристик функционирования информационных систем Общества, а также объема и состава обрабатываемых ПДн;

-  научная обоснованность и техническая реализуемость: уровень мер по защите ПДн определяется современным уровнем развития информационных технологий и средств защиты информации;

-  специализация и профессионализм: реализация мер по обеспечению безопасности ПДн и эксплуатация систем защиты осуществляются работниками, имеющими необходимые для этого квалификацию и опыт;

-  эффективность процедур отбора кадров и выбора контрагентов: кадровая политика Общества предусматривает тщательный подбор персонала и мотивацию работников, позволяющую минимизировать возможность нарушения ими безопасности ПДн; минимизация вероятности возникновения угрозы безопасности ПДн, источники которых связаны с человеческим фактором, обеспечивается получением наиболее полной информации о контрагентах Общества до заключения договоров;

-  непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты ПДн, а результаты контроля регулярно анализируются.

Общество принимает правовые, организационные и технические меры, необходимые и достаточные для обеспечения исполнения обязанностей, предусмотренных законодательством и принятыми в соответствии с ним нормативными правовыми актами, для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

Состав мер, включая их содержание и выбор средств защиты ПДн, определяется в соответствии с действующим законодательством Российской Федерации.

Основной задачей обеспечения безопасности ПДн при их обработке в Обществе является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения ПДн, разрушения (уничтожения) или искажения их в процессе обработки.

В предусмотренных законодательством случаях обработка ПДн осуществляется Общество с согласия субъектов ПДн.

Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше чем этого требуют цели обработки ПДн, если срок хранения не установлен законодательством, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.

Общество осуществляет ознакомление работников, непосредственно осуществляющих обработку ПДн, с положениями законодательства о ПДн, в том числе требованиями к защите ПДн, Политикой и иными локальными нормативными актами по вопросам обработки ПДн, и (или) обучение указанных работников.

При обработке ПДн с использованием средств автоматизации в Обществе применяются следующие меры:

-  назначается Ответственный за организацию обработки ПДн, определяется его компетенция;

-  утверждаются (издаются) локальные нормативные акты по вопросам обработки и защиты ПДн, в том числе устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений;

-  осуществляется внутренний контроль и (или) аудит соответствия обработки ПДн законодательству и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, настоящей Политике и локальным нормативным актам;

-  проводится оценка вреда, который может быть причинен субъектам ПДн в случае нарушения законодательства, определяется соотношение указанного вреда и принимаемых в Обществе мер, направленных на обеспечение исполнения обязанностей, предусмотренных законодательством.

Обеспечение безопасности ПДн в Обществе при их обработке в информационных системах достигается, в частности, путем:

1)   определения угроз безопасности ПДн. Тип актуальных угроз безопасности ПДн и необходимый уровень защищенности ПДн определяются в соответствии с требованиями законодательства и с учетом проведения оценки возможного вреда;

2)  определения в установленном порядке состава и содержания мер по обеспечению безопасности ПДн, выбора средств защиты информации. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности ПДн, а также с учетом экономической целесообразности в Обществе могут разрабатываться компенсирующие меры, направленные на нейтрализацию актуальных угроз безопасности ПДн. В этом случае в ходе разработки системы защиты проводится обоснование применения компенсирующих мер для обеспечения безопасности ПДн;

3)  применения организационных и технических мер по обеспечению безопасности ПДн, необходимых для выполнения требований к защите ПДн, обеспечивающих определенные уровни защищенности ПДн, включая применение средств защиты информации, прошедших процедуру оценки соответствия, когда применение таких средств необходимо для нейтрализации актуальных угроз.

В Обществе, в том числе, осуществляются:

-  оценка эффективности принимаемых и реализованных мер по обеспечению безопасности ПДн;

-  учет машинных носителей ПДн, обеспечение их сохранности;

-  обнаружение фактов несанкционированного доступа к ПДн и принятие соответствующих мер;

-  восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

-  установление правил доступа к обрабатываемым ПДн, а также обеспечение регистрации и учета действий, совершаемых с ПДн;

-  организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

-  контроль за принимаемыми мерами по обеспечению безопасности ПДн, уровня защищенности информационных систем ПДн.

Обеспечение защиты ПДн в Обществе при их обработке, осуществляемой без использования средств автоматизации, достигается, в частности, путем:

1)  обособления ПДн от иной информации;

2)   недопущения фиксации на одном материальном носителе ПДн, цели обработки которых заведомо не совместимы;

3)  использования отдельных материальных носителей для обработки каждой категории ПДн;

4)   принятия мер по обеспечению раздельной обработки ПДн при несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн;

5)  соблюдения требований:

-  к раздельной обработке зафиксированных на одном материальном носителе ПДн и информации, не относящейся к ПДн;

-  уточнению ПДн;

-  уничтожению или обезличиванию части ПДн;

-  использованию типовых форм документов, характер информации в которых предполагается или допускается включение в них ПДн;

-  ведению журналов, содержащих ПДн, необходимых для выдачи однократных пропусков субъектам ПДн в занимаемые Общество здания и помещения;

-  хранению ПДн, в том числе к обеспечению раздельного хранения ПДн (материальных носителей), обработка которых осуществляется в различных целях, и установлению перечня лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.

АО «Стройтрансгаз» прекращает обработку ПДн при отзыве субъектом ПДн согласия на обработку его ПДн, если в соответствии с законодательством обработка ПДн допускается только с согласия субъекта ПДн.

Руководство АО «Стройтрансгаз» берет на себя ответственность за обеспечение необходимых условий и ресурсов для реализации настоящей Политики.