Гама
Политика в отношении обработки персональных данных в приложении "Гама" (далее – Положение) определяет порядок сбора, хранения, передачи и иных видов обработки персональных данных, а также сведения о реализуемых требованиях к защите персональных данных. Политика разработана в соответствии с действующим законодательством РФ.
Сведениями, составляющими персональные данные, является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Детальный перечень персональных данных фиксируется в локальной нормативной документации. Все обрабатываемые персональные данные являются конфиденциальной, строго охраняемой информацией в соответствии с законодательством.
В целях надлежащего исполнения своих обязанностей, Оператор обрабатывает следующие персональные данные, необходимые для надлежащего исполнения договорных обязательств: - Персональные данные работников Оператора, состоящих в трудовых отношениях с Оператором; - Персональные данные иных физических лиц, в том числе, но не ограничиваясь, состоящих в договорных, гражданско-правовых отношениях с Оператором.
Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей). Оператором установлен перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. Обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. Оператор обеспечивает сохранность персональных данных и принимает меры, исключающие несанкционированный доступ к персональным данным.
Обработка персональных данных, осуществляемая с использованием средств автоматизации, проводится при условии выполнения следующих действий: - Оператор проводит технические мероприятия, направленные на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации; - Защитные инструменты настроены на своевременное обнаружение фактов несанкционированного доступа к персональным данным; - Технические средства автоматизированной обработки персональных данных изолированы в целях недопущения воздействия на них, в результате которого может быть нарушено их функционирование; - Оператор производит резервное копирование данных, с тем, чтобы иметь возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; - Осуществляется постоянный контроль за обеспечением уровня защищенности персональных данных.
Оператор проводит следующие мероприятия: - Определяет угрозы безопасности персональных данных при их обработке, формирует на их основе модели угроз; - Осуществляет разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем; - Формирует план проведения проверок готовности новых средств защиты информации к использованию с составлением заключений о возможности их эксплуатации; - Осуществляет установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией; - Проводит обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними; - Осуществляет учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных; - Осуществляет учет лиц, допущенных к работе с персональными данными в информационной системе; - Осуществляет контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией; - Инициирует разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных; - Имеет описания системы защиты персональных данных.
Для разработки и осуществления конкретных мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе Оператором или уполномоченным лицом ответственным является подразделение информационных технологий Оператора. Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного Оператором.