4.1.4. Работнику [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА], должность которого не включена в Перечень подразделений и работников, допущенных к работе с персональными данными, обрабатываемыми в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА], но которому необходим разовый или временный доступ к персональным данным субъектов персональных данных в связи с исполнением должностных обязанностей, приказом [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] может быть предоставлен такой доступ на основании письменного мотивированного запроса непосредственного руководителя работника.
4.1.5. Работник [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] получает доступ к персональным данным субъектов персональных данных после:
- ознакомления и изучения требований настоящего Положения и иных внутренних нормативных документов [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] по защите персональных данных в части, его касающейся;
- прохождения инструктажа о соблюдении правил обработки персональных данных, обрабатываемых в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА];
- ознакомления с видами ответственности за нарушение (невыполнение) норм законодательства РФ в сфере обработки персональных данных.
4.2. Доступ субъектов персональных данных к персональным данным, обрабатываемым в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА]
4.2.1. В процессе основной деятельности [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] непрерывно взаимодействует с субъектами персональных данных в рамках исполнения договорных обязательств, требуя от субъекта поддержания своих персональных данных в актуальном состоянии.
4.2.2. Субъект персональных данных имеет право на получение сведений о наличии в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] его персональных данных, а также на ознакомление с такими персональными данными.
4.2.3. Право субъекта персональных данных на доступ к своим персональным данным может быть ограничено в случае нарушения при таковом доступе конституционных прав и свобод других субъектов персональных данных.
4.2.4. Право на получение информации, касающейся обработки персональных данных, закрепляется за субъектом персональных данных с момента заключения договора с [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] и действует на протяжении всего срока обработки персональных данных (включая хранение), предусмотренного действующим законодательством Российской Федерации.
4.2.5. При реализации [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] своих договорных обязательств в рамках предоставления субъектам персональных данных услуг по пенсионному обеспечению в соответствии с пп. 1 п. 2 ст. 6 Федерального закона -ФЗ «О персональных данных» получение согласия субъекта персональных данных на обработку его персональных данных пенсионным фондом не требуется.
4.2.6. Перед началом обработки персональных данных [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] уведомляет субъекта (лично или посредством направления заказного письма) о целях и способах обработки, невозможности прекращения обработки (блокирования, уничтожения) персональных данных субъекта до истечения предусмотренного действующим законодательством Российской Федерации срока архивного хранения данных.
4.2.7. Субъект персональных данных (или его законный представитель) может ознакомиться с перечнем персональных данных, обрабатываемых в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА], на официальном сайте [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] или при направлении письменного запроса в адрес [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА].
4.2.8. Сведения о каждом работнике [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] (Ф. И.О., должность и рабочий телефон), который имеет доступ к персональным данным субъекта, могут быть получены субъектом исключительно при направлении им письменного запроса в адрес [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА].
4.2.9. Письменный запрос субъекта должен быть удостоверен следующими документами:
- общегражданским паспортом – в случае непосредственного обращения субъекта персональных данных с запросом в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА];
- электронной цифровой подписью – в случае направления в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] электронного запроса;
- нотариально заверенной подписью – в случае направления в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] почтового запроса;
- документом, подтверждающим полномочия законного представителя субъекта персональных данных, – в случае направления в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] запроса от законного представителя субъекта персональных данных. При этом непосредственно запрос должен быть удостоверен одним из вышеприведенных способов.
4.2.10. При предоставлении в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] в рамках исполнения договорных обязательств персональных данных правопреемников субъект принимает на себя обязательства по уведомлению указанного им правопреемника о целях и способах обработки его персональных данных в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА].
4.2.11. Правопреемники субъекта персональных данных вправе получить от [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] информацию об обработке и доступ к своим персональным данным, полученным [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] от субъекта персональных данных в соответствии с федеральным законодательством, на основании подлинника или нотариально заверенной копии документа о смерти субъекта персональных данных.
4.2.12. Все поступившие письменные и электронные запросы субъектов персональных данных (или их законных представителей) регистрируются секретариатом с докладом [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА], а затем направляются компетентному работнику для подготовки ответа субъекту не позднее одного рабочего дня с момента их поступления в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА].
4.2.13. Ответ в письменной форме на запрос субъекта должен быть сформирован компетентным работником, подписан [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] в течение шести рабочих дней с даты поступления в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] запроса от субъекта персональных данных и отправлен секретариатом в срок, не превышающий трех рабочих дней, в адрес субъекта через отделение почтовой связи заказным письмом с уведомлением о вручении или курьером (непосредственно в руки адресату под роспись).
4.3. Доступ третьих лиц к персональным данным субъектов персональных данных, обрабатываемым в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА]
4.3.1. В соответствии со ст. 15 Федерального закона -ФЗ «О негосударственных пенсионных фондах» список третьих лиц, с которыми пенсионный фонд имеет право осуществлять обмен персональными данным, строго ограничен следующим перечнем:
- правопреемники участников и застрахованных лиц;
- организации, которые в соответствии с договором осуществляют ведение пенсионных счетов, если указание на такие организации содержится в правилах пенсионного фонда.
4.3.2. Третьи лица, заключившие с [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] договор об обработке персональных данных клиентов [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА], получают доступ к персональным данным субъектов в соответствии с Регламентом обмена/выдачи информации.
5. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы с персональными данными работодатель вправе применять предусмотренные Трудовым кодексом Российской Федерации дисциплинарные взыскания.
5.2. В случае нарушения установленного федеральным законодательством порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) предусмотрены административные штрафы.
ПРИЛОЖЕНИЕ Б. Типовой образец положения по организации и проведению работ по обеспечению безопасности персональных данных
УТВЕРЖДАЮ | ||
[НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] | ||
[НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] | ||
______________ [Ф. И.О. РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] | ||
«____» ___________ 2010 г. |
ПОЛОЖЕНИЕ
по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных
[НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА]
Москва 20[ ]
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Назначение документа
1.1.1. Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее – Положение) определяет содержание и порядок осуществления мероприятий по защите персональных данных в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА].
1.1.2. Настоящее Положение разработано в соответствии с Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным Постановлением Правительства РФ , и Положением об обработке персональных данных в информационных системах персональных данных [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА].
1.1.3. Цель Положения – регулирование работ по защите персональных данных и обеспечение функционирования информационных систем персональных данных [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] в соответствии с требованиями действующего федерального законодательства в области информационной безопасности.
1.2. Область действия документа
1.2.1. Действие Положения распространяется на информационные системы персональных данных [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА], в которых осуществляется обработка персональных данных как с использованием средств автоматизации, так и без использования таковых.
1.2.2. Все работники [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА], допущенные к работе с персональными данными, обрабатываемыми в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА], в обязательном порядке должны быть ознакомлены с настоящим Положением под подпись.
1.3. Вступление в силу документа
1.3.1. Настоящее Положение вступает в силу с момента его утверждения [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] и действует бессрочно до замены его новым Положением.
1.3.2. Все изменения в Положение вносятся приказом [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА].
2. ОРГАНИЗАЦИЯ И ПРОВЕДЕНИЕ РАБОТ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА]
2.1. Планирование работ по обеспечению безопасности персональных данных
2.1.1. В целях исполнения настоящего Положения и на основании Положения о постоянно действующей экспертной комиссии по информационной безопасности (далее – ПДЭК) ПДЭК ежегодно составляет и утверждает у [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] план работ по обеспечению безопасности персональных данных, обрабатываемых в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА].
2.1.2. Проводимые в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] мероприятия по обеспечению безопасности персональных данных учитываются в Журнале учета мероприятий по защите персональных данных в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА].
2.2. Выполнение работ по обеспечению безопасности персональных данных
2.2.1. В целях организации и проведения работ по обеспечению безопасности персональных данных в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] Приказом [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] назначаются:
- уполномоченное лицо, ответственное за проведение мероприятий по обеспечению безопасности персональных данных и поддержание необходимого уровня информационной безопасности;
- администратор (-ы) информационной безопасности, ответственный (-ые) за установку, настройку и обслуживание средств защиты информации, применяемых в пенсионном фонде для обеспечения безопасности персональных данных, а также за организацию и проведение инструктажа работников по основам информационной безопасности при работе с персональными данными.
2.2.2. Указанные лица ответственны за проведение следующих мероприятий по обеспечению безопасности персональных данных:
- определение и описание информационных систем персональных данных;
- классификацию информационных систем персональных данных;
- определение актуальных угроз безопасности персональных данных;
- проектирование системы защиты персональных данных, включающей организационные, физические и технические меры и средства защиты;
- закупку, установку и настройку технических средств защиты информации;
- внедрение организационных мер и разработку соответствующих регламентов и положений;
- инструктаж и обучение лиц, которые будут использовать средства защиты информации.
2.2.3. Начальники отделов, в которых происходит обработка персональных данных, являются лицами, ответственными за соблюдение требований Положения об обработке персональных данных и других установленных в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] требований.
2.2.4. Для обеспечения безопасности персональных данных в пенсионном фонде применяются следующие меры безопасности:
- организационные меры безопасности:
· инструктаж работников по правилам обеспечения безопасности обрабатываемых персональных данных;
· учет и хранение съемных носителей информации и порядок их обращения, исключающие хищение, подмену и уничтожение;
· мониторинг и реагирование на инциденты информационной безопасности, связанные с персональными данными, включая проведение внутренних проверок, разбирательств и составление заключений;
· постоянный контроль за соблюдением требований по обеспечению безопасности персональных данных (реализуется путем внутренних аудитов);
- меры физической безопасности:
· ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации. Приказом [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] устанавливается контролируемая зона [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА], вводятся в действие Список помещений с ограниченным доступом и Список лиц, имеющих право посещать помещения [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] с ограниченным доступом. Лица, не указанные в Списке, в том числе обеспечивающие техническое и бытовое обслуживание (уборку, ремонт оборудования и технических средств), при наличии необходимости могут посещать помещения с ограниченным доступом в сопровождении ответственных лиц;
· размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;
· организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;
- технические меры безопасности:
· разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
· регистрация действий пользователей и обслуживающего персонала, контроль доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
· резервирование технических средств, дублирование массивов и носителей информации;
· использование защищенных каналов связи;
· предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.
2.2.5. Ремонтно-восстановительные работы технических средств обработки информации проводятся под контролем администратора безопасности с привлечением работников [НАИМЕНОВАНИЕ ИТ-ПОДРАЗДЕЛЕНИЯ]. В случае необходимости ремонт технических средств может быть проведен с привлечением сторонних специалистов на договорной основе с составлением актов выполненных работ.
2.3. Контроль выполнения работ по обеспечению безопасности персональных данных
2.3.1. Контроль выполнения работ по обеспечению безопасности персональных данных в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] (далее – Контроль) осуществляется путем проведения периодических контрольных мероприятий (в рамках внутренних аудитов) и внутренних проверок по фактам произошедших инцидентов информационной безопасности.
2.3.2. В рамках проведения контрольных мероприятий выполняются:
- проверка наличия и актуальности планов, регистрационных журналов, актов, договоров, отчетов, протоколов и других свидетельств выполнения мероприятий по обеспечению безопасности персональных данных за истекший период;
- проверка осведомленности и соблюдения персоналом требований к обеспечению безопасности персональных данных;
- проверка соответствия перечня лиц, которым предоставлен доступ к персональным данным, фактическому состоянию;
- проверка наличия и исправности функционирования технических средств защиты информации, используемых для обеспечения безопасности персональных данных, в соответствии с требованиями эксплуатационной и технической документации;
- инструментальная проверка соответствия настроек технических средств защиты информации требованиям к обеспечению безопасности персональных данных (при необходимости);
- проверка соответствия моделей угроз для информационных систем персональных данных условиям функционирования данных систем;
- проверка соответствия организационно-распорядительной документации по обеспечению безопасности персональным данных действующим требованиям законодательства РФ, руководящих документов ФСБ России, ФСТЭК России.
2.3.3. Все собранные в ходе проведения контрольных мероприятий свидетельства и сделанные по их результатам заключения должны быть зафиксированы документально.
2.3.4. Контрольные мероприятия проводятся как периодически в соответствии с планом и программой аудита, так и непланово по решению [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] и в случае возникновения инцидентов информационной безопасности.
2.3.5. Внутренние проверки в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] в обязательном порядке проводятся в случае выявления следующих фактов:
- нарушение конфиденциальности, целостности, доступности персональных данных;
- халатность и несоблюдение требований к обеспечению безопасности персональных данных;
- несоблюдение условий хранения носителей персональных данных;
- использование средств защиты информации, которые могут привести к нарушению заданного уровня безопасности (конфиденциальность/ целостность/доступность) персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных.
2.3.6. Задачами внутренней проверки являются:
- установление обстоятельств нарушения, в том числе времени, места и способа его совершения;
- установление лиц, непосредственно виновных в данном нарушении;
- выявление причин и условий, способствовавших нарушению.
2.4. Совершенствование системы защиты персональных данных
2.4.1. Ежегодно ПДЭК направляет [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] отчет о проделанных мероприятиях по выполнению плана работ по обеспечению безопасности персональных данных, обрабатываемых в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА], вместе с перечнем предложений по совершенствованию системы защиты персональных данных.
2.4.2. Необходимость реализации мероприятий по совершенствованию системы защиты персональных данных может быть обусловлена:
- результатами проведенных аудитов и контрольных мероприятий;
- изменениями федерального законодательства в области персональных данных;
- изменениями структуры процессов обработки персональных данных в пенсионном фонде;
- результатами анализа инцидентов информационной безопасности;
- результатами мероприятий по контролю и надзору за обработкой персональных данных, проводимых уполномоченным органом;
- жалоб и запросов субъектов персональных данных.
2.4.3. На основании решения, принятого [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] по результатам рассмотрения ежегодного отчета и предложений по совершенствованию системы защиты персональных данных, ПДЭК составляет план работ по обеспечению безопасности персональных данных, обрабатываемых в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА], на следующий год.
ПРИЛОЖЕНИЕ в. Типовой образец положения о постоянно действующей экспертной комиссии по информационной безопасности
УТВЕРЖДАЮ | ||
[НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] | ||
[НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] | ||
______________ [Ф. И.О. РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] | ||
«___» ___________ 2010 г. |
ПОЛОЖЕНИЕ
о постоянно действующей экспертной комиссии по информационной безопасности
[НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА]
Москва 20[ ]
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Назначение документа
1.1.1. Положение о постоянно действующей экспертной комиссии по информационной безопасности (далее – Положение) определяет назначение, состав, полномочия и порядок работы постоянно действующей экспертной комиссии по информационной безопасности [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] (далее – Комиссии).
1.1.2. Настоящее Положение разработано в соответствии с Положением по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА].
1.2. Область действия документа
1.2.1. Все работники [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА], назначенные приказом [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] в состав Комиссии, в обязательном порядке должны быть ознакомлены с настоящим Положением под подпись.
1.3. Вступление в силу документа
1.3.1. Настоящее Положение вступает в силу с момента его утверждения [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] и действует бессрочно до замены его новым Положением.
1.3.2. Все изменения в Положение вносятся приказом [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА].
2. СОСТАВ И ПОРЯДОК РАБОТЫ КОМИССИИ
2.1. Состав Комиссии и ее председатель назначаются приказом [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА]. В состав Комиссии могут быть включены работники [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА], имеющие доступ к сведениям конфиденциального характера.
2.2. Председатель Комиссии несет ответственность за планирование и организацию работы комиссии.
2.3. Структура, численность и персональный состав Комиссии определяются приказом [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА].
2.4. Из членов Комиссии назначаются заместитель председателя комиссии и его секретарь.
2.5. Секретарь Комиссии отвечает за подготовку заседаний комиссии, оформляет протоколы ее заседаний, контролирует выполнение решений Комиссии, готовит отчеты о работе Комиссии.
2.6. Деятельность Комиссии организуется и проводится в соответствии с перспективными и текущими планами работы комиссии, в которые включаются мероприятия, предусматривающие следующие основные направления деятельности:
- анализ деятельности пенсионного фонда по вопросам обработки и обеспечения безопасности персональных данных за отчетный период;
- общий контроль организации защиты информационных систем персональных данных пенсионного фонда;
- подготовка рекомендаций, направленных на обеспечение установленного режима безопасности при обработке персональных данных.
2.7. Планы работы Комиссии формируются под руководством председателя или заместителя председателя Комиссии и утверждаются [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА]. При необходимости вопросы, не нашедшие отражения в планах работы Комиссии, могут быть внесены на рассмотрение Комиссии во внеплановом порядке.
2.8. Заседания Комиссии проводятся не реже одного раза в год.
2.9. При необходимости на заседания Комиссии могут приглашаться компетентные специалисты и эксперты по предметным областям.
2.10. Рассмотрение вопросов, выносимых на заседание Комиссии, не должно приводить к необоснованному расширению круга лиц, допускаемых к сведениям по рассматриваемой тематике. Доступ приглашенных компетентных специалистов и экспертов к таким сведениям осуществляется в соответствии с распоряжением [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА], а их присутствие на заседаниях Комиссии ограничивается рассмотрением вопросов, для обсуждения которых они приглашены.
2.11. Материалы к обсуждению на заседаниях Комиссии готовятся секретарем или по его поручению иными соответствующими специалистами или консультантами.
2.12. По результатам обсуждения на заседании запланированных вопросов Комиссия принимает решения большинством голосов.
2.13. По результатам заседаний Комиссии оформляются протоколы, которые подписываются председателем (заместителем председателя) и другими членами Комиссии.
3. ОСНОВНЫЕ ФУНКЦИИ КОМИССИИ
3.1. К основным функциям комиссии относятся:
- согласование организационно-распорядительной документации по обеспечению безопасности персональных данных, обрабатываемых в пенсионном фонде;
- принятие решения о возможной квалифицированной поддержке у других организаций в части оказания услуг по технической защите конфиденциальной информации;
- координирование деятельности по обеспечению безопасности персональных данных в пенсионном фонде;
- проведение анализа обстоятельств и причин нарушения конфиденциальности персональных данных, определения актуальности информации и ущерба для [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] от ее утраты (разглашения);
- организация и проведение работ по проверке наличия носителей конфиденциальной информации, условий их хранения и уничтожению;
- подготовка предложений по совершенствованию действующей в [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] системы защиты персональных данных.
3.2. Комиссия участвует в разработке проектов основных направлений работ по комплексной защите информации, целевых программ и соответствующих разделов планов работ в этой области.
4. ПОЛНОМОЧИЯ КОМИССИИ
Комиссия имеет право:
- знакомиться с документами и материалами, необходимыми для выполнения возложенных на нее задач;
- привлекать в установленном порядке специалистов, имеющих непосредственное отношение к рассматриваемым проблемам, для более детального изучения отдельных вопросов, возникающих в процессе работы комиссии, и выработки обоснованных рекомендаций и заключений;
- вносить руководителям отделов [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] предложения о приостановлении действий, противоречащих законодательству и другим нормативным актам, по направлениям, отнесенным к компетенции комиссии в соответствии с п. 3.1 настоящего Положения.
5. КОНТРОЛЬ ЗА РАБОТОЙ КОМИССИИ
5.1. Комиссия подотчетна [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА]. Председатель комиссии периодически, но не реже одного раза в год, должен представлять отчет [НАИМЕНОВАНИЕ ДОЛЖНОСТИ РУКОВОДИТЕЛЯ ПЕНСИОННОГО ФОНДА] [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] об итогах работы комиссии и реализации ее предложений и рекомендаций.
5.2. Отчет об итогах работы комиссии за истекший год должен быть предоставлен на рассмотрение Исполнительному директору [НАИМЕНОВАНИЕ ПЕНСИОННОГО ФОНДА] не позднее трех месяцев после окончания календарного года.
типовой перечень персональных данных, обрабатываемых в пенсионнОМ фондЕ
ПЕРЕЧЕНЬ
персональных данных, обрабатываемых в
«_______________________»
Таблица 1. Перечень персональных данных
№ п/п | Группа ПДн | Содержание ПДн | Цели обработки ПДн |
1. Обработка персональных данных клиентов по НПО | |||
1.1 | Сведения об Участнике Фонда | 1.1.1. Фамилия, имя, отчество 1.1.2. Дата рождения (число/месяц/год) 1.1.3. Пол 1.1.4. Паспортные данные (серия/номер/дата выдачи/кем выдан) 1.1.5. Фактический адрес проживания 1.1.6. Адрес по прописке/регистрации 1.1.7. Контактная информация 1.1.8. Сведения о доходах 1.1.9. Код участника 1.1.10. ИНН 1.1.11. Номер лицевого банковского счета 1.1.12. СНИЛС (номер страхового свидетельства ПФР) 1.1.13. ИПС Участника 1.1.14. Данные об инвалидности Участника / ребенка Участника 1.1.15. Сумма пенсионных взносов в пользу Участника 1.1.16. Сведения о предоставлении и размере налоговых вычетов, на которые имеет право Участник 1.1.17. Размер негосударственной пенсии 1.1.18. Размер выкупной суммы, причитающейся Участнику | Исполнение обязательств по договору НПО |
1.2 | Сведения об умершем Участнике Фонда | 1.2.1. Фамилия, имя, отчество 1.2.2. Дата смерти (число/год/месяц) 1.2.3. Наименование и входящий номер документа, содержащего достоверные сведения о смерти Участника 1.2.4. Доля распределения между правопреемниками согласно заявлению о назначении правопреемников | Прекращение договора НПО. Исполнение обязательств перед правопреемником Участника |
1.3 | Сведения о правопреемнике Участника | 1.3.1. Фамилия, имя, отчество 1.3.2. Дата рождения (число/месяц/год) 1.3.3. Адрес места жительства 1.3.4. Паспортные данные (серия/номер/дата выдачи/кем выдан) 1.3.5. СНИЛС 1.3.6. Номер банковского счета 1.3.7. Степень родства с Участником 1.3.8. Размер выкупной суммы, причитающейся правопреемнику 1.3.9. Контактные данные 1.3.10. ИНН | Исполнение обязательств по договору НПО. Исполнение обязательств по выплате сумм правопреемникам Участника |
2. Обработка персональных данных клиентов по ОПС | |||
2.1 | Сведения о застрахованном лице | 2.1.1. Фамилия, имя, отчество 2.1.2. Фамилия, имя, отчество при рождении 2.1.3. СНИЛС 2.1.4. Номер и дата договора ОПС 2.1.5. Дата рождения (число/месяц/год) 2.1.6. Место рождения 2.1.7. Пол 2.1.8. ИНН 2.1.9. Адрес места жительства 2.1.10. Адрес регистрации 2.1.11. Паспортные данные (серия/номер/дата выдачи/кем выдан) 2.1.12. Контактная информация 2.1.13. Информация о движении средств СПН на ПС | Исполнение обязательств по договору ОПС |
2.2 | Сведения об умершем застрахованном лице | 2.2.1. Фамилия, имя, отчество 2.2.2. Дата смерти (число/месяц/год) 2.2.3. Наименование и входящий номер документа, содержащего достоверные сведения о смерти застрахованного лица 2.2.4. Доля распределения между правопреемниками согласно заявлению о распределении СПН | Исполнение обязательств по договору ОПС |
2.3 | Сведения о правопреемнике застрахованного лица | 2.3.1. Фамилия, имя, отчество 2.3.2. Пол 2.3.3. Дата рождения (число/месяц/год) 2.3.4. Место рождения 2.3.5. Адрес места жительства 2.3.6. Адрес регистрации 2.3.7. Паспортные данные (серия/номер/дата выдачи/кем выдан) 2.3.8. ИНН 2.3.9. СНИЛС 2.3.10. Контактная информация 2.3.11. Банковские реквизиты 2.3.12. Сумма СПН, начисленная к выплате | Исполнение обязательств по договору ОПС. Выплата СПН правопреемникам застрахованного лица |
3. Обработка персональных данных при трансферагентской деятельности | |||
3.1 | Сведения, обрабатываемые при трансферагентской деятельности | 3.1.1. Фамилия, имя, отчество 3.1.2. Пол 3.1.3. Дата рождения (число/месяц/год) 3.1.4. СНИЛС 3.1.5. Адрес места жительства | Регистрация и передача в ПФР в электронном виде заявлений застрахованных лиц |
4. Обработка персональных данных работников пенсионного фонда | |||
4.1 | Общие сведения о работнике | 4.1.1. Фамилия, имя, отчество 4.1.2. Паспортные данные (серия/номер/дата/кем выдан) 4.1.3. Пол 4.1.4. Дата рождения (число/месяц/год) 4.1.5. Место рождения 4.1.6. Адрес проживания (прописки) 4.1.7. Состояние в браке 4.1.8. Состав семьи 4.1.9. Место работы 4.1.10. ИНН 4.1.11. Номер страхового свидетельства ПФР 4.1.12. Номер ИПС 4.1.13. Уровень образования 4.1.14. Наименование учебного заведения 4.1.15. Год окончания 4.1.16. Номер диплома 4.1.17. Специальность по диплому 4.1.18. Квалификация по диплому 4.1.19. Данные о повышении квалификации 4.1.20. Форма профессионального послевузовского образования 4.1.21. Наименование образовательного/научного подразделения 4.1.22. Номер и дата выдачи удостоверения о дополнительном образовании 4.1.23. Специальность 4.1.24. Ученая степень 4.1.25. Ученое звание 4.1.26. Даты присвоения ученого звания/степени 4.1.27. Общий трудовой стаж 4.1.28. Сведения о социальных льготах 4.1.29. Сведения о поощрениях и наградах 4.1.30. Табельный номер работника 4.1.31. Должность работника 4.1.32. Структурное подразделение 4.1.33. Данные по отпускам 4.1.34. Статус военнообязанного 4.1.35. Сведения об организациях, в которых работник является собственником ценных бумаг (долей в уставном капитале) или имеет иную заинтересованность в изменении рыночной цены ценных бумаг этих организаций | Ведение кадрового делопроизводства. Начисление заработной платы. Предотвращение конфликтов интересов |
4.2 | Финансовые сведения по работнику | 4.2.1. Тарифная ставка (оклад) 4.2.2. Лицевой расчетный счет 4.2.3. Надбавка 4.2.4. Данные о начисленных суммах (заработной платы и иных) 4.2.5. Тип и сумма налогового вычета 4.2.6. Данные о суммах удержаний и перечислений из заработной платы работника согласно его заявлению или исполнительному листу | Начисление заработной платы. Выплата заработной платы |
4.3 | Сведения о родственниках работника | 4.3.1. Фамилия, имя, отчество 4.3.2. Место работы и занимаемая должность 4.3.3. Сведения об организациях, в которых родственник работника является собственником ценных бумаг (долей в уставном капитале) или имеет иную заинтересованность в изменении рыночной цены ценных бумаг этих организаций | Предотвращение конфликтов интересов |
Таблица 2. Основание обработки персональных данных и сроки хранения
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 |
