Политика в области обработки и обеспечения безопасности персональных данных
1 Общие положения
1.1 С целью поддержания деловой репутации и обеспечения выполнения норм федерального законодательства НПФ «Ренессанс Жизнь и Пенсии» (далее – Компания) считает важнейшей задачей обеспечение легитимности обработки и безопасности персональных данных субъектов в бизнес-процессах Компании.
Для решения данной задачи в Компании введена, функционирует и проходит периодический пересмотр (контроль) система защиты персональных данных.
1.2 Обработка персональных данных в Компании основана на следующих принципах:
- законности целей и способов обработки персональных данных и добросовестности;
- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Компании;
- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достоверности персональных данных, их актуальности и достаточности для целей обработки, недопустимости обработки избыточных по отношению к целям сбора персональных данных;
- легитимности организационных и технических мер по обеспечению безопасности персональных данных;
- непрерывности повышения уровня знаний работников Компании в сфере обеспечения безопасности персональных данных при их обработке;
- стремления к постоянному совершенствованию системы защиты персональных данных.
2 Цели обработки персональных данных
В соответствии с принципами обработки персональных данных, в Компании определены состав и цели обработки:
- исполнение положений Трудового/Гражданского/Налогового кодексов и других нормативных актов РФ;
- принятие решения о трудоустройстве кандидата в Компанию;
- заключение и выполнение обязательств по трудовым договорам и агентским соглашениям;
- заключение и выполнение обязательств по договорам обязательного пенсионного страхования;
- осуществление выплат правопреемникам застрахованных лиц.
3 Правила обработки персональных данных
3.1 В Компании осуществляется обработка следующих категорий ПДн:
- фамилия, имя, отчество;
- паспортные данные или данные иного документа, удостоверяющего личность;
- личные данные (дата, место рождения, пол);
- сведения о месте жительства (регистрации/фактическое место жительства);
- контактная информация;
- данные о гражданстве;
- сведения об образовании;
- сведения о дополнительном образовании;
- сведения о трудовой деятельности;
- данные о трудовом стаже;
- сведения о воинском учете;
- данные военного билета;
- данные о семейном положении;
- данные о браке;
- сведения о супруге;
- сведения о детях;
- информация о наградах;
- информация о наличии взысканий;
- данные о государственном пенсионном страховании (СНИЛС);
- данные о постановке на учёт в налоговом органе (ИНН);
- данные полиса ОМС/ДМС;
- сведения о трудовом договоре;
- информация об условиях трудоустройства;
- данные для табельного учета;
- информация о должности;
- информация о заработной плате;
- сведения о социальных льготах;
- информация об отработанном времени;
- данные о командировке;
- данные об отпуске;
- сведения о временной нетрудоспособности;
- информация о смене анкетных данных;
- информация об увольнении;
- информация о лицевом счете;
- сведения о начислении заработной платы;
- сведения о сумме отпускных;
- сведения о размере пособия по временной нетрудоспособности;
- информация о перечисленных страховых взносах;
- данные о размере выплаты при увольнении работника;
- информация о начисленных/удержанных средствах;
- данные о налоговом вычете;
- данные о премиях;
- информация о сумме агентских вознаграждений;
- информация о перечисленных пенсионных выплатах;
- сведения о договоре ОПС;
- информация о распределении средств пенсионных накоплений/резервов между правопреемниками;
- информация о пенсионных накоплениях;
- информация о прекращении действия договора ОПС;
- дополнительные сведения, предоставленные субъектом персональных данных.
3.2 В Компании НЕ допускается обработка следующих категорий ПДн:
- расовая принадлежность;
- политические взгляды;
- философские убеждения;
- состояние интимной жизни;
- национальная принадлежность;
- религиозные убеждения.
3.3 В Компании осуществляется обработка следующих категорий субъектов ПДн:
- работники;
- кандидаты на вакантные должности;
- субагенты;
- застрахованные лица;
- правопреемники.
3.4 Компания в ходе своей деятельности может предоставлять персональные данные субъектов следующим лицам:
- Федеральной налоговой службе России;
- Пенсионному фонду России;
- негосударственным пенсионным фондам;
- страховым компаниям;
- медицинским учреждениям;
- кредитным организациям;
- организациям, осуществляющим пассажироперевозки;
- туристическим агентствам;
- частным охранным предприятиям;
- зарубежным организациям.
3.5 В Компании НЕ обрабатываются биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
3.6 В Компании НЕ осуществляется трансграничная передача персональных данных (передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу).
3.7 В Компании запрещено принятие решений относительно субъектов персональных данных на основании исключительно автоматизированной обработки их персональных данных.
3.8 В Компании НЕ осуществляется обработка данных о судимости субъектов.
3.9 Компания НЕ размещает персональные данные субъекта в общедоступных источниках без его предварительного согласия.
4 Реализованные требования по обеспечению безопасности персональных данных
4.1 С целью обеспечения безопасности персональных данных при их обработке в Компании реализуются требования следующих нормативных документов РФ в области обработки и обеспечения безопасности персональных данных:
- Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
- постановление Правительства Российской Федерации от 17.11.2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
- постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- порядок проведения классификации информационных систем персональных данных (утвержден приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 г. № 55/86/20);
- базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена заместителем директора ФСТЭК России 15.02.2008 г.);
- методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена заместителем директора ФСТЭК России 14.02.2008 г.);
- типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены руководством 8 центра ФСБ России 21.02.2008 г. № 149/6/6-622);
- методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (утверждены руководством 8 Центра ФСБ России 21.02.2008 г. №149/5-144);
- положение о методах и способах защиты информации в информационных системах персональных данных (утверждено приказом ФСТЭК России от 05.02.2010 г. № 58;
- отраслевой стандарт обеспечения безопасности персональных данных СТО НАПФ 4.1-2010.
