Политика ПФР в работе с персональными данными

УТВЕРЖДЕНА
распоряжением Правления ПФР
от 21 декабря 2011 г.
№ 499р

ПОЛИТИКА ПЕНСИОННОГО ФОНДА РОССИЙСКОЙ ФЕДЕРАЦИИ В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ И
РЕАЛИЗАЦИИ ТРЕБОВАНИЙ К ИХ ЗАЩИТЕ

Настоящий документ определяет цели обработки персональных данных Пенсионным фондом Российской Федерации (ПФР), принципы их обработки и перечень органов ПФР, выполняющих обработку персональных данных, а также содержит сведения о передаче персональных данных взаимодействующим организациям и о реализуемых требованиях к защите персональных данных.

Правила, порядок, процедуры и практические приёмы обработки и защиты персональных данных определяются системой законодательных актов Российской Федерации, нормативных правовых актов ПФР, распорядительных актов отделений ПФР и подведомственных отделениям территориальных органов ПФР.

1. Цели обработки персональных данных

Обработка персональных данных осуществляется ПФР в следующих целях:

индивидуальный (персонифицированный) учёт застрахованных лиц в системе обязательного пенсионного страхования;
пенсионное обеспечение граждан;
ведение федеральных регистров лиц, имеющих право на дополнительные меры государственной поддержки и государственной социальной помощи;
администрирование страховых взносов в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования;
обеспечение прав и льгот Героев Советского Союза, Героев Социалистического Труда, Героев Российской Федерации, полных кавалеров ордена Славы, полных кавалеров ордена Трудовой Славы и членов их семей;
обеспечение социальной защиты ветеранов и инвалидов Великой Отечественной войны и ветеранов и инвалидов боевых действий;
рассмотрение обращений граждан;
регулирование трудовых отношений и иных непосредственно связанных с ними отношений с работниками системы ПФР;
выполнение других задач, возлагаемых на ПФР законодательством Российской Федерации.

2. Перечень действий с персональными данными

ПФР и его  территориальные органы осуществляют сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

Обработка персональных данных осуществляется как с использованием, так и без использования средств автоматизации.

Хранение персональных данных осуществляется в течение срока, определённого законодательством Российской Федерации.

3. Принципы обработки персональных данных

Обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации и ограничивается достижением конкретных целей, определённых законодательством Российской Федерации в сфере обработки персональных данных.

Обработке подлежат персональные данные, которые отвечают целям их обработки.
Не допускается избыточность обработки персональных данных.

При обработке персональных данных обеспечивается точность персональных данных, их достаточность и актуальность по отношению к целям обработки.

4. Источники персональных данных

Органам ПФР персональные данные предоставляются в соответствии с законодательством Российской Федерации:

субъектами персональных данных или их представителями;
страхователями (плательщиками страховых взносов) или их представителями;
взаимодействующими с ПФР органами исполнительной власти, кредитными организациями, негосударственными пенсионными фондами, управляющими компаниями, внебюджетными фондами, иностранными компетентными органами в рамках реализации международных договоров (соглашений) Российской Федерации и другими органами и организациями в целях обеспечения пенсионных прав граждан;
судебными органами.

5. Передача персональных данных

Предоставление обрабатываемых персональных данных производится в соответствии с законодательством Российской Федерации органам исполнительной власти, кредитным организациям, негосударственным пенсионным фондам, управляющим компаниям, внебюджетным фондам, иностранным компетентным органам в рамках реализации международных договоров (соглашений) Российской Федерации, судебным органам и другим взаимодействующим организациям.

ПФР осуществляет в соответствии с международными договорами Российской Федерации трансграничную передачу персональных данных субъектов персональных данных, проживающих за её границей, в целях их пенсионного страхования (обеспечения).

Распространение персональных данных работников системы ПФР производится с их согласия, персональных данных остальных категорий субъектов персональных данных – в соответствии с требованиями законодательства Российской Федерации и международных договоров (соглашений) Российской Федерации.

6. Состав органов ПФР, осуществляющих обработку персональных данных

Цель и содержание обработки персональных данных определяет ПФР, обработку данных осуществляют органы ПФР:

Исполнительная дирекция ПФР;
Ревизионная комиссия ПФР;
Информационный центр персонифицированного учёта;
отделения ПФР по субъектам Российской Федерации;
подведомственные отделениям территориальные органы ПФР.

7. Реализуемые требования к защите персональных данных

Реализация требований к защите персональных данных от неправомерного или случайного доступа к персональным данным, их уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с персональными данными ПФР осуществляется правовыми, организационными и техническими (программно и аппаратно реализуемыми) мерами.

7.1. Правовые меры:

заключение соглашений об информационном обмене с взаимодействующими организациями и включение в них требований об обеспечении конфиденциальности предоставляемых персональных данных;
издание актов ПФР, рекомендаций и инструкций по вопросам обработки персональных данных, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

7.2. Организационные меры:

документальное оформление требований к безопасности обрабатываемых данных;
назначение лица, ответственного за организацию обработки персональных данных;
издание системы нормативных (руководящих) документов по организации защиты данных;
распределение ответственности по вопросам защиты данных между должностными лицами и работниками органов системы ПФР;
установление персональной ответственности работников органов системы ПФР за обеспечение безопасности обрабатываемых данных;
контроль выполнения подразделениями, должностными лицами и работниками органов ПФР требований нормативных документов по защите данных;
своевременное выявление угроз безопасности данных и принятие соответствующих мер защиты;
регламентирование порядка применения средств ввода-вывода данных и контроль его выполнения;
содержание штата специалистов по защите информации, организация системы их профессиональной подготовки и повседневной деятельности;
придание мероприятиям защиты информации характера обязательных элементов производственного процесса ПФР, а требованиям по их исполнению – элементов производственной дисциплины;
доведение до работников ПФР требований по защите данных и обучение их правилам работы в АИС.

7.3. Технические (программно и аппаратно реализуемые) меры:

резервное копирование информационных ресурсов;
применение прикладных программных продуктов, отвечающих требованиям защиты данных;
организация контроля доступа в помещения и здания ПФР, их охрана в нерабочее время;
систематический анализ безопасности данных и совершенствование системы их защиты;
применение технических средств защиты, сертифицированных компетентными государственными органами (организациями) на соответствие требованиям безопасности;
своевременное применение критических обновлений общесистемного и прикладного программного обеспечения;
оптимальная настройка операционной системы и прикладного программного обеспечения вычислительных средств, применяемых для обработки данных;
использование корпоративной информационно-телекоммуникационной сети для обеспечения информационного взаимодействия органов ПФР;
шифрование данных при передаче и хранении (криптографическая защита);
использование электронной подписи;
применение межсетевых защитных (фильтрующих) экранов;
антивирусный мониторинг и детектирование;
мониторинг процессов и действий пользователей наиболее важных аппаратных и информационных ресурсов;
оборудование зданий и помещений системами безопасности (пожарной и охранной сигнализации, пожаротушения, телевизионного наблюдения и т.п.);
хранение парольной и ключевой информации на индивидуальных электронных ключах;
применение в архитектуре вычислительных систем технологий и средств повышения надёжности их функционирования и обеспечения безопасности информации;
применение средств технической укреплённости зданий и помещений;
противопожарная защита зданий и помещений;