Приказ СФР от 05.06.2023 N 982 "Об утверждении Политики обработки персональных данных Фонда пенсионного и социального страхования Российской Федерации"

ФОНД ПЕНСИОННОГО И СОЦИАЛЬНОГО СТРАХОВАНИЯ
РОССИЙСКОЙ ФЕДЕРАЦИИ

ПРИКАЗ
от 5 июня 2023 г. N 982

ОБ УТВЕРЖДЕНИИ ПОЛИТИКИ
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ФОНДА ПЕНСИОННОГО
И СОЦИАЛЬНОГО СТРАХОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ

В целях повышения уровня защищенности информации в системе Фонда пенсионного и социального страхования Российской Федерации:

1. Утвердить прилагаемую Политику обработки персональных данных Фонда пенсионного и социального страхования Российской Федерации (далее - Политика).

2. Департаменту по обеспечению информационной безопасности (Зеленый С.А.), управляющим отделениями СФР обеспечить ознакомление работников с Политикой.

3. Признать утратившими силу:

распоряжение Правления ПФР от 21 декабря 2011 г. N 499р "Об утверждении Политики Пенсионного фонда Российской Федерации в отношении обработки персональных данных и реализации требований к их защите";

приказ Фонда социального страхования Российской Федерации от 25 августа 2017 г. N 404 "Об утверждении Политики Фонда социального страхования Российской Федерации в отношении обработки персональных данных".

4. Контроль за исполнением настоящего приказа возложить на заместителя председателя Фонда пенсионного и социального страхования Омелая Я.В.

Председатель
С.ЧИРКОВ

Настоящий документ определяет цели обработки персональных данных Фондом пенсионного и социального страхования Российской Федерации, принципы их обработки и перечень органов СФР, выполняющих обработку персональных данных, а также содержит сведения о передаче персональных данных взаимодействующим организациям и о реализуемых требованиях к защите персональных данных.

Правила, порядок, процедуры и практические приемы обработки и защиты персональных данных определяются системой законодательных актов Российской Федерации, нормативных правовых актов СФР, распорядительных актов территориальных органов СФР, обособленных подразделений СФР и подведомственных СФР учреждений.

Обработка персональных данных осуществляется в следующих целях:

индивидуальный (персонифицированный) учет застрахованных лиц в системе обязательного пенсионного страхования и социального страхования;

пенсионное и социальное обеспечение лиц в соответствии законодательством Российской Федерации;

ведение федеральных регистров лиц, имеющих право на дополнительные меры государственной поддержки и государственной социальной помощи;

администрирование страховых взносов в СФР;

обеспечение прав и льгот Героев Советского Союза, Героев Социалистического Труда, Героев Российской Федерации, полных кавалеров ордена Славы, полных кавалеров ордена Трудовой Славы и членов их семей;

обеспечение социальной защиты ветеранов и инвалидов Великой Отечественной войны и ветеранов и инвалидов боевых действий;

обеспечение социальной защиты участников СВО;

рассмотрение обращений граждан;

ведение кадрового и бухгалтерского учета работниками системы СФР;

обеспечение пропускного режима на территорию оператора;

выполнение других задач, возлагаемых на СФР законодательством Российской Федерации.

СФР, территориальные органы СФР, обособленные подразделения СФР и подведомственные СФР учреждения осуществляют обработку персональных данных: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных. Обработка персональных данных осуществляется как с использованием, так и без использования средств автоматизации.

Хранение персональных данных осуществляется в течение срока, определенного законодательством Российской Федерации.

Обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации и ограничивается достижением указанных в п. 1 Политики конкретных целей, определенных законодательством Российской Федерации в сфере обработки персональных данных.

Обработке подлежат персональные данные, которые отвечают целям их обработки.

Не допускается избыточность обработки персональных данных.

При обработке персональных данных обеспечивается точность персональных данных, их достаточность и актуальность по отношению к целям обработки.

Органам СФР персональные данные предоставляются в соответствии с законодательством Российской Федерации:

субъектами персональных данных или их представителями;

страхователями (плательщиками страховых взносов) или их представителями;

взаимодействующими с СФР органами исполнительной власти, кредитными организациями, негосударственными пенсионными фондами, управляющими компаниями, внебюджетными фондами, иностранными компетентными органами в рамках реализации международных договоров (соглашений) Российской Федерации и другими органами и организациями в целях обеспечения пенсионных и социальных прав граждан;

судебными органами.

Предоставление обрабатываемых персональных данных производится в соответствии с законодательством Российской Федерации органам исполнительной власти, кредитным организациям, негосударственным пенсионным фондам, управляющим компаниям, внебюджетным фондам, иностранным компетентным органам в рамках реализации международных договоров (соглашений) Российской Федерации, судебным органам и другим взаимодействующим с СФР организациям.

СФР осуществляет в соответствии с международными договорами Российской Федерации трансграничную передачу персональных данных субъектов персональных данных, проживающих за ее границей, в целях их пенсионного страхования (обеспечения).

Распространение персональных данных работников системы СФР производится с их согласия, персональных данных остальных категорий субъектов персональных данных - в соответствии с требованиями законодательства Российской Федерации и международных договоров (соглашений) Российской Федерации.

Органами СФР, осуществляющими обработку персональных данных, являются: СФР, территориальные органы СФР, обособленные подразделения СФР и подведомственные СФР учреждения, составляющие единую централизованную систему с вертикальной структурой управления.

Реализация требований к защите персональных данных от неправомерного или случайного доступа к персональным данным, их уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с персональными данными СФР, осуществляется правовыми, организационными и техническими (программно и аппаратно реализуемыми) мерами.

7.1. Правовые меры:

заключение соглашений об информационном обмене с взаимодействующими организациями и включение в них требований об обеспечении конфиденциальности предоставляемых персональных данных;

издание актов СФР, рекомендаций и инструкций по вопросам обработки персональных данных, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

7.2. Организационные меры:

документальное оформление требований к безопасности обрабатываемых данных;

назначение лица, ответственного за организацию обработки персональных данных;

издание системы нормативных (руководящих) документов по организации защиты данных;

распределение ответственности по вопросам защиты данных между должностными лицами и работниками органов системы СФР;

установление персональной ответственности работников органов системы СФР за обеспечение безопасности обрабатываемых данных;

контроль выполнения подразделениями, должностными лицами и работниками органов СФР требований нормативных документов по защите данных;

своевременное выявление угроз безопасности данных и принятие соответствующих мер защиты;

регламентирование порядка применения средств ввода-вывода данных и контроль его выполнения;

содержание штата специалистов по защите информации, организация системы их профессиональной подготовки и повседневной деятельности;

придание мероприятиям защиты информации характера обязательных элементов производственного процесса СФР, а требованиям по их исполнению - элементов производственной дисциплины;

доведение до работников СФР требований по защите данных и обучение их правилам работы в АИС.

7.3. Технические (программно и аппаратно реализуемые) меры:

резервное копирование информационных ресурсов;

применение прикладных программных продуктов, отвечающих требованиям защиты данных;

организация контроля доступа в помещения и здания СФР, их охрана в нерабочее время;

систематический анализ безопасности данных и совершенствование системы их защиты;

применение технических средств защиты, сертифицированных компетентными государственными органами (организациями) на соответствие требованиям безопасности информации;

своевременное применение критических обновлений общесистемного и прикладного программного обеспечения;

оптимальная настройка операционной системы и прикладного программного обеспечения вычислительных средств, применяемых для обработки данных;

использование корпоративной информационно-телекоммуникационной сети для обеспечения информационного взаимодействия органов СФР;

шифрование данных при передаче и хранении (криптографическая защита);

использование электронной подписи;

применение межсетевых защитных (фильтрующих) экранов;

антивирусный мониторинг и детектирование;

мониторинг процессов и действий пользователей наиболее важных аппаратных и информационных ресурсов;

оборудование зданий и помещений системами безопасности (пожарной и охранной сигнализации, пожаротушения, телевизионного наблюдения и т.п.);

хранение парольной и ключевой информации на индивидуальных электронных ключах;

применение средств обнаружения и предотвращения компьютерных атак;

применение в архитектуре вычислительных систем технологий и средств повышения надежности их функционирования и обеспечения безопасности информации;

применение средств технической укрепленности зданий и помещений;

противопожарная защита зданий и помещений.