ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ АО «ЭНЕРГОСЕРВИС»
1 ОБЩИЕ ПОЛОЖЕНИЯ
1.1 Политика обработки персональных данных в АО "ЭНЕРГОСЕРВИС" (далее - Политика) разработана в соответствии с Федеральным законом от 27 июля 2006 г. №152-ФЗ "О персональных данных", Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Трудовым Кодексом Российской Федерации.
1.2 Политика устанавливает цели, основные принципы и правила обработки персональных данных и определяет основные меры по обеспечению их безопасности в АО «ЭНЕРГОСЕРВИС».
1.3 Настоящая Политика разработана для реализации в АО "ЭНЕРГОСЕРВИС" (далее – Общество) требований законодательства Российской Федерации в области персональных данных, а также обеспечения защиты прав физических лиц при обработке их персональных данных.
1.4 Политика действует в отношении всех субъектов персональных данных, чьи персональные данные обрабатывает Общество.
1.5 Политика служит основой для разработки внутренних нормативных документов, регламентирующих в Обществе вопросы обработки персональных данных.
1.6 Положения настоящей Политики обязательны для исполнения работниками Общества, имеющими доступ к персональным данным.
1.7 Политика распространяется на отношения в области обработки персональных данных, возникшие у Общества как до, так и после утверждения настоящей Политики.
2 ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Правовые основания обработки персональных данных в Обществе:
- Конституция РФ
- Гражданский кодекс РФ,
- Налоговый кодекс РФ,
- Трудовой кодекс РФ,
- договоры, заключаемые между оператором и субъектами персональных данных;
- согласия на обработку персональных данных;
- согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
- Федеральный закон от 01.04.1996 №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
- другие федеральные законы, стандарты, положения, внутренние нормативные документы, непосредственно относящиеся к деятельности Общества.
3 ОСНОВНЫЕ ПОНЯТИЯ
В настоящей Политике используются следующие понятия, термины и определения:
- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- субъект персональных данных – человек, к которому относятся соответствующие персональные данные;
- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Для целей применения настоящей Политики Общество является оператором персональных данных.
4 ЦЕЛИ И ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1 Обработка персональных данных Обществом осуществляется в целях:
- обеспечения соблюдения Конституции РФ, законодательных и иных нормативных актов;
- осуществления функций работодателя, включая заключение (изменение и прекращение) трудовых договоров, кадровое делопроизводство, содействие работникам в трудоустройстве, получении образования и продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, предоставление социальных льгот (гарантий и компенсаций);
- начисления и выплаты заработной платы;
- оформления командировок;
- оказания материальной помощи;
- реализации социальных программ, санаторно-курортных услуг;
- осуществления функций страхователя в отношениях по обязательному и добровольному страхованию субъекта персональных данных, включая пенсионное, медицинское и личное страхование;
- осуществления функций налогового агента и плательщика при исполнении требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физических лиц и страховых взносов;
- предоставления работодателем установленной законодательством отчетности в отношении физических лиц;
- обеспечения пропускного режима на объектах Общества и третьих лиц, в случаях организации выполнения обязательств Общества перед такими третьими лицами, когда они выступают заказчиками работ (товаров и услуг);
- защиты жизни, здоровья и иных жизненно-важных интересов субъекта персональных данных;
- подготовки, заключения, изменения и прекращения гражданско-правовых отношений и исполнения гражданско-правовых обязательств, стороной которых выступает или планирует выступать субъект персональных данных;
- обеспечения участия Общества при проведении торгов (аукционов, конкурсов) и иных конкурентных процедур, а также заключения Обществом гражданско-правовых сделок по итогам таких процедур;
- осуществления Обществом проверки юридических и физических лиц на предмет правоспособности, имущественной самостоятельности и финансовой устойчивости, аффилированности и заинтересованности;
- выявления Обществом и третьими лицами ограничений на совершение сделок между Обществом и третьими лицами, а также исключения имущественных рисков Общества и третьих лиц при совершении сделок;
- обеспечения участия акционеров, членов Совета директоров, Ревизионной комиссии и единоличного исполнительного органа (генерального директора) в корпоративных отношениях Общества;
- обеспечения ведения реестра акционеров;
- сбора и оценки (проверки) Обществом и третьими лицами информации о цепочке собственников, включая бенефициаров (в том числе конечных) юридических лиц, полученной Обществом или третьим лицом от участников закупочных процедур и иных контрагентов;
- выполнения Обществом и его контрагентами требований законодательства РФ о банковской деятельности, о противодействии коррупции, о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, в том числе по идентификации клиентов, их представителей, выгодоприобретателей;
- выявления конфликта интересов;
- подготовки, повышения квалификации, обучения, проверки знаний (аттестации) требований охраны труда, промышленной, пожарной безопасности, сварочного производства и других направлений деятельности;
- иных законных целях.
4.2 Принципами обработки персональных данных в Обществе являются:
- законность целей и способов обработки персональных данных;
- соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
- соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- точность обрабатываемых персональных данных, их достаточность, актуальность по отношению к целям обработки, недопустимость обработки в Обществе персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- недопустимость объединения в Обществе баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- принятие исчерпывающих организационных и технических мер для защиты персональных данных, исключающих несанкционированных доступ к ним посторонних лиц;
- при обработке персональных данных Обществом соблюдение их конфиденциальности.
5 ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1 Субъект персональных данных имеет право:
- получать полную информацию, касающуюся обработки в Обществе своих персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
- требовать уточнения, блокирования или уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- требовать извещения всех лиц, которым ранее были сообщены его неверные или неполные персональные данные, обо всех произведенных в них изменениях;
- отозвать согласие на обработку своих персональных данных;
- получать при обращении или при направлении запроса информацию, касающуюся обработки его персональных данных;
- обжаловать действия или бездействие Общества при обработке его персональных данных в соответствии с законодательством Российской Федерации;
- реализовывать иные права, предусмотренные законодательством Российской Федерации.
5.2 Общество обязано безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет Общество, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах Общество обязано уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.
5.3 В случае выявления неправомерных действий с персональными данными Общество в установленный срок, обязано устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений Общество обязано уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Общество обязано уведомить субъекта персональных данных или его законного представителя.
5.4 В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Общество обязано прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено законодательством Российской Федерации, договором или соглашением между Обществом и субъектом персональных данных. Об уничтожении персональных данных Общество обязано уведомить субъекта персональных данных.
5.5 Общество не вправе без письменного согласия субъекта персональных данных передавать обрабатываемые персональные данные третьим лицам, за исключением случаев, предусмотренных законодательством Российской Федерации.
6 ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.3 Содержание, категории, объем и перечень обрабатываемых персональных данных определен во внутренних нормативных документах Общества в соответствии с законодательством Российской Федерации и с учетом целей обработки, указанных в разделе 4 Политики.
6.4 В Обществе обрабатываются персональные данные следующих категорий субъектов персональных данных:
- работники оператора, работники, прекратившие трудовые отношения с оператором, кандидаты на замещение вакантных должностей, родственники работников (в рамках личной учетной карточки по форме Т.2);
- клиенты и контрагенты оператора (физические лица);
- представители/работники клиентов и контрагентов оператора (юридические лица);
- посетители, посетители корпоративного сайта;
- работники дочерних и зависимых Обществ;
- другие субъекты персональных данных (для обеспечения реализации целей, указанных в разделе 4 настоящей Политики).
6.5 Обработка специальных категорий персональных данных субъектов, касающиеся их расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений и частной жизни не осуществляется.
7 ОРГАНИЗАЦИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1 Общество осуществляет обработку персональных данных, а именно: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
7.2 Обработка персональных данных работников Общества и иных лиц осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
7.3 Обработка персональных данных работников Общества и иных лиц может осуществляться без согласия субъекта персональных данных на обработку в соответствии с ст.6
№ 152-ФЗ «О персональных данных».
7.4 Сбор персональных данных субъектов производится при подборе на работу (содействии трудоустройству), оформлении трудовых и договорных отношений, обеспечении доступа сторонних посетителей к объектам Общества.
7.5 Персональные данные предоставляются субъектами лично. Перечень обрабатываемых персональных данных и информационных систем определен и закреплен согласно внутренним нормативным документам Общества.
7.6 Обработка персональных данных в Обществе осуществляется следующими способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка персональных данных.
7.7 Безопасность персональных данных при их обработке в ИСПДн Общества обеспечивается в соответствии с требованиями Федерального закона «О персональных данных», постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и других нормативных правовых актов Российской Федерации.
7.8 Общество осуществляет передачу персональных данных необходимых для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления, органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством РФ.
7.9 Общество обеспечивает конфиденциальность персональных данных субъектов персональных данных в соответствии со ст.7 №152-ФЗ «О персональных данных».
7.10 Общество реализует правовые, организационные и технические меры по обеспечению безопасности персональных данных, в том числе:
- назначает ответственного за организацию обработки персональных данных в Обществе;
- издает документы, определяющие политику оператора в отношении обработки персональных актов, локальные акты по вопросам обработки персональных данных;
- устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных;
- знакомит сотрудников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Общества в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и обучение указанных сотрудников;
- определяет угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
- применяет средства защиты информации, в том числе прошедшие в установленном порядке процедуру оценки соответствия;
- осуществляет контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.
- проводит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательных требований, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом №152-ФЗ «О персональных данных».
7.11 Хранение персональных данных при автоматизированной обработке осуществляется в базах данных Общества, находящихся на территории Российской Федерации.
7.12 Хранение персональных данных при обработке без использования средств автоматизации выполняется при соблюдении условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним.
7.13 Общество вправе поручить обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю с согласия субъектов персональных данных на основании заключаемого договора, существенным условием которого является обязанность обеспечения исполнителем условий конфиденциальности персональных данных и их безопасности при обработке.
7.14 При сборе персональных данных, в том числе с использованием информационно- телекоммуникационной сети Интернет, Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных законодательством Российской Федерации.
8 АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1 Обрабатываемые персональные данные подлежат актуализации, исправлению, удалению или уничтожению в случаях подтверждения факта неточности персональных данных или неправомерности их обработки.
8.2 Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» или договором, а также в случае отзыва согласия на обработку персональных данных субъектом персональных данных.
8.3 Алгоритм реагирования на обращения субъектов персональных данных и их представителей, а также учет обращений определен во внутренних нормативных документах Общества.
8.4 Субъекты, чьи персональные данные обрабатываются в Обществе, могут получить разъяснения по вопросам обработки своих персональных данных, обратившись лично в Общество или направив соответствующий письменный запрос по адресу местонахождения Общества: Пермский край, г. Пермь ул.Героев Хасана, 50.
8.5 Все действия, связанные с уничтожением носителей персональных данных, оформляются актом.
9 ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
9.1 Доступ к информации, содержащей персональные данные в Обществе, разрешается работникам Общества, в трудовые обязанности которых входит обработка персональных данных.
9.2 Ответственность за нарушение требований законодательства Российской Федерации и нормативных документов Общества в области персональных данных определяется в соответствии с законодательством Российской Федерации.
9.3 Политика является общедоступным документом и подлежит размещению на официальном сайте Общества http://www.energyservice.ru/.