Политика в отношении обработки персональных данных
1 Общие положения
1.1 Настоящая Политика в отношении обработки персональных данных в ПАО «Азотреммаш» (далее - Политика) разработана и утверждена в соответствии с п. 2 ч.1 ст. 18.1 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» в целях защиты персональных данных (далее - ПДн) обрабатываемых в ПАО «Азотреммаш» (далее – Общество) от несанкционированного доступа и разглашения.
1.2 Политика определяет общие принципы Общества как оператора, в отношении обработки и защиты персональных данных.
1.3 Обработка персональных данных в Обществе осуществляется с соблюдением принципов и условий, предусмотренных настоящей Политикой и законодательством Российской Федерации в области персональных данных.
2 Термины и определения
2.1 В настоящей Политике применены следующие термины с соответствующими определениями:
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
3 Цели обработки ПДн
3.1 Целями обработки и сбора персональных данных в Обществе является:
а. выполнение требований Трудового кодекса, организация кадрового учета компании;
б. отбор кандидатур на вакантные должности в Общества;
в. оказание услуг контрагентам, получение услуг от контрагентов;
г. осуществление функций, обязанностей и полномочий, возложенных законодательством Российской Федерации;
д. в иных законных целях.
4 Правовые основания обработки ПДн
4.1 ПДн в Обществе обрабатываются на основании:
– Трудового кодекса Российской Федерации;
– Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных»;
– Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
– постановления Правительства Российской Федерации от 06 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
– постановления Правительства Российской Федерации от 15 сентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», иные нормативные акты, регулирующие отношения, связанные с обработкой персональных данных;
– постановления Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
– иных нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти;
– договоров, заключаемых между Обществом и субъектами ПДн;
– согласий на обработку ПДн получаемых Обществом.
5 Объем и категории обрабатываемых ПДн, категории субъектов ПДн
5.1 В Обществе обрабатываются общедоступные и специальные категории ПДн.
5.2 В Обществе обрабатываются персональные данные следующих категорий субъектов:
- действующие и бывшие сотрудники;
- соискатели на вакантные должности;
- субъекты персональных данных, состоящие в прочих договорных или иных гражданско-правовых отношениях с Обществом;
- клиенты, контрагенты или их представители;
5.3 В целях, указанных в п.п. а п. 3.1. настоящей Политики, обрабатываются следующие ПДн действующих и бывших сотрудников Общества:
- фамилия, имя, отчество;
- пол;
- дата и место рождения;
- гражданство;
- адреса места регистрации и фактического проживания;
- паспортные данные (серия, номер, дата выдачи, наименование органа, выдавшего паспорт);
- номер телефона;
- электронная почта;
- сведения о воинском учете для военнообязанных и лиц, подлежащих воинскому учету;
- страховой номер индивидуального лицевого счета (СНИЛС);
- сведения о семейном положении и составе семьи;
- сведения о состоянии здоровья;
- сведения об образовании, квалификации, профессиональной подготовке, повышении квалификации;
- сведения о трудовой деятельности;
- иные сведения, которые относятся к трудовой деятельности работника.
5.4 В целях, указанных в п.п. б п. 3.1. настоящей Политики, обрабатываются следующие ПДн соискателей на вакантные должности:
- фамилия, имя, отчество;
- пол;
- дата и место рождения;
- гражданство;
- сведения об образовании, квалификации, профессиональной подготовке, повышении квалификации;
- иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.
5.5 В целях, указанных в п.п. в п. 3.1. настоящей Политики, обрабатываются следующие данные клиентов, контрагентов или их представителей:
- фамилия, имя, отчество;
– дата рождения;
– паспортные данные (серия, номер, дата выдачи, наименование органа, выдавшего паспорт);
– должность;
– номер телефона;
– электронная почта;
– иные персональные данные предоставляемые клиентами или контрагентами.
6 Порядок и условия обработки ПДн
6.1 Обработка ПДн в Обществе осуществляется на условиях, определенных законодательством Российской Федерации, а именно:
– обработка осуществляется только с согласия субъекта обработки ПДн;
– обработка ПДн необходима для достижения целей, предусмотренных договором или законом;
– обработка ПДн необходимо для исполнения договора;
– ПДн не раскрываются третьим лицам и не распространяются без согласия субъекта ПДн;
– внутри организации Общество имеет право создавать различные информационные системы, справочники, включающих ПДн сотрудников;
– право на доступ к обработке ПДн имеют только сотрудники, находящиеся в перечне лиц, утвержденных приказом руководителя Общества;
– обработка осуществляется в соответствии с требованиями законодательства Российской Федерации.
6.2 Оператор осуществляет обработку персональных данных для каждой цели их обработки следующими способами:
- неавтоматизированная обработка ПДн;
- автоматизированная обработка ПДн с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка персональных данных.
6.3 Безопасность ПДн обрабатываемых Обществом, обеспечивается реализацией правовых, организационных, технических и программных мер, необходимых для обеспечения требований законодательства в области защиты ПДн.
6.4 Меры по обеспечению защиты персональных данных:
– внедрение системы защиты персональных данных, согласно требованиям текущего законодательства РФ;
– назначение ответственного сотрудника за организацию обработки персональных данных и их защиты;
– минимизация количества сотрудников Общества, допущенных к обработке персональных данных, и только в целях выполнения ими их должностных обязанностей;
– соглашение о неразглашении конфиденциальной информации со всеми сотрудниками, кто имеет доступ к ПДн субъектов;
– систематическое и непрерывное обучение своих работников, занятых в процессе обработки ПДн;
– повышение уровня безопасности ПДн субъектов с помощью системы внутреннего контроля и, при обнаружении несоответствий, в самые короткие сроки устранять их причины.
7 Принципы обработки ПДн
7.1 Обработка ПДн Обществом осуществляется в соответствии со следующими принципами:
– законность и справедливая основа. Общество принимает все меры по выполнению требований законодательства РФ и не обрабатывает ПДн в тех случаях, когда это не допускается законодательством РФ, не требуется для достижения определённых оператором целей. Общество не использует ПДн во вред субъектам таких данных;
– уничтожение либо обезличивание персональных данных при достижении конкретных, заранее определенных целей;
– недопущение объединения баз данных, содержащих ПДн субъектов, которое осуществляется в целях, не совместимых между собой;
– при обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн;
– обработке подлежат только ПДн, которые отвечают целям их обработки;
– обеспечивается принятие мер по удалению или уточнению неполных, или неточных данных.
8 Гарантии конфиденциальности ПДн
8.1 Информация, относящаяся к персональным данным работника, является служебной тайной и охраняется законом.
8.2 Работник вправе требовать полную информацию о своих персональных данных, об их обработке, использовании и хранении.
8.3 Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работников, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством.
9 Права и обязанности
9.1 Общество как оператор персональных данных в праве:
– отстаивать свои интересы в суде;
– предоставлять ПДн субъектов третьим лицам, если это предусмотрено действующим законодательство (налоговые, правоохранительные органы и др.);
– отказывать в предоставлении ПДН в случаях, предусмотренных законодательством;
– использовать ПДн субъекта без его согласия, в случаях, предусмотренных законодательством.
9.2 Общество как оператор персональных данных обязан:
– обеспечить каждому субъекту ПДн возможность ознакомления с документами и материалами, содержащими их ПД, если иное не предусмотрено законодательством;
– внести необходимые изменения, уничтожить или блокировать ПДн в случае предоставления субъектом неполных, устаревших, недостоверных или незаконно полученных ПДн, а также уведомить о своих действиях субъекта ПДн;
– выполнять требования законодательства РФ.
9.3 Субъект персональных данных имеет право:
– требовать уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
– требовать перечень своих ПДн, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
– требовать перечень своих ПДн, обрабатываемых Общество источник их получения;
– получать информацию о сроках обработки своих ПДн, в том числе о сроках их хранения;
– требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его ПДн, обо всех произведённых в них исключениях исправлениях или дополнениях;
– обжаловать в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке неправомерные действия или бездействия при обработке его ПДн.
9.4 Субъект ПДн обязан:
– передавать достоверные, необходимые для достижения целей обработки ПДн, а также подтверждать достоверность ПДн предъявлением оригиналов документов;
– в случае изменения ПДн, необходимых для достижения целей обработки, сообщить Обществу уточненные ПДн и подтвердить изменения оригиналами документов;
– выполнять требования законодательства Российской Федерации.
10 Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
10.1 В случае подтверждения факта неточности ПДн или неправомерности их обработки, персональные данные подлежат их актуализации Обществом, а обработка должна быть прекращена
10.2 При достижении целей обработки ПДн, а также в случае отзыва субъектом ПДн согласия на их обработку ПДн подлежат уничтожению, если:
– иное не предусмотрено договором или иным соглашением;
– Общество не вправе осуществлять обработку без согласия субъекта ПДн;
10.3 Уничтожение при достижении целей обработки ПДн производится путем:
механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление ПДн;
физического уничтожения бумажных носителей ПДн;
удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
10.4 Общество обязано сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего в срок, регламентируемый законодательством Российской Федерации.
11 Заключительные положения
11.1 Общество вправе вносить изменения в настоящую Политику при изменении действующего законодательства РФ в области обеспечения безопасности ПДн, а также в случаях изменения принципов и условий обработки персональных данных и мер по обеспечению безопасности ПДн при их обработке.
11.2 Изменения вносятся путем издания новой редакции, при этом новая редакция Политики вступает в силу со дня ее утверждения приказом Генерального директора Общества
11.3 Иные локально-нормативные акты Общества должны издаваться в соответствии с настоящей Политикой и законодательством Российской Федерации в области ПДн