Политика в области обработки персональных данных

 

ПОЛИТИКА АО «НТЭК» в области обработки персональных данных

 

1. Область применения

     1.1. Настоящая Политика АО «НТЭК» в области обработки персональных данных (далее – Политика) определяет основные цели, принципы и условия обработки персональных данных в АО «НТЭК» (далее – Общество), а также меры по обеспечению безопасности персональных данных в Обществе.

     1.2. Настоящая Политика разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон), иных федеральных законов, регулирующих вопросы обработки персональных данных, а также принятых во их исполнение подзаконных нормативных правовых актов.

     1.3. Политика направлена на обеспечение прав и свобод человека и гражданина при обработке Обществом его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, в соответствии с требованиями действующих нормативных правовых актов.

     1.4. Политика обязательна для исполнения всеми работниками Компании, участвующими в процессе обработки персональных данных.

 

2. Нормативные ссылки

 

При разработке Политики были использованы следующие нормативные документы:

 

 

Конституция Российской Федерации

Федеральный закон от 30.12.2001 № 197-ФЗ

Трудовой кодекс Российской Федерации

Федеральный закон от 30.12.2001 № 195-ФЗ

Кодекс Российской Федерации об административных правонарушениях

Федеральный закон от 13.06.1996 № 63-ФЗ

Уголовный кодекс Российской Федерации

Федеральный закон от 27.07.2006 № 149-ФЗ

«Об информации, информационных технологиях и о защите информации»

Федеральный закон от 27.07.2006 № 152-ФЗ

«О персональных данных»

Постановление Правительства Российской Федерации от 06.07.2008 № 512

«Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

Постановление Правительства Российской Федерации от 15.09.2008 № 687

«Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

Постановление Правительства Российской Федерации от 16.03.2009 № 228

«О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций»

Постановление Правительства Российской Федерации от 01.11.2012 № 1119

«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

Постановление Правительства РФ от 09.12.2013 N 1131

«О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам введения процедуры приема заявок на технологическое присоединение к электрической сети классом напряжения до 10 кВ включительно от лиц, мощность энергопринимающих устройств которых составляет до 150 кВт, через информационно-телекоммуникационную сеть «Интернет» с возможностью отслеживания исполнения заявки в режиме реального времени»

Приказ Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21

«Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

Утверждена Заместителем Директора Федеральной службы по техническому и экспортному контролю 14.02.2008

Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных

Утверждены руководством 8 Центра Федеральной службы безопасности Российской Федерации 21.02.2008 № 149/54-144

Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации

Утверждены руководством 8 Центра Федеральной службы безопасности Российской Федерации 21.02.2008 № 149/6/6-622

Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных

Приказ от 25.07.2011

№ НТЭК/755-п

(с изменениями на текущую дату)

Порядок хранения и использования персональных данных работников АО «НТЭК»

 

3. Термины, определения и сокращения

     3.1. В настоящей Политике применены термины с соответствующими определениями:

     3.1.1. Автоматизированная обработка персональных данных: обработка персональных данных с помощью средств вычислительной техники.

     3.1.2. Биометрические персональные данные: сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

     3.1.3. Блокирование персональных данных: временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

     3.1.4. Информационная система персональных данных: совокупность персональных данных, содержащихся в базах данных, и обеспечивающих их обработку информационных технологий и технических средств.

     3.1.5. Конфиденциальность персональных данных: обязательное для Оператора и иных лиц, получивших доступ к персональным данным, требование не передавать третьим лицам персональные данные без согласия субъекта персональных данных или иного законного основания.

     3.1.6. Обезличивание персональных данных: действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

     3.1.7. Обработка персональных данных: любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

     3.1.8. Персональные данные: любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

     3.1.9. Предоставление персональных данных: действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

     3.1.10. Распространение персональных данных: действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

     3.1.11. Специальные категории персональных данных:персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.

     3.1.12. Структурное подразделение: подразделение Общества, являющееся исполнителем отдельных процессов, функций, работ, участвующее в хозяйственной деятельности Общества, но не имеющее хозяйственной самостоятельности в рамках Общества.

     3.1.13. Субъект персональных данных: физическое лицо, персональные данные которого обрабатываются Обществом в соответствии с положениями действующих нормативных правовых актов Российской Федерации и внутренних документов Общества.

     3.1.14. Трансграничная передача персональных данных: передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или юридическому лицу.

     3.1.15. Уничтожение персональных данных: действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

 

     3.2. В настоящей Политике применены следующие сокращения:

 

Закон

Федеральный закон «О персональных данных»

Общество

АО «НТЭК»

Политика

Политика АО «НТЭК» в области обработки персональных данных

 

4. Цели обработки персональных данных

     4.1.Общество обрабатывает персональные данные в следующих целях:

  • подбор работников;
  • ведение кадрового учета работников;
  • ведение справочников;
  • осуществление взаиморасчетов;
  • организация и поддержание пропускного и внутриобъектового режимов;
  • оформление доверенностей;
  • предоставление возможности добровольного медицинского обслуживания работникам и членам их семей;
  • заключение договоров (соглашений, контрактов и т. п.) и исполнение обязательств по ним, включая договоры, стороной в которых либо выгодоприобретателем или поручителем по которым выступает субъект персональных данных, договоры, заключенные по инициативе субъекта персональных данных;
  • осуществление и выполнение возложенных законодательством Российской Федерации, в том числе трудовым законодательством, на Общество функций и обязанностей;
  • подача заявок и документов в электронной форме, посредством сайта Общества в информационно-телекоммуникационной сети «Интернет»;
  • защита жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
  • предоставление документов в рамках программ идентификации контрагентов в соответствии с требованиями законодательства о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
  • осуществление прав и законных интересов Общества или третьих лиц либо достижение общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных,
  • а также в иных не противоречащих Закону целях.

 

5. Основные принципы обработки, передачи и хранения персональных данных

     5.1.Общество в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, установленных Законом.

     5.2.Общество может осуществлять обработку биометрических персональных данных только при наличии согласия в письменной форме субъекта персональных данных.

     5.3.Общество не выполняет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, установленных законодательством.

     5.4.Общество может осуществлять трансграничную передачу персональных данных. До начала осуществления трансграничной передачи персональных данных Общество обязано убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.  Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

  • наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
  • предусмотренных международными договорами Российской Федерации;
  • исполнения договора, стороной которого является субъект персональных данных;
  • защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

     5.5.Общество осуществляет обработку персональных данных с использованием средств автоматизации и без использования средств автоматизации.

 

6. Меры по обеспечению выполнения Обществом обязанностей оператора при обработке персональных данных

     6.1.Общество принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами. К перечню данных мер относятся:

  • назначение лица, ответственного за организацию обработки персональных данных;
  • принятие локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
  • применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с п. 6.2 настоящей Политики;
  • осуществление внутреннего контроля и/или аудита соответствия обработки персональных данных Закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам;
  • ознакомление работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных и/или обучение указанных сотрудников.

     6.2.Общество при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:

  • определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
  • оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • учетом машинных носителей персональных данных;
  • выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;
  • восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  • контролем над принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.

 

7. Права субъектов персональных данных

     7.1.Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Обществом.

     7.2.Субъект персональных данных вправе требовать от Общества уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

     7.3.Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

     7.4.Для реализации и защиты своих прав и законных интересов субъект персональных данных имеет право обратиться к Обществу. Общество рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

     7.5.Субъект персональных данных вправе обжаловать действия или бездействие Общества путем обращения в уполномоченный орган по защите прав субъектов персональных данных.

     7.6.Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

 

8. Ответственность

     8.1.Ответственность за организацию и осуществление контроля исполнения требований настоящей Политики несет лицо, ответственное за организацию обработки персональных данных в Обществе.

     8.2.Ответственность за своевременное внесение изменений и дополнений в настоящую Политику несет лицо, ответственное за организацию обработки персональных данных в Обществе.

 

Приложения
ФайлОписаниеРазмер файла:Изменено
Скачать этот файл (НТЭК_29013-вх.docx)НТЭК_29013-вх.docx 33 Kb09/28/22 15:57
Скачать этот файл (Политика ПДн_НТЭК.pdf)Политика ПДн_НТЭК.pdf 250 Kb09/28/22 15:57
Скачать этот файл (Приложение 1. Список сайтов.xlsx)Приложение 1. Список сайтов.xlsx 10 Kb09/28/22 15:57