Политика АО "Дробмаш" в отношении обработки персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящий документ определяет Политику акционерного общества «Дробмаш» в отношении обработки персональных данных (далее – «Политика»).

1.2. Акционерное общество «Дробмаш» (далее – «Общество»), осуществляет обработку персональных данных, обеспечивает защиту прав и свобод субъектов при обработке их персональных данных и принимает меры для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «Закон № 152-ФЗ») и принятыми в соответствии с ним нормативными правовыми актами.

1.3. Настоящая Политика подлежит размещению в открытых источниках Общества, на Информационных досках в структурных подразделениях.

1.4. Положения и требования настоящей Политики являются обязательными для исполнения всеми работниками Общества, имеющими доступ к персональным данным.

1.5. Локальные акты и другие документы, регламентирующие обработку персональных данных в Обществе, разрабатываются с учетом положений настоящей Политики.

2. ОСНОВНЫЕ ПОНЯТИЯ, ИСПОЛЬЗУЕМЫЕ В ПОЛИТИКЕ

2.1. В настоящем документе используются следующие понятия:

1) персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);

2) субъект персональных данных - физическое лицо, которое прямо или косвенно определено, или определяемо с помощью персональных данных;

3) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В данной Политике под оператором понимается Общество;

4) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

5) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

6) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

7) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

8) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

9) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

10) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

11) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

12) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

13) биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность;

14) персональные данные, разрешенные субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом № 152-ФЗ.

3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Обработка персональных данных осуществляется на основе следующих принципов:

1) обработка персональных данных осуществляется на законной и справедливой основе;

2) обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

3) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

4) обработке подлежат только те персональные данные, которые отвечают целям их обработки;

5) содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям обработки;

6) при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;

7) хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.

4. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Субъект персональных данных имеет право:

1) свободно, своей волей и в своем интересе предоставлять свои персональные данные и давать согласие на их обработку;

2) отозвать свое согласие на обработку персональных данных;

3) получать информацию, касающуюся обработки своих персональных данных, в том числе содержащую:

– подтверждение факта обработки персональных данных Обществом;

– правовые основания и цели обработки персональных данных;

– цели и применяемые Обществом способы обработки персональных данных;

– наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании законодательства Российской Федерации;

– обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

– сроки обработки персональных данных, в том числе сроки их хранения;

– порядок осуществления субъектом персональных данных прав, предусмотренных Законом № 152-ФЗ, в том числе порядок защиты субъектом персональных данных своих прав и законных интересов;

– информацию об осуществленной или о предполагаемой трансграничной передаче данных;

– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;

– порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения;

– информацию о способах исполнения Обществом обязанностей, установленных статьей 18.1 Закона №152-ФЗ;

– иные сведения, предусмотренные законодательством Российской Федерации;

4) требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

5) требовать прекращения обработки своих персональных данных, в том числе в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи;

6) заявлять возражения против принятия решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных;

7) обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;

8) на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

5. ОБЯЗАННОСТИ ОБЩЕСТВА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Общество при осуществлении обработки персональных данных обязано:

1) опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему политику Общества в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети;

2) уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, об изменениях сведений, указанных в уведомлении, а также в случае прекращения обработки персональных данных в порядке и в сроки, установленные Законом № 152-ФЗ;

3) при сборе персональных данных предоставить субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;

4) разъяснить субъекту персональных данных юридические последствия отказа предоставить персональные данные и (или) дать согласие на обработку персональных данных, если предоставление персональных данных и (или) получение согласия на обработку персональных данных является обязательным в соответствии с законодательством Российской Федерации;

5) обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Закона № 152-ФЗ;

6) не раскрывать и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации;

7) предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к субъекту персональных данных, в той форме, в которой были направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе;

8) внести необходимые изменения в персональные данные при наличии сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными;

9) немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи;

10) уничтожить персональные данные при наличии сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;

11) в случае отзыва субъектом персональных данных согласия на обработку его персональных данных прекратить их обработку и уничтожить его персональные данные, за исключением случаев, предусмотренных законодательством о персональных данных;

12) по требованию субъекта персональных данных прекратить обработку и уничтожить его персональные данные, за исключением случаев, предусмотренных законодательством о персональных данных;

13) принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

14) обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных в порядке, определенном федеральным органом исполнительной власти в области обеспечения безопасности;

15) уведомить уполномоченный орган по защите прав субъектов персональных данных в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, в порядке и сроки, установленные законодательством о персональных данных;

16) сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию;

17) рассмотреть возражение против принятия решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных, в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.

6. КАТЕГОРИИ СУБЪЕКТОВ, КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Категории субъектов, персональные данные которых обрабатываются:

• кандидаты на трудоустройство;

• работники;

• родственники работников;

• Контрагенты или выгодоприобретатели по гражданско-правовым договорам;

• Посетители АО «Дробмаш»

6.1.2. Категории и перечень обрабатываемых персональных данных:

(1) Кандидаты на трудоустройство:

• фамилия, имя, отчество (при наличии);

• дата, месяц и год рождения;

• данные об образовании, в том числе дополнительном;

• данные о владении иностранным языком;

• опыт работы, трудовая деятельность;

• контактный телефон;

• адрес места жительства (регистрации);

• адрес места пребывания;

• идентификационный номер налогоплательщика;

• СНИЛС;

• Сведения о семейном положении;

• Фото;

• сведения о ближайших родственниках (степень родства, ФИО, число, месяц, год рождения, место работы, должность);

• сведения о доходе на последнем месте работы;

• сведения об отношении к воинской службе;

• Сведения о судимости

• Сведения о документе, удостоверяющем личность субъекта персональных данных:

• вид документа;

• серия документа;

• номер документа;

• наименование уполномоченного органа государственной власти (его подразделения), выдавшего документ;

• дата выдачи документа.

(2) Работники:

• фамилия, имя, отчество (при наличии) (в том числе предыдущие);

• дата рождения;

• место рождения;

• пол;

• гражданство;

• адрес места жительства (регистрации);

• адрес места пребывания;

• идентификационный номер налогоплательщика;

• страховой номер индивидуального лицевого счета в системе обязательного пенсионного страхования (СНИЛС).

• Сведения о документе, удостоверяющем личность субъекта персональных данных:

• вид документа;

• серия документа;

• номер документа;

• наименование уполномоченного органа государственной власти (его подразделения), выдавшего документ;

• дата выдачи документа;

• Контактная информация субъекта персональных данных:

• почтовый адрес для направления корреспонденции через операторов почтовой связи;

• контактный номер телефона

• адрес электронной почты

• Сведения об образовании субъекта персональных данных:

• наименование образовательной и (или) иной организации, год окончания;

• квалификация (степень), ученая степень, ученое звание, дата решения о присуждении ученой степени, присвоении ученого звания;

• направление подготовки (специальность) и квалификация по документу об образовании;

• Сведения о дополнительном профессиональном образовании субъекта персональных данных (профессиональной переподготовке, повышении квалификации):

• наименование образовательной и (или) научной организации, год окончания;

• реквизиты документа о переподготовке (повышении квалификации);

• квалификация и специальность по документу о переподготовке (повышении квалификации);

• наименование программы обучения, количество часов обучения;

• Сведения о владении иностранными языками:

• иностранный язык;

• уровень владения иностранным языком.

• Сведения о текущей и предшествующей трудовой деятельности субъекта персональных данных:

• наименование работодателя, адрес местонахождения работодателя;

• контактные данные работодателя (номер телефона, факса, адрес электронной почты);

• занимаемая должность;

• период работы;

• Сведения о воинском учете:

• информация о воинской обязанности;

• реквизиты документов воинского учета;

• сведения, содержащиеся в документах воинского учета.

• Иные сведения о субъекте персональных данных:

• сведения о социальных льготах, на которые сотрудник имеет право (группа и причина инвалидности, причина временной нетрудоспособности);

• сведения о доходах, о заработной плате, банковские реквизиты;

• Фото;

• Табельный номер;

• Номер пропуска;

• Автобиографические сведения;

• Результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей

(3) Родственники работников:

• фамилия, имя, отчество (при наличии) (в том числе предыдущие);

• год рождения;

• степень родства;

• место работы (учебы)

• контактный телефон.

(4) Контрагенты или выгодоприобретатели по гражданско-правовым договорам

• фамилия, имя, отчество (при наличии);

• дата рождения;

• место рождения;

• адрес места жительства (регистрации);

• адрес места пребывания;

• идентификационный номер налогоплательщика (для физ.лиц, СМЗ, ИП);

• страховой номер индивидуального лицевого счета в системе обязательного пенсионного страхования (для физ. лиц, СМЗ (при наличии), ИП).

• Сведения о документе, удостоверяющем личность субъекта персональных данных (для физ. лиц, СМЗ (при наличии), ИП):

• вид документа;

• серия документа;

• номер документа;

• наименование уполномоченного органа государственной власти (его подразделения), выдавшего документ;

• дата выдачи документа;

• код подразделения уполномоченного органа государственной власти, выдавшего документ.

Контактная информация субъекта персональных данных:

• контактный номер телефона

• адрес электронной почты.

• Иные сведения о субъекте персональных данных:

• занимаемая должность, наименование и адрес работодателя.

• банковские реквизиты.

• дата постановки на учет в качестве СМЗ (при наличии)

(5) Посетители АО «Дробмаш»

• фамилия, имя, отчество (при наличии);

• фото

• Сведения о документе, удостоверяющем личность субъекта персональных данных:

• вид документа;

• серия документа;

• номер документа;

• наименование уполномоченного органа государственной власти (его подразделения), выдавшего документ;

• дата выдачи документа

• Данные об автотранспорте (при наличии)

6.1.3. Способы, сроки обработки и хранения персональных данных:

(1) Способы обработки персональных данных:

– С использованием средств автоматизации;

– Без использования средств автоматизации.

(2) Сроки обработки и хранения персональных данных:

– Срок, в течение которого действует согласие субъекта персональных данных;

– В течение срока действия трудового договора и срока, установленного приказом Росархива от 20.12.2019 №236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения».

6.1.4. Порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований определен в разделе 9 настоящей Политики.

6.2. Цели обработки (для работников, родственников работников и кандидатов на трудоустройство):

• Ведение кадрового делопроизводства, осуществление Обществом прав и исполнение обязательств по трудовому праву.

• обеспечение соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных актов Российской Федерации;

• осуществление своей деятельности в соответствии с Уставом Организации;

• осуществление Организацией гражданско-правовых отношений, включая исполнение прав и обязанностей, предусмотренных гражданско-правовыми договорами, заключенными с Организацией;

• заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности.

6.2.1. Способы, сроки обработки и хранения персональных данных:

(1) Способы обработки персональных данных:

– С использованием средств автоматизации.

– Без использования средств автоматизации.

(2) Сроки обработки и хранения персональных данных:

– Срок, в течение которого действует согласие субъекта персональных данных;

– Срок, определенный приказом Федерального архивного агентства от 20.12.2019 №236 «Об утверждении перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения».

6.3. Цель:

Содействие в трудоустройстве, использование с целью организации проверочных мероприятий по кандидату

6.3.1. . Категории субъектов, персональные данные которых обрабатываются:

– кандидаты на трудоустройство.

6.3.2. Способы, сроки обработки и хранения персональных данных:

(1) Способы обработки персональных данных:

– С использованием средств автоматизации

– Без использования средств автоматизации.

(2) Сроки обработки и хранения персональных данных:

– Срок, в течение которого действует согласие субъекта персональных данных;

– Срок, определенный приказом Федерального архивного агентства от 20.12.2019 №236 «Об утверждении перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения».

6.4. Цель: осуществление Организацией гражданско-правовых отношений, включая исполнение прав и обязанностей, предусмотренных гражданско-правовыми договорами, заключенными с Организацией.

6.4.1. Категории субъектов, персональные данные которых обрабатываются:

– Контрагенты или выгодоприобретатели по гражданско-правовым договорам.

6.4.2. Способы, сроки обработки и хранения персональных данных:

(1) Способы обработки персональных данных:

– С использованием средств автоматизации

– Без использования средств автоматизации.

(2) Сроки обработки и хранения персональных данных:

– Срок, в течение которого действует согласие субъекта персональных данных.

– Срок, определенный приказом Федерального архивного агентства от 20.12.2019 №236 «Об утверждении перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»

6.5. Цель: предоставление доступа на территорию ООО «Выксунский литейный завод».

6.5.1. Категории субъектов, персональные данные которых обрабатываются:

– Посетители.

6.5.2. Способы, сроки их обработки и хранения персональных данных:

(1) Способы обработки персональных данных:

– С использованием средств автоматизации;

– Без использования средств автоматизации.

(2) Сроки обработки и хранения персональных данных:

– Срок, в течение которого действует согласие субъекта персональных данных

7. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Правовыми основаниями обработки персональных данных для достижения целей, указанных в разделе 6 настоящей Политики, являются:

1) Гражданский кодекс российской Федерации;

2) Трудовой кодекс Российской Федерации;

3) Налоговый кодекс Российской Федерации;

4) Федеральный закон от 26.12.1995 N 208-ФЗ "Об акционерных обществах";

5) Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

6) Федеральный закон Российской Федерации от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;

7) Федеральный закон Российской Федерации от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;

8) Федеральный закон Российской Федерации от 28.12.2003 №426 «О специальной оценке условий труда»;

9) Постановление Правительства Российской Федерации от 27.11.2006 г. № 719 «Об утверждении Положения о воинском учете»;

10) Устав Общества;

11) договоры, заключаемые между Обществом и субъектами персональных данных;

12) согласие субъектов персональных данных на обработку их персональных данных;

13) уведомление об автоматическом сборе технических данных пользователей (посетителей) сайта Общества;

14) иные нормативные правовые акты, исполнение требований которых связано с обработкой персональных данных.

8. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Сбор персональных данных.

8.1.1. Общество получает персональные данные в устной и письменной форме (в том числе в результате предоставления оригиналов или копий документов) непосредственно от субъектов персональных данных, их представителей, в также иных лиц в случаях и порядке, предусмотренных законодательством Российской Федерации.

8.1.2. При сборе персональных данных на страницах сайта Общество предоставляет субъекту персональных данных возможность ознакомления с настоящей Политикой и дать согласие на обработку персональных данных свободно, своей волей и в своем интересе.

8.1.3. Сбор и обработка персональных данных субъекта в целях продвижения товаров, работ, услуг Общества и иных третьих лиц с помощью средств связи осуществляется только при условии получения предварительного согласия на это субъекта.

8.1.4. Если в соответствии с законодательством Российской Федерации предоставление персональных данных и (или) получение Обществом согласия на обработку персональных данных являются обязательными, Общество разъясняет субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.

8.1.5. Если персональные данные получены не от субъекта персональных данных, за исключением случаев, предусмотренных часть.4 ст.18 Закона № 152-ФЗ, Общество до начала обработки таких персональных данных предоставляет субъекту персональных данных следующую информацию:

– наименование и адрес Общества;

– цель обработки персональных данных и ее правовое основание;

– перечень персональных данных;

– предполагаемые пользователи персональных данных;

– установленные законодательством о персональных данных права субъекта персональных данных;

– источник получения персональных данных.

8.2. Категории и состав обрабатываемых персональных данных.

8.2.1. Общество не осуществляет обработку специальных категорий персональных данных, касающихся состояния здоровья работников и иных субъектов персональных данных.

8.2.2. Общество осуществляет распространение персональных данных руководящих работников, а именно: фамилия, имя, отчество, занимаемая должность, фотография, контактная информация с целью предоставления посетителям сайта информации об этих работниках, а также с целью организации и проведение мероприятий, направленных на повышение узнаваемости и лояльности в отношении Общества, продвижения услуг Общества, на основании согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

8.2.3. Общество не осуществляет обработку биометрических персональных данных

8.2.4. Состав обрабатываемых Обществом персональных данных определен в п. 6 настоящей Политики

8.3. Условия передачи персональных данных третьим лицам.

8.3.1. Предоставление персональных данных органам государственной власти, органам местного самоуправления (в т.ч. путем внесения сведений в государственные и муниципальные информационные системы), а также иным уполномоченным органам допускается в случаях и на основаниях, предусмотренных законодательством Российской Федерации.

8.3.2. Передача персональных данных между подразделениями Общества осуществляется только между работниками, имеющими доступ к персональным данным субъектов.

8.3.3. Представителю субъекта персональные данные субъекта предоставляются в порядке, установленном действующим законодательством Российской Федерации, при наличии документов, подтверждающих полномочия представителя, и документов, удостоверяющих личность представителя.

8.3.4. Передача персональных данных субъекта третьему лицу осуществляется только с согласия субъекта персональных данных. В согласии субъекта персональных данных указывается сведения о третьем лице (третьих лицах), которому (которым) передаются персональные данные, а также цель передачи персональных данных.

8.3.5. Передача персональных данных или поручение обработки персональных данных субъектов третьему лицу осуществляется на основании договора, существенными условиями которого являются соблюдение третьим лицом конфиденциальности и обеспечение безопасности персональных данных в соответствии с требованиями законодательства о персональных данных.

8.3.6. При передаче персональных данных третьим лицам, которые на основании договоров получают доступ или осуществляют обработку персональных данных, Общество ограничивает эту информацию только теми персональными данными, которые необходимы для выполнения указанными лицами их функций (услуг, работ).

8.4. Трансграничная передача персональных данных.

8.4.1. Общество не осуществляет трансграничную передачу персональных данных.

9. ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Сведения, указанные в подп. 3 п. 4.1. настоящей Политики, предоставляются субъекту персональных данных или его представителю Обществом в течение 10 (десяти) рабочих дней с момента обращения либо получения Обществом запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Обществом в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Общество предоставляет сведения субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращение или запросе. Удаление и уничтожение персональных данных производится по достижению целей обработки, либо по запросу субъекта персональных данных.

9.2. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Общество обязано внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Общество обязано уничтожить такие персональные данные. Общество обязано уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

9.3. В случае выявления неправомерной обработки персональных данных, осуществляемой Обществом или лицом, действующим по поручению Общества, Общество в срок, не превышающий трех рабочих дней с даты этого выявления, обязано прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, Общество в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Общество обязано уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

9.4. В случае достижения цели обработки персональных данных Общество обязано прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Обществом и субъектом персональных данных либо если Общество не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.

9.5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Общество обязано прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Обществом и субъектом персональных данных либо если Общество не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.

9.6. В случае отсутствия возможности уничтожения персональных данных в течение указанных сроков Общество осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

10. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. Доступ к персональным данным ограничивается в соответствии с законодательством Российской Федерации.

10.2. Доступ к обрабатываемым персональным данным предоставляется только тем работникам Общества, которым он необходим в связи с исполнением ими своих должностных обязанностей.

10.3. Работники Общества, получившие доступ к персональным данным, принимают на себя обязательства по обеспечению конфиденциальности и безопасности обрабатываемых персональных данных.

10.4. Общество не раскрывает третьим лицам и не распространяет персональные данные без согласия на это субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

10.5. Третьи лица, получившие доступ к персональным данным, или осуществляющие обработку персональных данных по поручению Общества, обязуются соблюдать требования договоров и соглашений с Обществом в части обеспечения конфиденциальности и безопасности персональных данных.

11. ТРЕБОВАНИЯ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, РЕАЛИЗУЕМЫЕ ОБЩЕСТВОМ

11.1. Обеспечение безопасности персональных данных при их обработке Обществом осуществляется в соответствии с законодательством Российской Федерации и требованиями уполномоченного органа государственной власти по защите прав субъектов персональных данных, федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области технической защиты информации.

11.2. Общество предпринимает необходимые организационные и технические меры для защиты персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

11.3. Меры защиты, реализуемые Обществом при обработке персональных данных, включают:

– принятие локальных актов и иных документов в области обработки и защиты персональных данных;

– назначение работника, ответственного за организацию обработки персональных данных;

– назначение работника, ответственного за обеспечение безопасности персональных данных в информационных системах Общества;

– организацию обучения и проведение методической работы с работниками, осуществляющими обработку персональных данных;

– создание необходимых условий для работы с материальными носителями и информационными системами, в которых обрабатываются персональные данные;

– организацию учета информационных систем, в которых обрабатываются персональные данные, материальных носителей персональных данных и их хранение надлежащим образом;

– обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации и раздельное их хранение в случае, если обработка введется в разных целях;

– систематическую оценку угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

– оценку причинения вреда и (или) нанесения ущерба субъектам персональных данных в случае нарушения законодательства о персональных данных;

– определение необходимого уровня защищенности персональных данных, обрабатываемых в информационных системах Общества, в соответствии с Постановлением Правительства РФ от 01.11.2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

– разграничение доступа к информационным системам персональных данных, материальным носителям (документам), съемным (машинным) носителям персональных данных;

– регистрацию и учет действий пользователей и администраторов информационных систем с персональными данными, программными средствами информационных систем, съемными (машинными) носителями и средствами защиты информации;

– предотвращение внедрения в информационные системы Общества вредоносных программ;

– использование защищенных каналов связи;

– резервирование и восстановление работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации;

– выявление инцидентов, связанных с нарушением требований по обработке и обеспечению безопасности персональных данных, и реагирование на них;

– осуществление внутреннего контроля за соблюдением законодательства Российской Федерации и локальных актов Общества при обработке персональных данных;

– оценку эффективности принимаемых мер по обеспечению безопасности персональных данных и совершенствование системы защиты персональных данных.

11.4. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Общество обязано с момента выявления такого инцидента Обществом, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

1) в течение 24 (двадцати четырех) часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном на взаимодействие Обществом с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

2) в течение 72 (семидесяти двух) часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

12. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

12.1. Настоящая Политика подлежит пересмотру и совершенствованию на регулярной основе, а также в случаях изменения законодательства Российской Федерации.

12.2. Контроль исполнения требований настоящей Политики осуществляется лицами, ответственными за организацию обработки и обеспечение безопасности персональных данных в Обществе.

12.3. В случае нарушения требований законодательства Российской Федерации и локальных актов Общества в сфере обработки и защиты персональных данных Общество несет ответственность в соответствии с законодательством Российской Федерации.