ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ, ИСПОЛЬЗУЕМЫЕ В ПОЛИТИКЕ

НОРМАТИВНАЯ ОСНОВА ПОЛИТИКИ

1. Конституция РФ.
2. Трудовой кодекс РФ от 30.12.2001 № 197-ФЗ.
3. Гражданский кодекс РФ от 30.11.1994 № 51-ФЗ.
4. Федеральный закон РФ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
5. Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных».
6. Федеральный закон РФ от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».
7. Указ Президента РФ от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера».
8. Постановление Правительства РФ от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
9. Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
10. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
11. Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
12. Иные нормативно-правовые акты РФ в области обработки обеспечения защиты персональных данных.

ОБЩИЕ ПОЛОЖЕНИЯ

Акционерное общество «ОТЭКО» (далее – сокращенное наименование АО «ОТЭКО» или «Оператор»), юридическое лицо, созданное в соответствии с законодательством РФ и зарегистрированное по адресу: 115093, город Москва, 1-й Щипковский переулок, дом 3.

1. Назначение

1.1. Политика в области обработки и защиты персональных данных (далее – Политика) является основополагающим документом, регулирующим деятельность АО «ОТЭКО» в области обработки и защиты персональных данных.

1.2. Настоящая Политика разработана с учётом требований Конституции РФ, законодательных и иных нормативно-правовых актов РФ в области обработки и защиты персональных данных.

1.3. Политика определяет цели, условия и способы обработки персональных данных, перечень субъектов персональных данных, права и обязанности Оператора и субъектов персональных данных, объем и категории обрабатываемых персональных данных, категории субъектов персональных данных, меры, направленные на обеспечение выполнения обязанностей АО «ОТЭКО» при обработке персональных данных.

2. Область применения

2.1. Политика действует в отношении всех субъектов персональных данных и категорий персональных данных, которые обрабатывает АО «ОТЭКО».

2.2. Политика обязательна для исполнения и соблюдения работниками АО «ОТЭКО».

2.3. Создаваемые в АО «ОТЭКО» документы, в том числе локальные нормативные документы, не должны противоречить настоящей Политике.

2.4. Политика распространяется на отношения в области обработки и защиты персональных данных с момента введения в действие.

3. Порядок внесения изменений и срок действия

3.1. Утверждение и ввод в действие, внесение изменений или отмена настоящей Политики производится в соответствии с приказом генерального директора АО «ОТЭКО».

3.2. Инициатором внесения изменений в Политику является генеральный директор АО «ОТЭКО», либо работник, которому в рамках своих должностных обязанностей поручены вопросы обработки и защиты персональных данных.

3.3. Изменения в Политику вносятся в случае изменения законодательства РФ, требований регулирующих органов в области обработки и защиты персональных данных, изменений процессов, процедур по обработке персональных данных, категорий или объема обрабатываемых персональных данных, а также в иных случаях, когда необходима актуализация настоящей Политики.

ОСНОВНЫЕ ПОЛОЖЕНИЯ

4. Права субъектов персональных данных

4.1. Субъекты, персональные данные которых обрабатываются Оператором, имеют право на:

- получение полной информации об обработке Оператором его персональных данных, за исключением случаев, предусмотренных федеральными законами;

- уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

- отзыв согласия на обработку персональных данных;

- обжалование действия или бездействия Оператора, осуществляемого с нарушением требований законодательства РФ в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;

- принятие предусмотренных законом мер по защите своих прав и законных интересов, в том числе на возмещение убытков и(или) компенсацию морального вреда в судебном порядке;

- осуществление иных прав, предусмотренных законодательством РФ.

5. Права и обязанности Оператора

5.1. АО «ОТЭКО» вправе:

- получать документы, содержащие персональные данные от субъектов либо от представителей субъектов;

- требовать от субъекта своевременного уточнения предоставленных персональных данных;

- в случае отзыва субъектом согласия на обработку своих персональных данных, Оператор вправе продолжить обработку персональных данных без согласия субъекта при наличии оснований, установленных законодательством РФ;

- вправе поручить обработку персональных данных другому лицу с согласия субъектов на основании заключаемого договора, существенным условием которого является обязанность обеспечения исполнителем условий конфиденциальности персональных данных и их безопасности при обработке;

- осуществлять иные права, предусмотренные законодательством РФ о персональных данных.

5.2. АО «ОТЭКО» обязано:

- осуществлять обработку персональных данных субъектов с соблюдением принципов и правил, предусмотренных действующим законодательством РФ и внутренними документами Оператора в области обработки персональных данных;

- в соответствии с требованиями законодательства сообщать субъекту персональных данных, или его законному представителю, по его запросу о наличии у Оператора персональных данных, относящихся к соответствующему субъекту;

- уведомлять субъектов персональных данных до начала обработки их персональных данных в случаях, если персональные данные получены не от субъектов;

- в соответствии с требованиями законодательства безвозмездно предоставить возможность ознакомления субъекта персональных данных или его законного представителя с персональными данными субъекта при получении соответствующего запроса;

- принимать меры по уточнению, уничтожению персональных данных субъекта персональных данных в связи с его либо его законного представителя обращением с законными и обоснованными требованиями.

6. Цели и принципы сбора персональных данных

6.1. Целями обработки персональных данных субъектов в АО «ОТЭКО» являются:

- обеспечение соблюдения Конституции РФ, законодательных и иных нормативных правовых актов РФ;

- осуществление полномочий и обязанностей, а также функций, возложенных законодательством РФ на Оператора, в том числе по предоставлению персональных данных в государственные и муниципальные органы;

- регулирование трудовых отношений с работниками АО «ОТЭКО»;

- обеспечение работы с контрагентами;

- заключение договора и(или) исполнение обязательств, стороной которого заказчиком является субъект персональных данных, в том числе в случае реализации Оператором своего права на уступку прав (требований) по такому договору, включая оформление командировочных документов, бронирование и приобретение гостиничных мест и транспортных билетов, оформление прохождения медицинских осмотров;

- формирование справочных материалов для внутреннего информационного обеспечения деятельности Оператора;

- осуществление прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными документами, или третьих лиц, либо достижения общественно значимых целей;

- обеспечение пропускного и внутриобъектового режимов на объектах АО «ОТЭКО», а также обеспечение транспортной, экономической и информационной безопасности;

- ведение бухгалтерского и налогового учета;

- исполнение судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;

- предоставление работникам Оператора и членам их семей дополнительных гарантий и компенсаций, в том числе добровольного медицинского страхования, материальной помощи и других видов социального обеспечения, предусмотренными законодательством РФ и локальными нормативными актами Общества;

- обратная связь с субъектами персональных данных, в том числе обработка их запросов и обращений;

- проведение акций, опросов, маркетинговых, статистических и иных исследовательских действий.

6.2. Обработка ПДн в АО «ОТЭКО» осуществляется с учетом необходимости обеспечения защиты прав и свобод работников АО «ОТЭКО» и других субъектов ПДн, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

- обработка ПДн осуществляется на законной и справедливой основе;

- обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;

- не допускается обработка ПДн, не совместимая с целями сбора ПДн;

- не допускается объединение баз данных (в части предоставления доступа), содержащих ПДн, обработка которых осуществляется в целях, не совместимых между собой;

- обработке подлежат только ПДн, которые отвечают целям их обработки;

- содержание и объем обрабатываемых ПДн соответствует заявленным целям обработки;

- не допускается избыточность обрабатываемых ПДн по отношению к заявленным целям их обработки;

- при обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. В АО «ОТЭКО» обеспечиваются необходимые меры по удалению или уточнению неполных или неточных ПДн;

- хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем того требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;

- обрабатываемые ПДн уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

7. Категории субъектов персональных данных

АО «ОТЭКО» обрабатываются персональные данные следующих категорий субъектов персональных данных:

- работников Оператора, бывших работников, кандидатов на замещение вакантных должностей и родственников работников;

- кандидатов на занятие вакантной должности, не являющимися работниками АО «ОТЭКО», давших согласие на обработку персональных данных;

- субъектов, обработка персональных данных которых связана с заключением и исполнением гражданско-правовых договоров;

- субъектов персональных данных, не работников Оператора, которые в рамках доброй воли предоставили Оператору право на обработку персональных данных в рамках отношений с Оператором;

- авторов обращений в адрес Оператора;

- других субъектов персональных данных (для обеспечения реализации целей обработки персональных данных, установленных в настоящей Политике).

8. Объем и категории персональных данных

8.1. Категории, содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

8.2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни Оператором не осуществляется.

8.3. В АО «ОТЭКО» обрабатывается следующие персональные данные:

- фамилия, имя, отчество;

- информация о смене фамилии, имени, отчества;

- год, месяц, дата и место рождения, а также иные данные, содержащиеся в удостоверении личности, а также данные о водительских правах;

- фотографическое изображение;

- данные об образовании, наличии специальных знаний или подготовки, ученой степени, ученом звании, знании иностранных языков;

- данные о профессии (должности), специальности;

- номер страхового полиса ОМС, ДМС, данные медицинского характера, в случаях, предусмотренных законодательством;

- данные о членах семьи;

- данные о месте жительства, месте регистрации, почтовый адрес, телефон работника, а также членов его семьи;

- адрес электронной почты;

- данные, содержащиеся в трудовой книжке работника и его личном деле;

- СНИЛС и ИНН;

- данные, содержащиеся в документах воинского учета (при их наличии);

- иные персональные данные, при определении объема и содержания которых АО «ОТЭКО» руководствуется законодательством РФ.

8.4. Полный перечень запрашиваемых и обрабатываемых Оператором персональных данных определен в локальных нормативных документах и формах, относящихся к обработке и защите персональных данных в АО «ОТЭКО».

9. Порядок и условия обработки персональных данных

9.1. Обработка персональных данных Оператором осуществляется с согласия субъекта на обработку его персональных данных, если иное не предусмотрено законодательством РФ в области персональных данных.

9.2. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

9.3. Оператор без согласия субъекта не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством РФ.

9.4. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта на основании заключаемого с этим лицом договора. Договор или дополнительное соглашение к нему должны содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии с законодательством РФ.

9.5. В целях внутреннего информационного обеспечения АО «ОТЭКО» может создавать общедоступные справочные материалы, общедоступные информационные системы персональных данных для АО «ОТЭКО», в которые с согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ, могут включаться его фамилия, имя, отчество, место работы, должность, номер телефона, адрес электронной почты, иные персональные данные, сообщаемые субъектом.

9.6. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

9.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, заявленных настоящей Политикой, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

9.8. При осуществлении хранения персональных данных АО «ОТЭКО» использует базы данных, находящиеся на территории РФ, в соответствии с ч. 5 ст. 18 Федерального закона «О персональных данных».

9.9. Обработка и хранение персональных данных АО «ОТЭКО» при обработке персональных данных без использования средств автоматизации (неавтоматизированная обработка персональных данных) осуществляется на основании Постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и принимаются необходимые меры по обеспечению безопасности персональных данных субъекта.

10. Способы обработки персональных данных

10.1. Обработка персональных данных Оператором осуществляется следующими способами:

- неавтоматизированная обработка персональных данных;

- автоматизированная обработка персональных данных;

- смешанная обработка персональных данных.

10.2. Обработка персональных данных, содержащихся в информационной системе персональных данных, либо извлечённых из такой системы считается осуществлённой без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении субъектов персональных данных, осуществляются при непосредственном участии человека.

11. Меры, направленные на обеспечение выполнения обязанностей Оператора при обработке персональных данных

11.1. Оператор публикует настоящую Политику в свободном доступе в сети Интернет, с целью обеспечения неограниченного доступа к ней, а также к сведениям о реализуемых требованиях к защите персональных данных.

11.2. Оператор принимает меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, в том числе.

11.2.1. Организационные меры:

- назначение лица, ответственного за организацию обработки персональных данных в АО «ОТЭКО»;

- принятие локальных нормативных документов, регулирующих вопросы обработки и защиты персональных данных;

- уведомление в установленных законодательством РФ случаях уполномоченного органа по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных;

- ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных и локальных нормативных документов Оператора о персональных данных, в том числе с требованиями к защите персональных данных, и (или) обучение указанных работников;

- осуществление внутреннего контроля и(или) аудита соответствия обработки персональных данных законодательству РФ, требованиям к защите персональных данных, настоящей Политике, локальным нормативным документам;

- оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Оператором законодательства РФ о персональных данных, соотношение указанного вреда и принимаемых Оператором мер по обеспечению безопасности персональных данных;

- обезличивание персональных данных в соответствии с законодательством РФ;

- прекращение обработки и уничтожение персональных данных в случаях, предусмотренных законодательством РФ о персональных данных.

11.2.2. Технические меры:

- выполнение требований при обработке персональных данных, осуществляемой в информационных системах персональных данных, утвержденных постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах»;

- выполнение требований по технической защите в соответствии с требованиями регулирующих органов в области технической защиты персональных данных;

- применение лучших практик в области технической защиты персональных данных;

- применение иных мер, предусмотренных законодательством РФ.

12. Требования к срокам обработки и уничтожения персональных данных

12.1. Требования к срокам обработки персональных данных субъектов, обрабатываемых в АО «ОТЭКО», определяются локальными нормативными документами АО «ОТЭКО» в соответствии с требованиями Федерального закона «О персональных данных».

12.2. Сроки обработки персональных данных устанавливаются в согласии на обработку персональных данных субъекта персональных данных.

12.3. Обработка персональных данных начинается не ранее возникновения правовых оснований обработки персональных данных.

12.4. Обработка персональных данных прекращается при достижении целей обработки, утрате правовых оснований обработки, установленных законодательством РФ, отзыве согласия на обработку персональных данных субъектом.

12.5. По истечении срока обработки или при наличии иных законных оснований персональные данные уничтожаются или обезличиваются в соответствии с требованиями нормативно-правовыми нормами РФ для использования в статистических или иных исследовательских целях.

13. Трансграничная передача персональных данных

13.1. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных осуществляется в соответствии с законодательством РФ.

13.2. Трансграничная передача персональных данных в страны, не обеспечивающие адекватной защиты прав субъектов персональных данных, осуществляется:

- при наличии согласия субъекта персональных данных на трансграничную передачу его персональных данных;

- для исполнения договора, стороной которого является субъект персональных данных;

- для защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия субъекта персональных данных;

- в случаях, предусмотренных международными соглашениями Российской Федерации, федеральными законами.