ПОЛИТИКА В ОБЛАСТИ ОБРАБОТКИ

ПЕРСОНАЛЬНЫХ ДАННЫХ АО «ТЭК-ТОРГ»


1. Общие положения
1.1. Настоящая Политика определяет принципы и условия обработки персональных данных в АО «ТЭК-Торг» и разработана с учетом требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и нормативных актов уполномоченных органов государственной власти .
1.2. Для целей настоящей Политики используются следующие основные понятия и сокращения:
Общество – АО «ТЭК-Торг».
Закон – Федеральный закон от 08.07.2006 № 152-ФЗ «О персональных данных».
ПДн (персональные данные) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
ИСПДн (информационная система ПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность ПДн - обязательное для соблюдения Обществом или иным получившим доступ к ПДн лицом требование не допускать их распространение без согласия субъекта ПДн или наличия иного законного основания.
Обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
Общедоступные ПДн - ПДн, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта ПДн, или на которые в соответствии с законодательством Российской Федерации не распространяется требование соблюдения конфиденциальности.
НСД (несанкционированный доступ) - доступ, в том числе случайный,
к информации или действия с информацией, нарушающие установленные правила предоставления доступа к информации. Область действия
2. Область действия
Действие настоящей Политики распространяется на любое действие (операцию) или совокупность действий (операций) с ПДн, совершаемых с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн. Требования настоящей Политики обязательны к соблюдению всеми работниками Общества, а также лицами, привлеченными Обществом для выполнения работ, оказания услуг на основании гражданско-правовых договоров.
Настоящая Политика должна быть размещена на сайте Обществе (www.tektorg.ru)
3. Перечень ответственных лиц
Генеральный директор Общества:
  • утверждает политику Общества в области обработки ПДн;
  • обеспечивает условия для деятельности работников по обработке ПДн в соответствии с требованиями настоящей Политики;
  • отвечает за соблюдение требований настоящей Политики работниками Общества.
Лицо, ответственное за обработку ПДн:
  • разрабатывает проект политики Общества в области обработки ПДн;
  • осуществляет внутренний контроль за соблюдением Обществом и его работниками законодательства Российской Федерации о ПДн, в том числе требований к защите ПДн;
  • доводит до сведения работников Общества положения законодательства Российской Федерации в области ПДн, внутренних документов Общества по вопросам обработки ПДн, требований к защите ПДн;
  • организует прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществляет контроль за приемом и обработкой таких обращений и запросов.
Руководители структурных подразделений:
  • отвечают за соблюдение требований настоящей Политики работниками своих подразделений.
Работники Общества:
  • отвечают за соблюдение требований настоящей Политики в рамках выполнения своих должностных обязанностей.
4. Принципы обработки персональных данных
4. 1. Обработка ПДн в Обществе осуществляется с учетом следующих принципов:
  • законность целей и способов обработки ПДн и добросовестность при обработке ПДн;
  • соответствие целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям Общества по обработке ПДн;
  • соответствие объема и характера обрабатываемых ПДн, способов обработки ПДн целям обработки ПДн;
  • достоверность ПДн, их достаточность для целей обработки, недопустимость обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;
  • недопустимость объединения созданных для несовместимых между собой целей баз данных ИСПДн.
4. 2. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.
4. 3. Обработка ПДн осуществляется только с согласия субъекта ПДн, за исключением случаев, предусмотренных в Законе. Согласие на обработку персональных данных должно быть выражено в форме утверждения или в форме четких активных действий субъекта, Общество должно иметь возможность продемонстрировать такое согласие.
4. 4. При обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки.
4. 5. Обрабатываемые ПДн подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом в сроки, установленные Законом.
4. 6. Безопасность ПДн достигается путем исключения НСД к ПДн, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иные несанкционированные действия.
5. Меры, направленные на обеспечение выполнения обязанностей при обработке ПДн
5. 1. Назначается лицо, ответственное за организацию обработки ПДн;
5. 2. В Обществе издаются документы, определяющие политику в отношении обработки ПДн, внутренние документы по вопросам обработки ПДн, а также, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
5. 3. Применяются правовые, организационные и технические меры по обеспечению безопасности ПДн в соответствии со статьей 19 Закона;
5. 4. Осуществляется внутренний контроль и (или) аудит соответствия обработки ПДн Закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике Общества в отношении обработки ПДн, внутренним документам Общества;
5. 5. Проводится оценка вреда, который может быть причинен субъектам ПДн в случае нарушения Закона, соотношение указанного вреда и принимаемых в Обществе мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом;
5. 6. Работники Общества, непосредственно осуществляющие обработку ПДн, ознакомляются с положениями законодательства Российской Федерации в области ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику Общества в отношении обработки ПДн, внутренними документами Общества по вопросам обработки ПДн, и (или) проходят обучение.
6. Правила обработки персональных данных
6. 1. Обработка ПДн осуществляется с соблюдением принципов и правил, установленных Законом.
6. 2. Обработка ПДн допускается, если:
  • осуществляется с согласия субъекта ПДн на обработку его ПДн;
  • необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей;
  • необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
  • необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
  • необходима для осуществления прав и законных интересов Общества или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
  • осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПДн, за исключением обработки ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации;
  • осуществляется обработка ПДн, доступ неограниченного круга лиц, к которым предоставлен субъектом ПДн, либо по его просьбе;
  • осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
6. 3. Общество может включать ПДн субъектов в общедоступные источники ПДн в случае получения письменного согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации.
6. 4. ПДн специальных категорий и биометрические ПДн в Обществе не обрабатываются.
6. 5. Общество не осуществляет трансграничную передачу ПДн.
6. 6. Принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, не осуществляется.
6. 7. При отсутствии необходимости письменного согласия субъекта на обработку его ПДн согласие субъекта может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме.
6. 8. Общество вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. При этом Общество обязывает лицо, осуществляющее обработку ПДн по поручению Общества, соблюдать принципы и правила обработки ПДн, предусмотренные федеральным законом.
6. 9. В случае, если Общество поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Общество. Лицо, осуществляющее обработку ПДн по поручению Общества, несет ответственность перед Обществом.
6. 10. Общество обязуется и обязывает своих работников, а также лиц, привлеченных Обществом к выполнению работ, оказанию услуг на основании гражданско-правовых договоров, получивших доступ к ПДн, не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
6. 11. При обработке ПДн в Обществе реализуются следующие процедуры:
6.11. 1. направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области ПДн. В этих целях утверждается должностная инструкция работника Общества, ответственного за обработку ПДн, в которой предусматривается осуществление внутреннего контроля за процессом обработки ПДн;
6.11. 2. для каждой цели обработки ПДн определяется:
  • перечень обрабатываемых ПДн;
  • категории субъектов ПДн;
  • сроки их обработки и хранения;
  • порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.
6.11. 3. категория субъектов ПДн определяется в соответствии с политикой защиты ПДн;
6.11. 4. содержание и сроки обработки ПДн должны быть определены в согласии субъекта на обработку ПДн, либо в соответствующих договорах на обработку ПДн.
6.11. 5. порядок уничтожения ПДн определен в пункте 7.1. настоящей Политики.
7. Обязанности Общества при обработке персональных данных
7. 1. В соответствии с требованиями Закона Общество обязано:
  • предоставлять субъекту ПДн по его запросу информацию, касающуюся обработки его ПДн, либо на законных основаниях предоставить отказ;
  • по требованию субъекта ПДн уточнять обрабатываемые ПДн, блокировать или удалять, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • вести учет обращений субъектов ПДн;
  • уведомлять субъекта ПДн об обработке ПДн в том случае, если ПДн были получены не от субъекта ПДн, за исключением случаев:
  • уведомления субъекта ПДн об осуществлении обработки его ПДн соответствующим оператором,
  • получения ПДн Обществом на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн,
  • обработки общедоступных ПДн или их получения из общедоступного источника,
  • когда предоставление субъекту ПДн сведений, содержащихся в уведомлении об обработке ПДн, нарушает права и законные интересы третьих лиц;
  • в случае достижения цели обработки ПДн незамедлительно прекратить обработку ПДн и уничтожить либо обезличить соответствующие ПДн в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Обществом и субъектом ПДн либо, если Общество не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Законом или другими федеральными законами;
  • в случае отзыва субъектом ПДн согласия на обработку своих ПДн прекратить обработку ПДн и уничтожить либо обезличить ПДн в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Обществом и субъектом ПДн. Об уничтожении ПДн Общество обязано уведомлять субъекта ПДн;
  • в случае поступления требования субъекта о прекращении обработки ПДн в целях продвижения товаров, работ, услуг на рынке немедленно прекратить обработку ПДн.
8. Меры по обеспечению безопасности персональных данных при их обработке
8. 1. При обработке ПДн Общество принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
8. 2. Обеспечение безопасности ПДн достигается, в частности:
  • определением угроз безопасности ПДн при их обработке в ИСПДн;
  • применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
  • применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
  • учетом машинных носителей ПДн;
  • обнаружением фактов несанкционированного доступа к ПДн и принятием мер;
  • восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
  • обучение работников Обществе, участвующих в обработке ПДн, вопросам обеспечения безопасности ПДн.
  • контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ИСПДн.
9. Контроль выполнение требований настоящей Политики
9.1. В Обществе проводятся регулярные проверки соблюдения требований Закона.
9.2. Назначается лицо, ответственное за обработку ПДн, в обязанности которого, в том числе, включается осуществление внутреннего контроля за соблюдением Обществом и его работниками законодательства Российской Федерации в области ПДн, в том числе требований к защите ПДн;
9.3. В Обществе назначается структурное подразделение, отвечающее за защиту ПДн.
10. Пересмотр настоящей Политики
Положения настоящей Политики подлежат пересмотру в случае изменения требований законодательства Российской Федерации в области обработки персональных данных. Регламентный пересмотр настоящей Политики осуществляется не реже, чем один раз в три года.