Политика обработки персональных данных

  1. Область применения
  2. Общие положения
  3. Сведения об обработке персональных данных
  4. Меры по обеспечению безопасности персональных данных
  5. Права субъектов персональных данных
  6. Связанные документы
  7.  Глоссарий

1. Область применения

Настоящая Политика обработки персональных данных (далее - Политика) разработана в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных в акционерном обществе «Урало-Сибирская Теплоэнергетическая Компания - Челябинск» (далее – АО «УСТЭК-Челябинск»), в том числе, защиты прав на неприкосновенность частной жизни, личной и семейной тайн и распространяется на все подразделения АО «УСТЭК-Челябинск».

Владельцем данного документа является Отдел информационных технологий и связи, который несет ответственность за:

  • содержание документа, в том числе за корректное определение ответственных исполнителей;
  • формат документа, в том числе его соответствие корпоративному шаблону и требованиям по оформлению;
  • сбор и анализ комментариев по документу, и их использование при подготовке новой версии документа;
  • пересмотр и актуализацию документа при необходимости с периодичностью не реже одного раза в 6 месяцев;
  • обеспечение согласованности со связанными документами.

2. Общие положения

2.1 Политика разработана в соответствии с требованиями действующего законодательства Российской Федерации в области обеспечения безопасности персональных данных и других нормативных правовых актов Российской Федерации, а также внутренних документов, регламентирующих деятельность АО «УСТЭК-Челябинск».

2.2 Политика определяет порядок и правила обработки и обеспечения безопасности персональных данных, обрабатываемых во всех структурных подразделениях и информационных системах персональных данных АО «УСТЭК-Челябинск» и распространяется на всех работников.

2.3 Более детально отдельные процедуры и требования по обработке и обеспечению безопасности персональных данных устанавливаются другими внутренними документами АО «УСТЭК-Челябинск», в том числе, «Положением об организации обработки и защите персональных данных».

2.4 Настоящая Политика устанавливает цели, правовые основания, порядок и условия обработки персональных данных, содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований, правила рассмотрения запросов субъектов персональных данных или их представителей, а также правила и процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных.

2.5 Настоящей Политикой АО «УСТЭК-Челябинск» подтверждает, что обработка персональных данных осуществляется в полном соответствии с требованиями законодательства Российской Федерации. Обеспечение безопасности персональных данных является одной из приоритетных задач в АО «УСТЭК-Челябинск».

3. Сведения об обработке персональных данных

3.1 Информация об операторе персональных данных (далее - Оператор):

3.1.1 АО «УСТЭК-Челябинск» в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ (далее - Федеральный закон «О персональных данных») является оператором, организующим и осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

3.1.2 Адрес местонахождения Оператора: 454080, Челябинская область, г. Челябинск, улица Энгельса, дом 3, кабинет 410.

3.2 Правовые основания обработки персональных данных:

3.2.1 Федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора, в том числе:

  • Гражданский кодекс Российской Федерации;
  • Налоговый кодекс Российской Федерации;
  • Трудовой кодекс Российской Федерации;
  • Федеральный закон «О бухгалтерском учете» от 06.12.2011 № 402-ФЗ;
  • Федеральный закон «О государственном пенсионном обеспечении в Российской Федерации» от 15.12.2001 № 166-ФЗ;
  • Федеральный закон от «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» 01.04.1996 № 27-ФЗ;
  • Федеральный закон «О теплоснабжении» от 27.07.2010 № 190-ФЗ;
  • Федеральный закон «О безопасности объектов топливно-энергетического комплекса» от 21.07.2011 № 256-ФЗ.

3.2.2 Устав АО «УСТЭК-Челябинск»;

3.2.3 договоры, заключаемые между Оператором и субъектом персональных данных;

3.2.4 поручения других Операторов на обработку персональных данных;

3.2.5 согласие на обработку персональных данных.

3.3 Цели обработки персональных данных:

  • осуществление прав и законных интересов АО «УСТЭК-Челябинск» в рамках предусмотренных Уставом и иными локальными нормативными актами видов деятельности;
  • обеспечение соблюдения федеральных законов и иных нормативных правовых актов Российской федерации, выполнение возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
  • заключение и исполнение договоров, в т.ч. стороной которых является субъект персональных данных;
  • ведение кадрового делопроизводства и воинского учета работников;
  • регулирование трудовых отношений с работниками АО «УСТЭК-Челябинск», в т.ч. содействие работникам в трудоустройстве, обучении и продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, предоставление работникам и их близким родственникам различного вида социальных гарантий и льгот, предоставление возможности участия в корпоративных мероприятиях;
  • подбор персонала на замещение вакантных должностей;
  • защита жизни и здоровья работников и посетителей, обеспечение безопасности объектов АО «УСТЭК-Челябинск» и сохранности имущества (в частности, с помощью реализации пропускного и внутриобъектового режима);
  • создание, обеспечение функционирования и безопасности, анализ использования интернет-сервисов АО «УСТЭК-Челябинск»;
  • рассмотрение обращений граждан.

3.4 Категории субъектов, персональные данные которых обрабатываются:

  • физические лица, являющиеся контрагентами или представителями (работниками) контрагентов, в том числе, на этапе преддоговорных отношений;
  • работники АО «УСТЭК-Челябинск»;
  • близкие родственники работников АО «УСТЭК-Челябинск»;
  • кандидаты на замещение вакантных должностей;
  • физические лица, обратившиеся в АО «УСТЭК-Челябинск» с запросом любого характера, и предоставившие в связи с этим свои персональные данные;
  • пользователи интернет-сервисов АО «УСТЭК-Челябинск»;
  • посетители.

3.5 Источники получения персональных данных:

  • непосредственно субъекты персональных данных, указанные в п. 3.4 Политики;
  • государственные органы и уполномоченные организации в случаях, предусмотренных законодательством Российской Федерации;
  • контрагенты;
  • законные представители субъекта персональных данных.

3.6 Содержание и объём обрабатываемых персональных данных категорий субъектов персональных данных, определяются в соответствии с целями обработки персональных данных. АО «УСТЭК-Челябинск» не обрабатывает персональные данные, которые являются избыточными по отношению к указанным целям обработки или несовместимы с такими целями.

3.7 Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных. Сроки обработки и хранения персональных данных определяются для каждой цели обработки персональных данных в соответствии с законодательно установленными сроками хранения документации, сроком действия договора с субъектом персональных данных, сроками исковой давности, установленными сроками хранения документов, сроками указанными в согласии субъекта персональных данных.

3.8 АО «УСТЭК-Челябинск» в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона «О персональных данных».

3.9 АО «УСТЭК-Челябинск» осуществляет обработку персональных данных путём сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения персональных данных. Совершаемые действия определяются исходя из целей обработки конкретных персональных данных, согласия субъекта, положений договоров и иных оснований для обработки.

3.10 При сборе персональных данных, в том числе, посредством информационно-телекоммуникационной сети «Интернет», запись, систематизация, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан Российской Федерации осуществляется с использованием баз данных, находящихся на территории Российской Федерации.

3.11 В АО «УСТЭК-Челябинск» используется смешанный (с использованием средств автоматизации и без использования таковых) способ обработки персональных данных с передачей информации по внутренней локальной сети и передачей по сетям общего доступа и (или) международного обмена.

3.12 Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

3.13 АО «УСТЭК-Челябинск» может осуществлять трансграничную передачу персональных данных граждан Российской Федерации в случаях, предусмотренных законодательством Российской Федерации.

3.14 АО «УСТЭК-Челябинск» в соответствии с частью 3 статьи 6 Федерального закона «О персональных данных» вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано обеспечивать безопасность персональных данных в соответствии с требованиями законодательства Российской Федерации.

3.15 АО «УСТЭК-Челябинск» передает обрабатываемые персональные данные в уполномоченные организации, государственные органы, государственные внебюджетные фонды и другие организации только на основаниях и в случаях, предусмотренных законодательством Российской Федерации.

3.16 Использование официального Интернет-сайта АО «УСТЭК-Челябинск».

3.16.1 При использовании (посещении) официального Интернет-сайта АО «УСТЭК-Челябинск» (далее - Сайт) производится сбор следующей технической информации о пользователях Сайта:

  • IP-адрес устройства пользователя;
  • данные, передаваемые браузером пользователя (Cookies, User Agent, Referer и другая техническая информация);
  • данные о совершенных пользователем действиях при использовании Сайта, например: просмотр страниц, переходы по ссылкам, поисковые запросы.

За исключением случаев, указанных в п. 3.16.2 Политики, данная техническая информация о пользователях Сайта является обезличенными данными, которые не позволяют идентифицировать личность пользователя, а используются в целях обеспечения функционирования и безопасности Сайта, анализа статистических данных о его использовании, в том числе, с помощью партнерских сервисов аналитики.

3.16.2 АО «УСТЭК-Челябинск» осуществляет обработку персональных данных при использовании следующих сервисов, размещенных на Сайте: Виртуальная приемная, Личный кабинет. В данных случаях (когда пользователь прошел процедуру аутентификации или ввел свои персональные данные, позволяющие его идентифицировать), в дополнение к персональным данным, указанным субъектом персональных данных или полученных АО «УСТЭК-Челябинск» иными законными способами, обрабатывается техническая информация о пользователях Сайта, указанная в п. 3.16.1 Политики.

3.16.3 При несогласии пользователя Сайта на передачу и хранение технической информации, указанной в п. 3.16.1 Политики, он может:

  • отключить ее передачу на своем устройстве, при этом часть функций и сервисов Сайта могут работать некорректно;
  • отказаться от использования Сайта.

3.17 АО «УСТЭК-Челябинск» прекращает обработку персональных данных в следующих случаях:

  • достижение целей обработки персональных данных или в случае утраты необходимости в достижении этих целей;
  • изменение, признание утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;
  • истечение срока действия согласия или отзыв согласия субъекта персональных данных;
  • выявление неправомерной обработки персональных данных;
  • ликвидация организации.

3.18 Уничтожение персональных данных осуществляется в порядке и сроки, предусмотренные законодательством Российской Федерации, а также согласием субъекта.

3.19 АО «УСТЭК-Челябинск» обеспечивает конфиденциальность обрабатываемых персональных данных: не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством.

4. Меры по обеспечению безопасности персональных данных

4.1 АО «УСТЭК-Челябинск» обеспечивает защиту персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

4.2 АО «УСТЭК-Челябинск» принимает необходимые правовые, организационные и технические меры защиты персональных данных, направленные на обеспечение выполнения обязанностей, предусмотренных федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, в том числе:

  • назначение работников, ответственных за организацию обработки персональных данных и за обеспечение их безопасности в информационных системах персональных данных;
  • издание локальных актов, регламентирующих вопросы обработки и защиты персональных данных;
  • ознакомление работников, непосредственно осуществляющих обработку персональных данных, под подпись с положениями локальных нормативных актов АО «УСТЭК-Челябинск», содержащих нормы законодательства Российской Федерации о персональных данных, требования к защите персональных данных, порядку обработки и ответственностью за нарушения в сфере обработки персональных данных;
  • ограничение доступа работников и иных лиц к персональным данным и связанным с их использованием работам, материальным носителям;
  • обеспечение соблюдения условий, при которых работники организации, иные лица получают доступ к персональным данным только в пределах, необходимых для выполнения своих обязанностей, либо в объёмах, вызванных необходимостью;
  • анализ и оценка угроз безопасности персональных данных при их обработке в информационных системах персональных данных и оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований действующего законодательства;
  • применение технических средств защиты информации;
  • осуществление внутреннего контроля соответствия обработки и защиты персональных данных законодательству Российской Федерации;
  • своевременное обнаружение фактов разглашения, утраты, несанкционированного доступа к персональным данным и принятие мер по таким фактам;

4.3 Более детально применяемые меры по обеспечению безопасности персональных данных устанавливаются другими внутренними документами АО «УСТЭК-Челябинск».

5. Права субъектов персональных данных

5.1 Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.

5.2 Согласие на обработку персональных данных может быть отозвано субъектом персональных данных путем направления письменного обращения (отзыва согласия) в адрес АО «УСТЭК-Челябинск». В случае отзыва субъектом персональных данных согласия на обработку персональных данных, Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных действующем законодательством.

5.3 Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в соответствии со ст. 14 Федерального закона «О персональных данных». Субъект персональных данных вправе требовать от АО «УСТЭК-Челябинск» уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

5.4 Информация предоставляется субъекту персональных данных (представителю) путем направления обращении по письменному запросу субъекта (представителя). Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с АО «УСТЭК-Челябинск» (номер договора, дата заключения договора либо сведения, иным образом подтверждающие факт обработки персональных данных АО «УСТЭК-Челябинск»), подпись субъекта персональных данных или его представителя.

5.5 Субъект персональных данных вправе обратиться повторно или направить повторный запрос в целях получения необходимых ему сведений, а также в целях ознакомления с обрабатываемыми персональными данными, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п. 6.3 Политики, должен содержать обоснование направления повторного запроса.

5.6 Если субъект персональных данных считает, что АО «УСТЭК-Челябинск» осуществляет обработку его персональных данных с нарушением требований действующего законодательства или иным образом нарушает его права и свободы, субъект персональных данных вправе:

  • Направить АО «УСТЭК-Челябинск» письменное обращение, содержащее необходимые для проведения разбирательства сведения. АО «УСТЭК-Челябинск» рассматривает все поступившие обращения со стороны субъекта персональных данных, проводит по ним разбирательства и принимает все необходимые и достаточные меры для немедленного устранения выявленных нарушений, в т.ч. урегулирования споров в досудебном порядке.
  • Обжаловать действия или бездействие АО «УСТЭК-Челябинск» в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

5.7 Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

6. Связанные документы

При разработке настоящего Положения использовались следующие нормативные документы:

  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ;
  • Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

7. Глоссарий

ТерминОпределение
Персональные данные

любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Оператор персональных данных

государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данных

любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Автоматизированная обработка персональных данных

обработка персональных данных с помощью средств вычислительной техники;

Распространение персональных данных

действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Предоставление персональных данных

действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Блокирование персональных данных

временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Уничтожение персональных данных

действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Обезличивание персональных данных

действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Информационная система персональных данных

совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Трансграничная передача персональных данных

передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.