Политика АО «Трансэнерго»

в отношении обработки персональных данных

/ утверждена приказом АО «Трансэнерго» № 218 от 24 апреля 2020 года /

 

 

1. Общие положения.

 

1.1. Настоящая Политика АО «Трансэнерго» в отношении обработки персональных данных (далее - Политика) разработана в целях реализации требований пункта 2 части 1 статьи 18.1 Федерального закона от 27 июля 2006 г. 152-ФЗ "О персональных данных" и действует в отношении всех персональных данных, которые АО «Трансэнерго» (далее - предприятие) получает от субъектов персональных данных.

1.2. Политика распространяется на отношения по обработке персональных данных, возникшие на предприятии как до, так и после утверждения настоящей Политики.

1.3. Предприятие публикует Политику в свободном доступе, размещая ее на своем официальном сайте в информационно-телекоммуникационной сети "Интернет".

 

2. Состав обрабатываемых персональных данных и категории

субъектов, персональные данные которых обрабатываются.

 

2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (далее - субъект персональных данных).

2.2. Категории субъектов персональных данных, персональные данные которых обрабатываются в связи с осуществлением полномочий предприятием:

- работники и бывшие работники предприятия;

- кандидаты на замещение вакантных должностей на предприятии;

- клиенты и контрагенты предприятия (физические лица);

- полномочные представители клиентов и контрагентов предприятия (физические лица);

- граждане, обращающиеся в АО «Трансэнерго» в порядке, установленном Федеральным законом «О порядке рассмотрения обращений граждан Российской Федерации" от 2 мая 2006 года № 59-ФЗ.

 

3. Правовые основания обработки персональных данных.

 

Предприятие осуществляет обработку персональных данных субъектов персональных данных, руководствуясь:

- Конституцией Российской Федерации;

- Трудовым кодексом Российской Федерации;

- Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных";

- Уставом АО «Трансэнерго»;

- договорами (соглашениями), заключаемыми между предприятием и субъектами персональных данных;

- согласиями на обработку персональных данных.

 

4. Цели обработки персональных данных.

 

Предприятие обрабатывает персональные данные субъектов персональных данных в целях выполнения возложенных на предприятие законодательством Российской Федерации и Уставом АО «Трансэнерго» функций, полномочий и обязанностей.

 

5. Принципы и условия обработки персональных данных.

 

5.1. Обработка персональных данных осуществляется на основе следующих принципов:

- законности и справедливости целей и способов обработки персональных данных, соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;

- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных избыточных по отношению к целям, заявленным при сборе персональных данных;

- недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;

- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;

- уничтожение персональных данных либо обезличивание осуществляется по достижении целей их обработки или в случае утраты необходимости в их достижении, если срок хранения персональных данных не установлен законодательством Российской Федерации, другими документами, определяющими такой срок.

5.2. Условия обработки персональных данных на предприятии:

- доступ к персональным данным имеют работники предприятия, которым это необходимо для исполнения должностных обязанностей. Категории и перечни лиц, имеющих доступ к персональным данным, устанавливаютсяраспорядительными актами директора предприятия.

- помещения, в которых обрабатываются персональные данные, оборудуются замковыми устройствами и находятся под круглосуточной охраной.

 

6. Права и обязанности

 

6.1.1. Обязанности Предприятия в качестве оператора персональных данных:

- организовывать обработку персональных данных в соответствии с требованиями Федерального закона от 27 июля 2006г. №152-ФЗ "О персональных данных";

- обеспечивать защиту персональных данных, от их неправомерного использования или утраты;

- получать персональные данные только у субъекта персональных данных. В случаях, когда персональные данные можно получить только у третьих лиц, делать это исключительно с письменного согласия субъекта персональных данных;

- своевременно и в соответствии с требованиями законодательства Российской Федерации реагировать на обращения и запросы субъектов персональных данных, и их законных представителей, а именно:

  • сообщать субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными;

  • в случае отказа, при обращении субъекта персональных данных или его представителя, в предоставлении субъекту персональных данных его персональных данных или информации о наличии в предприятии его персональных данных, давать в письменной форме мотивированный ответ, содержащий ссылку на положение федерального закона, являющееся основанием для такого отказа;

- предоставлять безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, а также по требованию субъекта персональных данных или его представителя вносить в них необходимые изменения и уничтожать, если они не являются необходимыми для заявленной цели обработки, и принимать разумные меры для уведомления третьих лиц об изменениях в персональных данных, которым, персональные данные этого субъекта были переданы;

- сообщать в уполномоченный орган по защите прав субъекта персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса;

- устранять нарушения законодательства, допущенные при обработке персональных данных;

- уточнять, блокировать и уничтожать персональные данные в случаях, предусмотренных соответствующими частями статьи 21 Федерального закона о персональных данных.

6.1.2. Права предприятия в качестве оператора персональных данных:

- принимать локальные нормативные акты в развитие настоящей Политики;

- предлагать субъекту персональных данных оформить персональное письменное согласие на обработку/передачу персональных данных;

- отказывать в предоставлении персональных данных в случаях, предусмотренных статьёй 20 Федерального закона о персональных данных;

- привлекать к дисциплинарной ответственности работников предприятия, к должностным обязанностям которых относится обработка персональных данных, за нарушение требований к защите персональных данных.

6.2. Права субъекта персональных данных:

- получать информацию, касающуюся обработки его персональных данных в предприятии, в том числе и об источниках их получения;

- требовать блокирования или уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, незаконно полученными или не являются необходимыми для заявленной цели обработки;

- требовать извещения всех лиц, которым ранее были сообщены недостоверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия предприятия в качестве оператора персональных данных при обработке его персональных данных;

- отозвать свое согласие на обработку персональных данных.

 

7. Общий порядок обработки персональных данных.

 

7.1 Обработка персональных данных на предприятии производится в соответствии с требованиями законодательства Российской Федерации, настоящей Политики и изданным на её основе локальным нормативным правовым актом предприятия.

7.2. Обработка персональных данных включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

7.3. Обработка персональных данных субъектов персональных данных осуществляется как на бумажных носителях, так и с использованием средств автоматизации (вычислительной техники).

7.4. Сбор, запись, систематизация, накопление (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных или его полномочных представителей.

7.5. Обращения граждан к должностным лицам предприятия рассматриваются в соответствии с законодательством о порядке рассмотрения обращений граждан Российской Федерации и принятыми в соответствие с ним локальными нормативными актами предприятия.

7.6. При передаче персональных данных субъекта персональных данных, работники предприятия, осуществляющие обработку персональных данных, должны соблюдать следующие требования:

- не сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных федеральным законом;

- не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;

- предупредить лиц, получающих персональные данные субъекта персональных данных о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что правило соблюдено. Лица, получающие персональные данные субъекта персональных данных, обязаны соблюдать режим конфиденциальности;

- разрешать доступ к персональным данным субъектов персональных данных только лицам, определенным локальным нормативным правовым актом предприятия.

- не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключение тех сведений, которые относятся к вопросу о возможности выполнения работников трудовой функции;

- передавать персональные данные субъекта персональных данных представителям субъекта персональных данных в порядке, установленном Трудовым кодексом Российской Федерации, и ограничить эту информацию только теми персональными данными субъекта персональных данных, которые необходимы для выполнения указанными представителями их функций.

- передача предприятием персональных данных или ее представителей третьим лицам может допускаться только в случаях, установленных федеральным законом.

7.7. По достижении цели обработки персональных данных обработка персональных данных прекращается и эти персональные данные уничтожаются.

7.8 Хранение и защита персональных данных, как на бумажных, так и на электронных (автоматизированных) носителях информации, осуществляется в порядке, исключающем их утрату или их неправомерное использование.

 

8. Обеспечение безопасности персональных данных.

 

8.1. При обработке персональных данных предприятие принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных.

8.2. На предприятии назначаются лица, ответственные за организацию обработки персональных данных.

 

9. Заключительные положения.

 

9.1. Политика утверждается и вводится в действие приказом по предприятию и является обязательной для исполнения всеми работниками, имеющими доступ к персональным данным работников.

9.2. Политика подлежит изменению в случае принятия законодательных или иных нормативных правовых актов, устанавливающих новые (или изменяющих действующие) требования по обработке и защите персональных данных.

9.3. Лица, виновные в нарушении правил обработки персональных данных и требований к защите персональных данных работника, установленных действующим законодательством Российской Федерации и настоящей Политикой, несут ответственность, предусмотренную законодательством Российской Федерации.