Политика обработки персональных данных

ВВОДНЫЕ ПОЛОЖЕНИЯ

ВВЕДЕНИЕ

Политика АО «ННГ» в области обработки персональных данных (далее – Политика) устанавливает порядок взаимодействия структурных подразделений АО «ННГ» (далее – Общество) при обработке персональных данных Общества.

ЦЕЛИ

Настоящая Политика разработана с целью создания единых требований к процессу обработки персональных данных и определена в соответствии с действующим законодательством и Уставом Общества.

Целью настоящей Политики является информирование субъектов персональных данных и лиц, участвующих в обработке персональных данных, о соблюдении в Обществе основополагающих принципов законности, справедливости, соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки.

Обеспечение защиты прав и свобод человека при обработке его персональных данных, в том числе защита прав на неприкосновенность частной жизни, личную и семейную тайну, является одной из приоритетных задач Общества. Обработка персональных данных осуществляется в целях:

  • содействия работникам и кандидатам в трудоустройстве, обучении и продвижении по службе, контроля количества и качества выполняемой работы, соблюдения норм трудового законодательства и иных актов, содержащих нормы трудового права;
  • обеспечения социальных льгот и гарантий, личной безопасности или иных жизненно важных интересов работников Общества и членов их семей;
  • соблюдения антимонопольного законодательства;
  • ведения корпоративных телефонных и иных информационных справочников, публикации сообщений на внутрикорпоративных порталах, досках почета и в общедоступных информационных системах персональных данных.

ЗАДАЧИ

Задачами настоящей Политики являются:

  • единство принципов и требований к обработке персональных данных;
  • соблюдение всеми структурными подразделениями Общества установленных принципов и требований в процессе обработки персональных данных.

ОБЛАСТЬ ДЕЙСТВИЯ

Настоящая Политика обязательна для исполнения всеми структурными подразделениями Общества. Организационные, распорядительные и локальные нормативные акты не должны противоречить настоящей Политике.

ПЕРИОД ДЕЙСТВИЯ И ПОРЯДОК ВНЕСЕНИЯ ИЗМЕНЕНИЙ

Настоящая Политика является локальным нормативным актом постоянного действия.
Политика утверждается и вводится в действие приказом по Обществу.
Политика обработки персональных данных признается утратившей силу на основании приказа по Обществу.
Политика подлежит пересмотру в случае существенных изменений деятельности Общества, изменений в законодательстве в области защиты персональных данных и иных случаях.
Изменения и дополнения в Политику вносятся приказом по Обществу по инициативе кадрового подразделения.

1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

ПЕРСОНАЛЬНЫЕ ДАННЫЕ (ПД) - любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту ПД).
СУБЪЕКТ ПД – работники Общества и иные лица, обработка чьих ПД необходима в соответствии с требованиями действующего законодательства, а также представители контрагентов.
НОСИТЕЛЬ ПД - материальный объект, в котором ПД находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
ОБРАБОТКА ПД - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД.
ОБРАБОТКА ПД БЕЗ ИСПОЛЬЗОВАНИЯ АВТОМАТИЗАЦИИ - обработка ПД без использования средств вычислительной техники, соответствующая характеру действий (операций), совершаемых с ПД с использованием средств автоматизации, то есть позволяющая осуществлять в соответствии с заданным алгоритмом поиск ПД, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях ПД, и (или) доступ к таким ПД.

2. СОКРАЩЕНИЯ И ОБОЗНАЧЕНИЯ

ИС - информационная система
ИСПД - информационная система персональных данных ____ «_____» - Полное наименование Общества «………………………»
ПД - персональные данные
СЗИ - средства защиты информации
СКЗИ - средства криптографической защиты информации

3. ОБЩИЕ ТРЕБОВАНИЯ К ОБЕСПЕЧЕНИЮ ПОРЯДКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. ОБРАБАТЫВАЕМЫЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ

3.1.1. ИСПД, принадлежащие Обществу, предназначены для обработки ПД:

  • физических лиц, состоящих в трудовых отношениях с Обществом, в том числе ПД бывших работников;
  • работников контрагентов, получающих кратковременный доступ на территорию Общества.

3.1.2. В Обществе НЕ допускается обработка следующих категорий ПД:

  • расовая принадлежность;
  • политические взгляды;
  • состояние здоровья;
  • философские убеждения;
  • состояние интимной жизни;
  • национальная принадлежность;
  • религиозные убеждения.

3.2. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.2.1. Обработка ПД в Обществе происходит как неавтоматизированным, так и автоматизированным способом.

3.2.2. К обработке ПД в Обществе допускаются только работники, прошедшие определенную процедуру допуска, к которой относятся:

  • ознакомление работника под роспись с локальными нормативными актами Общества (положения, инструкции и т.д.), строго регламентирующими порядок и процедуру работы с ПД;
  • взятие с работника письменного согласия о соблюдении конфиденциальности в отношении ПД при работе с ними;
  • получение работником и использование в работе индивидуальных атрибутов доступа к информационным системам (далее - ИС) Общества содержащим в себе ПД. При этом каждому работнику выдаются минимально необходимые для исполнения трудовых обязанностей права на доступ в информационные системы ПД (далее - ИСПД).
3.2.3. Работники, имеющие доступ к ПД, получают только те ПД, которые необходимы им для выполнения конкретных трудовых обязанностей.

3.3. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.3.1. ПД хранятся в бумажном и электронном виде. В электронном виде ПД хранятся в базах данных и на технических средствах ИСПД Общества, а также в архивных копиях баз данных этих ИСПД.
3.3.2. Места хранения носителей персональных данных, порядок хранения, учета и уничтожения к ним регламентируются внутренними документами Общества, утверждаемыми генеральным директором.

3.3.3. При хранении ПД соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним. К ним относятся:

  • назначение работника, ответственного за обработку ПД;
  • утверждение документа, определяющего перечень лиц, доступ которых к персональным данным, необходим для выполнения ими служебных (трудовых) обязанностей;
  • ограничение физического доступа к местам обработки персональных данных, хранения носителей персональных данных;
  • назначение работника, ответственного за обеспечение защиты персональных данных;
  • учет всех информационных систем и электронных и бумажных носителей, а так же архивных копий;
  • применение сертифицированных средств защиты информации (далее - СЗИ) и средств криптографической защиты информации (далее - СКЗИ).
3.3.4. Также в Обществе производится периодический контроль за принимаемыми мерами по обеспечению безопасности персональных данных.
3.3.5. Хранение персональных данных в Обществе производится вплоть до момента достижения цели обработки персональных данных, после чего носители персональных данных, персональные данные из автоматизированных систем уничтожаются способом исключающим их восстановление.

3.4. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.4.1. Для целей обработки данных Общество может передавать ПД исключительно своим работникам и третьим лицам, подписавшим обязательство по обеспечению конфиденциальности и безопасности полученных сведений.
3.4.2. Передача персональных данных третьим лицам в остальных случаях возможна только с согласия субъекта ПД и только с целью исполнения обязанностей перед субъектом ПД в рамках договора, либо когда такая обязанность у Общества наступает в результате требований федерального законодательства или при поступлении запроса от уполномоченных государственных органов. В последнем случае ограничивает передачу ПД запрошенным объемом. Передача данных, в данном случае, должна фиксироваться в соответствующем журнале ответственным лицом.
3.4.3. Передача персональных данных третьим лицам возможна только в рамках соглашения об информационном обмене или поручения оператора на обработку ПД. Исключением являются случаи предоставления информации в соответствии с требованиями о предоставлении информации, предъявленными уполномоченными государственными органами в соответствии с действующим законодательством.
3.4.4. В случае заключения поручения на обработку персональных данных с третьими лицами, в таком поручение должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона №152-ФЗ «О персональных данных».
3.4.5. При передаче персональных данных в электронном виде третьим лицам по открытым каналам связи Общество обязано принимать все необходимые меры по защите передаваемой информации в соответствии с требованиями нормативно-методической документации регуляторов.

3.5. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.5.1. Обеспечение безопасности персональных данных в Обществе достигается следующими мерами:

  • назначением работника, ответственного за организацию обработки ПД;
  • разработкой частной модели угроз безопасности ПД, присвоением требуемого уровня защищенности ИСПД;
  • назначением ответственного за обеспечение безопасности персональных данных;
  • назначением для ИСПД ответственных лиц (администратор ИСПД, администратор безопасности, ответственный пользователь криптосредств) или обеспечением выполнение данных функций консалтинговыми организациями;
  • определением списка лиц, допущенных к работе с ПД;
  • определением правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;
  • разработкой и утверждением локальных нормативных актов Общества, регламентирующих порядок обработки ПД, разработкой для пользователей и ответственных лиц рабочих инструкций;
  • проведением периодического обучения и повышением осведомленности работников в области защиты ПД;
  • восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • физической защитой технических средств ИСПД;
  • контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
  • реализацией технических мер, снижающих вероятность реализаций угроз безопасности ПД, при помощи сертифицированных СЗИ и СКЗИ.

3.5.2. Выбор конкретных мер по защите персональных данных, обрабатываемых в ИСПД, производится после определения типа и набора актуальных угроз, требуемого уровня защищенности на основе базового набора требований к определенному уровню защищенности, определённых приказом ФСТЭК России от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при обработке в информационных системах персональных данных», адаптированным и уточненным в соответствии с Моделью угроз и используемыми информационными технологиями;

3.5.3. Меры по защите персональных данных, обрабатываемых без средств автоматизации, определяется в соответствии с Постановлением Правительства РФ № 687 от 15.09.2008 г. «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

3.6. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.6.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его ПД, за исключением случаев, когда право субъекта ПД на доступ к его ПД может быть ограничено в соответствии с федеральными законами. В частности, субъект ПД имеет право на получение следующей информации, касающейся обработки его ПД:

  • подтверждение факта обработки ПД;
  • правовые основания и цели обработки ПД;
  • цели и применяемые способы обработки ПД;
  • сведения о лицах (за исключением работников Общества), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора или на основании федерального закона;
  • обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения;
  • сроки обработки ПД, в том числе сроки их хранения;
  • порядок осуществления субъектом ПД своих прав;
  • иные сведения, предусмотренные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» или другими законодательными актами.

3.6.2. Получить данную информацию субъект ПД может, обратившись с письменным запросом в Общество. Ответ, содержащий запрашиваемую информацию, либо мотивированный отказ в ее предоставлении направляется по адресу, указанному в запросе, в течение 30 дней;

3.6.3. Порядок обработки запросов субъектов ПД по выполнению их законных прав в Обществе производится согласно утвержденному внутреннему документу, разработанному в соответствии с действующим законодательством в области защиты ПД и подконтролен работнику, ответственному за обработку ПД.

3.7. ОБЯЗАННОСТИ ОБЩЕСТВА КАК ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.7.1. Общество обязуется осуществлять обработку ПД только с согласия субъектов ПД, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

3.7.2. При сборе ПД Общество обязуется по запросу субъекта ПД предоставлять информацию, касающуюся обработки его ПД, перечисленную в п.3.6 настоящей Политики. В случае если предоставление ПД является обязательным в соответствии с федеральным законом, Общество обязуется разъяснять субъекту ПД юридические последствия отказа предоставить его ПД.

3.7.3. Если ПД получены не от субъекта ПД, Общество до начала обработки таких ПД обязуется предоставить субъекту ПД сведения, касающиеся обработки его ПД в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных». В случаях, если Общество не является оператором ПД, полученных от субъектов ПД, обязанность по предоставлению субъекту ПД соответствующих сведений возлагается на оператора ПД, от которого эти данные получены.

3.7.4. Общество при обработке ПД обязуется принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении ПД. Описание принимаемых мер приведено в п.3.5 настоящей Политики.

3.7.5. Общество обязуется отвечать на запросы субъектов ПД, их представителей, а также уполномоченного органа по защите прав субъектов ПД касательно обрабатываемых ПД, в соответствии с требованиями законодательства.

3.7.6. В случае предоставления субъектом ПД, либо его представителем сведений, подтверждающих факты каких-либо нарушений в процессе обработки ПД, Общество обязуется устранить данные нарушения в течение семи рабочих дней и уведомить субъекта ПД о внесенных изменениях и предпринятых мерах.

3.7.7. В случае достижения целей обработки ПД Общество обязуется прекратить обработку ПД и уничтожить ПД в течение 30 дней, если иное не предусмотрено условиями договора, заключенного с субъектом ПД, либо иным соглашением.

3.7.8. Общество обязуется уведомлять уполномоченный орган по защите прав субъектов ПД о своем намерении осуществлять обработку ПД, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных». В случае изменения предоставленных сведений Общество обязуется предоставлять актуализированные сведения в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки ПД.

3.8. ОТВЕТСТВЕННОСТЬ

3.8.1. Общество несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту ПД.

Пресс-центр

Для просмотра информации по Тендерам/Реализации ТМЦ вы будете перенаправлены на сайт АО «НК «Нефтиса»
Перейти на сайт АО «НК «Нефтиса»