Политика АО «КОНТИ-РУС» в отношении обработки и защиты персональных данных
1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее - Политика) подготовлена в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" и действует в отношении всех персональных данных, которые АО «КОНТИ-РУС» (далее - Общество) может получить от субъектов персональных данных.
1.2. Политика распространяется на персональные данные, полученные как до, так и после подписания настоящей Политики.
1.3. Политика разработана в целях реализации требований законодательства в области обработки и защиты персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в Обществе, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайн.
1.4. Обработку персональных данных Общество осуществляет руководствуясь: Конституцией Российской Федерации; Трудовым кодексом Российской Федерации; Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и иными действующими федеральными законами и подзаконными актами Российской Федерации, определяющими правила и особенности обработки персональных данных и обеспечения безопасности такой обработки.
1.5. Обработка персональных данных в Обществе осуществляется с целью:
- обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Общества;
- заключения с Субъектом персональных данных любых договоров и соглашений и их дальнейшего исполнения;
- организация и ведение кадрового делопроизводства в Обществе;
- привлечения кандидатов на работу в Обществе;
- осуществления Обществом административно-хозяйственной деятельности;
- формирования статистической отчетности, в том числе для предоставления в контролирующие органы государственной власти Российской Федерации;
- а также в других целях в соответствии с федеральным законодательством, международными договорами Российской Федерации.
2. Обрабатываемые персональные данные
2.1. Сведениями, составляющими персональные данные, в Обществе является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.2. Общество обрабатывает персональные данные следующих категорий субъектов персональных данных:
2.2.1. физических лиц, претендующих на замещение вакантных должностей в Обществе; работников Общества, состоящих и состоявших с АО «КОНТИ-РУС» в трудовых отношениях;
2.2.2. физических лиц, выполняющих работы или оказывающих услуги по заключенным с Обществом гражданско-правовым договорам;
2.2.3. руководителей, членов коллегиальных исполнительных органов и представителей юридических лиц, иных физических лиц, представленные участниками закупки товаров (услуг, работ);
2.2.4. физических лиц, персональные данные которых сделаны ими общедоступными, а их обработка не нарушает их прав и соответствует требованиям, установленным законодательством Российской Федерации;
2.2.5. иных физических лиц, выразивших своё согласие на обработку персональных данных и обратившихся в Общество, или обработка персональных данных которых необходима Обществу для осуществления функций, предусмотренных законами Российской Федерации или международным договором.
3. Права и обязанности
3.1. Права Общества
- обрабатывать персональные данные Субъекта персональных данных в соответствии с заявленной целью;
- требовать от Субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, оказания услуги, идентификации Субъекта персональных данных, а также в иных случаях, предусмотренных Законодательством о персональных данных;
- ограничить доступ Субъекта персональных данных к его персональным данным в случае, если Обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, доступ Субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц, а также в иных случаях, предусмотренных законодательством Российской Федерации;
- обрабатывать общедоступные персональные данные физических лиц;
- уточнять обрабатываемые персональные данные, блокировать или удалять, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных;
- предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
- отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;
3.2. Обязанности Общества:
- предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ;
- по требованию субъекта персональных данных уточнять обрабатываемые персональные данные, блокировать или удалять, если персональных данных являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- вести учет обращений субъектов персональных данных;
- уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных за исключением предусмотренных законом Российской Федерации случаев;
- в случае достижения цели обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные, если иное не предусмотрено договором;
- в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Обществом и субъектом персональных данных. Об уничтожении персональных данных Общество обязано уведомить субъекта персональных данных.
Общество обязуется и обязывает иных лиц, получивших доступ к персональным данным, не раскрывать их третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
3.3. Права субъекта персональных данных:
- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- требовать перечень своих персональных данных, обрабатываемых Обществом и источник их получения;
- получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
- принимать предусмотренные законом меры по защите своих прав;
- отзывать свое согласие на обработку персональных данных.
3.4. Обязанности субъекта персональных данных:
- своевременно предоставить полные, точные и достоверные сведения о своих персональных данных.
4. Принципы обработки персональных данных
4.1. Обработка персональных данных осуществляется Обществом на основе следующих принципов:
- законности целей и способов обработки персональных данных,
- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
- соответствия объема и состава обрабатываемых персональных данных, способов обработки персональных данных целям обработки;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
- недопустимости обработки персональных данных, несовместимых с целями сбора персональных данных;
- хранения персональных данных в форме, позволяющей определить субъект персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен федеральным законом, договором;
- уничтожения или обезличивания персональных данных по достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации, договором;
- обеспечения конфиденциальности и безопасности обрабатываемых персональных данных.
5. Организация обработки персональных данных
5.1. Обработка персональных данных осуществляется с соблюдением принципов и правил, установленных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».
5.2. Общество осуществляет обработку персональных данных как с использованием средств автоматизации, так и без использования средств автоматизации.
5.3. Биометрические персональные данные в Обществе не обрабатываются.
5.4. При отсутствии необходимости письменного согласия субъекта на обработку его персональных данных согласие субъекта может быть дано субъектом персональных данных или его представителем в любой позволяющей получить факт его получения форме.
5.5. Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее - поручение оператора). При этом Общество в договоре обязывает лицо, осуществляющее обработку персональных данных по поручению Общества, соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом.
5.6. Предоставление доступа органам государственной власти (в том числе, контролирующим, надзорным, правоохранительным и иным органам) к персональным данным, обрабатываемым Обществом осуществляется в объёме и порядке, установленным соответствующим законодательством Российской Федерации.
6. Обеспечение безопасности персональных данных
6.1. При обработке персональных данных Общество принимает необходимые правовые, организационные и технические меры и обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.2. Обеспечение безопасности персональных данных достигается, в частности:
- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применением прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учетом машинных носителей персональных данных;
- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- обучением персонала Общества, участвующего в обработке персональных данных, вопросам обеспечения безопасности персональных данных;
- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
6.3. В целях координации действий по организации обработки персональных данных (в том числе за их безопасность) в Обществе назначаются ответственные лица.
7. Заключительные положения
7.1. Настоящая Политика является внутренним, общедоступным документом Общества и подлежит размещению на официальном сайте АО «КОНТИ-РУС».
7.2. Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных в Обществе.
7.3. Ответственность работников Общества, осуществляющих обработку персональных данных и имеющих право доступа к ним, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами АО «КОНТИ-РУС» и предусматривает уголовную, гражданско-правовую, административную и дисциплинарную ответственность.