Обработка персональных данных

ПОЛИТИКА

акционерного общества «Сибирские приборы и системы»

в отношении обработки персональных данных

 

1. Общие положения

 

1.1 Настоящая Политика в отношении обработки персональных данных (далее — Политика) разработана в соответствии с пунктом 2 ст. 18.1 Федерального закона РФ «О персональных данных» от 27.07.2006 г. № 152-ФЗ и действует в отношении всех процессов, связанных с обработкой персональных данных в акционерном обществе «Сибирские приборы и системы» (далее — АО «СПС», Оператор, организация).

1.2 Политика разработана в целях обеспечения соблюдения действующего законодательства РФ в области обработки персональных данных, направленного на защиту прав и свобод субъектов персональных данных.

1.3 В АО «СПС» разрабатываются и вводятся в действие локальные нормативные документы организации в области обработки и защиты персональных данных, которые являются обязательными для исполнения всеми работниками организации.

1.4 Настоящая Политика является общедоступным документом, размещается на официальном сайте АО «СПС» (sibpribor.ru) и обязательна для ознакомления лицами, передающими Оператору персональные данные, в том числе посредствам сайта.

1.5 В настоящей Политике применены следующие термины и определения:

1.5.1 Персональные данные — любая информация,  относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

1.5.2 Субъект персональных данных — (субъект) человек, к которому относятся соответствующие персональные данные;

1.5.3 Оператор — организация, обрабатывающая персональные данные;

1.5.4 Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

1.5.5 Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

1.5.6 Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

1.5.7 Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

1.5.8 Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев если обработка необходима для уточнения персональных данных);

1.5.9 Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

1.5.10 Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

1.5.11 Информационная система персональных данных — совокупность, содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

1.6 Права и обязанности субъектов персональных данных и Оператора:

1.6.1 Субъект персональных данных имеет право:

1.6.1.1 На получение сведений, касающихся обработки его персональных данных, в доступной форме.

1.6.1.2 Требовать от организации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

1.6.1.3 На защиту своих прав и законных интересов.

1.6.1.4 Обжаловать действия или бездействие организации в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке, если субъект персональных данных считает, что организация осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы.

Право субъекта персональных данных на доступ к его персональным данным ограничивается в соответствии с частью 8 статьи 14 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».

1.6.2 Субъект персональных данных обязан:

1.6.2.1 Передавать в организацию достоверные и документированные персональные данные, состав которых установлен трудовым законодательством РФ, иными федеральными законами, указами Президента РФ и Постановлениями Правительства РФ.

1.6.2.2 Своевременно сообщать и предоставлять в отдел управления персоналом и/или в бухгалтерию организации документы, подтверждающие изменение своих персональных данных.

1.6.3 Оператор обязан:

1.6.3.1 Предоставить субъекту персональных данных по его обращению или запросу информацию, касающуюся обработки его персональных данных.

1.6.3.2 Принимать меры по обеспечению безопасности персональных данных при их обработке.

1.6.3.3 Вносить необходимые изменения, выполнять уничтожение или блокирование соответствующих персональных данных при предоставлении субъектом персональных данных сведений, подтверждающих, что персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

1.6.3.4 Сообщать в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа.

1.6.3.5 Выполнять иные обязанности, предусмотренные Федеральным законом от 27.07. 2006 №152-ФЗ «О персональных данных».

1.6.4 Оператор имеет право:

1.6.4.1 Передавать обработанные персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством РФ.

1.6.4.2 Отказывать в предоставлении персональных данных в случаях, предусмотренных действующим законодательством РФ.

1.6.4.3 Осуществлять обработку персональных данных без согласия субъекта персональных данных, предусмотренных действующим законодательством РФ.

 

2. Цели сбора персональных данных

 

2.1 Персональные данные АО «СПС» собираются и обрабатываются в соответствии с законодательством РФ для целей:

— исполнения обязанностей организации как работодателя: исполнение трудового и коллективного договоров, обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве в организации, обучение и продвижение по службе, награждение и поощрение за труд, обеспечение личной безопасности работников, контроль количества  и качества выполняемой работы и обеспечение сохранности имущества;

— исполнения договорных обязательств с заказчиками, контрагентами, субподрядчиками, поставщиками, учениками и другими физическими и юридическими лицами, имеющими договорные отношения с АО «СПС»;

— принятия решения о приеме либо отказе в приеме на работу соискателей на вакантную должность/профессию в АО «СПС»;

— организации прохождения практики в АО «СПС» учащихся и студентов.

2.2 Персональные данные в АО «СПС» обрабатываются только для достижения конкретных, заранее определенных и законных целей. В организации не допускается обработка персональных данных, не совместимая с целями сбора персональных данных.

 

3. Правовые основания обработки персональных данных

 

Правовым основанием обработки персональных данных являются:

3.1 Договоры, заключаемые между Оператором и субъектом персональных данных (трудовые договоры, гражданско-правовые договоры, ученические договоры и пр.).

3.2 Совокупность правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных:

— Трудовой кодекс РФ;

— Налоговый кодекс РФ;

— Гражданский кодекс РФ;

— Федеральный закон от 26.12.1995 №208-ФЗ «Об акционерных обществах»;

— Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;

— Федеральный закон от 01.04.1996 №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;

— Федеральный закон от 06.12.2011 №402-ФЗ «О бухгалтерском учете»;

— Федеральный закон от 30.12.2008 №307-ФЗ «Об аудиторской деятельности»;

— Федеральный закон от 02.10.2007 №229-ФЗ «Об исполнительном производстве»;

— Федеральный закон от 28.03.1998 №53-ФЗ «О воинской обязанности и военной службе»;

— Постановление Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

— Постановление Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных данных при их обработке в информационных системах персональных данных»;

— Постановление Правительства РФ от 27.11.2006 №719 «Об утверждении Положения о воинском учете»;

— Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

— Устав АО «СПС».

3.3 Согласие субъекта персональных данных на обработку его персональных данных.

 

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

 

4.1 В АО «СПС» обрабатываются персональные данные следующих субъектов персональных данных:

4.1.1 Физические лица, состоящие с организацией в трудовых отношениях (работники АО «СПС»);

4.1.2 Физические лица, являющиеся близкими родственниками работников организации;

4.1.3 Физические лица, уволившиеся из организации (бывшие работники АО «СПС», члены первичной профсоюзной организации АО «СПС»);

4.1.4 Физические лица, подавшие резюме на соискание вакантной должности/профессии в АО «СПС»;

4.1.5 Физические лица, состоящие с организацией в гражданско-правовых отношениях;

4.1.6 Физические лица, являющиеся представителями/работниками заказчика, контрагентов, субподрядчиков и других физических и юридических лиц, имеющих договорные отношения с АО «СПС»;

4.1.7 Физические лица, с которыми заключён ученический договор, а также студенты и учащиеся, проходящие практику в АО «СПС»;

4.1.8 Физические лица, направленные в АО «СПС» в служебную командировку.

4.2 Персональные данные, обрабатываемые в АО «СПС»:

4.2.1 Персональные данные, которые предоставляет работник при трудоустройстве, установленные ст. 65 Трудового кодекса РФ, а также персональные данные, получаемые и создаваемые организацией в период осуществления работником трудовой деятельности (приложение №1 к Положению «О персональных данных работников АО «СПС»).

4.2.2 Персональные данные, которые предоставляет работник на своих близких родственников для предоставления гарантий, льгот, компенсаций, предусмотренных коллективным договором и локальными нормативными правовыми актами организации (фамилия, имя, отчество, дата рождения, место регистрации, место работы).

4.2.3 Персональные данные, полученные от соискателя вакантной должности/профессии путём направления резюме через официальный сайт АО «СПС» (фамилия, имя, отчество, адрес проживания, номер контактного телефона, адрес электронной почты),

4.2.4 Персональные данные, полученные при заключении гражданско-правовых договоров (фамилия, имя, отчество, дата рождения, адрес регистрации и адрес фактического проживания, номер контактного телефона, паспортные данные, идентификационный номер налогоплательщика, сведения о страховом свидетельстве государственного пенсионного страхования).

4.2.5 Персональные данные, полученные при оформлении ученических договоров и распоряжений начальника службы управления персоналом о прохождении практики (фамилия, имя, отчество, дата рождения, адрес места жительства, паспортные данные, номер контактного телефона).

4.2.6 Персональные данные, полученные при оформлении командированного (фамилия, имя, отчество, должность/профессия, наименование командирующей организации и структурного подразделения, цель командировки, в том числе даты начала и окончания командировки, серия и номер паспорта).

 

5. Порядок и условия обработки персональных данных

 

5.1 Перечень действий, совершаемых Оператором с персональными данными.

При обработке персональных данных Оператор осуществляет следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

5.2 Способы обработки персональных данных.

Обработка персональных данных в организации осуществляется следующими способами:

— с использованием средств автоматизации;

— без использования средств автоматизации.

5.3 Порядок обработки персональных данных без использования средств автоматизации

5.3.1 Обработка персональных данных без использования средств автоматизации может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на персональных компьютерах и в локальной сети на рабочих местах работников, имеющих доступ к персональным данным работников организации.

5.3.2 Обработка персональных данных без использования средств автоматизации осуществляется в соответствии с Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

5.4 Порядок обработки персональных данных в информационных системах персональных данных с использованием средств автоматизации.

Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации осуществляется в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 «1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и приказа ФСТЭК России от 18.02.2013 «21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

5.5 Сроки обработки персональных данных.

Сроки обработки персональных данных определяются в соответствии со сроком действия договора с субъектом персональных данных и/или приказом Минкультуры РФ от 25 августа 2010 года №558 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения».

5.6 Передача персональных данных третьим лицам.

5.6.1 Передача персональных данных обрабатываемых в организации третьим лицам (включая надзорные, правоохранительные органы) возможна только в случаях, прямо предусмотренных действующим законодательством РФ и локальными нормативными актами организации, либо в случае согласия субъекта персональных данных.

5.6.2 В случае получения организацией запроса от третьих лиц о предоставлении персональных данных, запрос подлежит обязательной проверке в целях контроля над обоснованностью предоставления запроса.

При обоснованности полученного запроса организация формирует ответ на запрос. При необоснованности запроса организация направляет отправителю запроса письменное уведомление об отказе в предоставлении персональных данных.

5.6.3 При передачи персональных данных третьим лицам организация обязана уведомлять лиц, получивших персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные, обязаны соблюдать режим конфиденциальности.

5.7 Соблюдение требований конфиденциальности персональных данных.

5.7.1 При работе с документами и сведениями, содержащими персональные данные, работниками АО «СПС» соблюдается принцип конфиденциальности персональных данных.

5.7.2 В АО «СПС» принят комплекс мер по соблюдению требований конфиденциальности персональных данных в процессе их обработки, которые позволяют обеспечить:

— ограничение доступа к персональным данным, обрабатываемых в АО «СПС»;

— предотвращение разглашения конфиденциальной информации;

— выявление нарушений режима конфиденциальности;

— пресечение нарушений режима конфиденциальности;

— привлечение лиц, нарушающих режим конфиденциальности, к ответственности.

5.7.3 В должностных инструкциях работников АО «СПС», имеющих доступ к персональным данным, установлены обязанности работника о неразглашении конфиденциальной информации и ответственность работника за неисполнение или ненадлежащее исполнение установленных в организации порядка и условий работы со сведениями конфиденциального характера, содержащими персональные данные.

5.8 Доступ к персональным данным.

Доступ к персональным данным АО «СПС» имеют только те работники, которым это необходимо для исполнения своих должностных обязанностей. К обработке персональных данных допускаются работники организации, прошедшие процедуру допуска, к которой относятся:

— ознакомление работника с локальными нормативными актами (положения, инструкции и т.д.), строго регламентирующих порядок и процедуру работы с персональными данными;

— утверждения списка работников, допущенных к обработке персональных данных;

— оформление письменных обязательств (обязательств- предупреждений) о неразглашении персональных данных;

— получение работником и использование в работе минимально необходимых для исполнения трудовых обязанностей прав доступа к информационной системе, содержащей персональные данные.

5.9 Меры по обеспечению безопасности персональных данных при их обработке.

5.9.1 АО «СПС», в соответствии с требованиями ст. 19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», принимает необходимые правовые, организационные и технические меры для защиты обрабатываемых персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении обрабатываемых персональных данных.

5.9.2 Сведения о реализуемых в АО «СПС» требованиях к защите персональных данных, в соответствии с требованиями части 2 ст. 18.1 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», являются общедоступными и размещаются на официальном сайте АО «СПС» (sibpribor.ru).

 

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

 

6.1 Актуализация, исправление, удаление и уничтожение персональных данных.

6.1.1 Общество при обращении или по запросу субъекта персональных данных либо его представителя, а также по запросу уполномоченного органа по защите прав субъекта персональных данных блокирует выявленные неточные персональные данные или неправомерно обрабатываемые персональные данные этого субъекта персональных данных с момента обращения или получения запроса на период проверки достоверности полученных сведений.

6.1.2 В случае подтверждения факта неточности персональных данных Оператор на  основании  документально подтвержденных сведений, представленных субъектом персональных данных, уточняет персональные данные и снимает блокирование персональных данных в течение срока, установленного пунктом 2 ст. 21 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».

6.1.3 В случае выявления неправомерной обработки персональных данных Оператор прекращает неправомерную обработку персональных данных, а в случае, если обеспечить правомерность обработки персональных данных невозможно по различным причинам, то Оператор уничтожает такие персональные данные в течение сроков, установленных пунктом 3 ст. 21 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».

6.1.4 В случае окончания срока обработки персональных данных,  указанных в пункте 5.5, организация прекращает обработку персональных данных и уничтожает персональные данные в срок, не позднее тридцати дней с даты окончания срока обработки персональных данных.

6.2 Ответы на запросы субъектов персональных данных на доступ к персональным данным.

6.2.1 В АО «СПС» действия по обработке запросов субъектов персональных данных при выполнении организацией обязательств, согласно требованиям статьей 14, 20 и 21 Федерального закона от  27.07.2006 №152-ФЗ «О персональных данных», регламентированы.

6.2.2 Регламент обработки запросов субъектов персональных данных определяет порядок действий работников отдела управления персоналом и сроки подготовки ответов при устном обращении или при получении письменного   запроса субъекта персональных данных (его представителя) или уполномоченного органа по защите прав субъектов персональных данных.

6.3 Пересмотр и обновление настоящей Политики.

Пересмотр и обновление настоящей Политики могут осуществляться в связи с изменениями законодательства РФ в области персональных данных, по результатам анализа актуальности, достаточности и эффективности используемых мер обеспечения безопасности персональных данных, а также по результатам других мероприятий, проводимых в АО «СПС».