Политика в отношении обработки персональных данных в АО «ГТЛК»
1. Общие положения
1.1. Назначение
1.1.1. Политика в отношении обработки персональных данных в АО «ГТЛК» (далее – Политика) разработана в рамках реализации требований пункта 1 статьи 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и определяет основные принципы, цели и условия обработки персональных данных (далее – ПДн), перечни субъектов ПДн обрабатываемых в АО «ГТЛК» (далее – Общество), функции Общества при обработке ПДн, а также основные правовые, организационные и технические меры, принимаемые Обществом в целях соблюдения требований законодательства в области обработки и защиты ПДн.
1.1.2. Целью разработки Политики является защита прав и свобод граждан, вступающих в правовые отношения с Обществом, при обработке Обществом их ПДн, в том числе защита прав на неприкосновенность частной жизни граждан, их личной и семейной тайны.
1.1.3. В целях регламентации процессов сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления доступа), обезличивания, блокирования, удаления и уничтожения ПДн, а также определения объема обрабатываемых ПДн в Обществе разрабатывается и утверждается приказом генерального директора Общества локальный нормативный акт об обработке ПДн в компании.
Политика является общедоступным документом, информирующим заинтересованных лиц в части деятельности Общества при обработке ПДн и подлежит размещению в открытом доступе на сайте Общества по адресу: https://www.gtlk.ru.
1.2. Область применения
1.2.1. Настоящая Политика распространяется на все структурные подразделения Общества и обязательна для исполнения всеми работниками Общества, имеющими доступ к ПДн.
1.2.2. Действие Политики распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передачи (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению ПДн, осуществляемых с использованием средств автоматизации и без использования таких средств.
1.2.3. Положения настоящей Политики могут быть применены дочерними
и зависимыми обществами АО «ГТЛК» при разработке локальных нормативных актов, регламентирующих порядок обработки и защиты ПДн.
1.3. Правовые основания обработки персональных данных
Настоящая Политика разработана в соответствии:
- с Конституцией Российской Федерации;
- Гражданским кодексом Российской Федерации;
- Трудовым кодексом Российской Федерации;
- Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
- постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- приказом ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- приказом ФСБ России от 10 июля 2014 г. № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использование средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого уровня защищенности»;
- приказом Роскомнадзора России от 24 февраля 2021 г. № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения»;
- нормативными правовыми актами Российской Федерации, федеральных органов исполнительной власти Российской Федерации и органов местного самоуправления, регламентирующих деятельность в области ПДн и имеющих отношения к деятельности Общества;
- уставом Общества;
- договорами и соглашениями, заключаемыми между Обществом и субъектами ПДн;
- полученными от субъектов ПДн согласиями на определенные действия в отношении их ПДн (согласие на обработку ПДн).
1.4. Порядок утверждения, внесения изменений и дополнений
1.4.1. Настоящая Политика подлежит актуализации при изменении законодательных, иных нормативных правовых актов Российской Федерации и/или на основании требований/предписаний уполномоченных органов государственной власти.
1.4.2. Настоящая Политика, все изменения и дополнения к ней утверждаются и вводятся в действие приказом генерального директора АО «ГТЛК».
1.4.3. Срок действия настоящей Политики – с момента введения ее в действие приказом генерального директора АО «ГТЛК» до момента прекращения ее действия приказом генерального директора АО «ГТЛК» или по иным основаниям предусмотренным законодательством Российской Федерации.
2. Сокращения, термины и определения
2.1. Сокращения:
152-ФЗ |
- |
Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; |
ПП-1119 |
- |
постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; |
ПП-687 |
- |
постановление Правительства Российской Федерации от 15 августа 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» |
ИСПДн |
- |
информационная система персональных данных. |
2.2. Термины и определения:
блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);
информационная система ПДн – совокупность содержащихся в базах данных ПДн Общества и обеспечивающих их обработку информационных технологий и технических средств;
кандидат на трудоустройство – физическое лицо (субъект ПДн), в отношении которого Обществом рассматривается вопрос о заключении трудового договора;
контрагент – физическое или юридическое лицо, заключившее с Обществом договор/соглашение гражданско-правового характера;
клиент – контрагент или лицо (физическое или юридическое), в отношении которого Обществом рассматривается вопрос о заключении договора/соглашения гражданско-правового характера;
лицо, ответственное за организацию обработки ПДн, – назначенный приказом генерального директора АО «ГТЛК» работник Общества, на которого возложены полномочия и ответственность по осуществлению организационных и контрольных мероприятий в области обработки и защиты ПДн в Обществе;
локальные нормативные акты – внутренние нормативные документы многократного применения, содержащие порядок и правила выполнения действий, направленных на достижение поставленных целей Общества, получение заданного результата и обязательные для исполнения работниками Общества;
обезличивание ПДн – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту персональных данных;
обработка ПДн – любое действие (операция) или совокупность действий (операций) с ПДн, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;
персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн);
предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;
работник Общества – физическое лицо, заключившее с Обществом трудовой договор и состоящий с Обществом в трудовых отношениях;
субъект ПДн – физическое лицо, которое прямо или косвенно определено или определяемо с помощью ПДн;
специальные категории ПДн – сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПДн;
структурное подразделение – выделенная, согласно организационной структуре, часть Общества с определенными задачами и функциями;
трансграничная передача ПДн – передача ПДн на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц;
уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.
3. Принципы и цели обработки персональных данных
3.1. Обработка ПДн в Обществе осуществляется на основании следующих принципов:
- законность и справедливость;
- ограничение обработки ПДн достижением конкретных, заранее определенных и законных целей;
- недопущение обработки ПДн в интересах, не совместимых с целями сбора ПДн;
- запрет на объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, не совместимых между собой;
- обработка только тех ПДн, которые отвечают целям их обработки;
- соответствие содержания и объема обрабатываемых ПДн заявленным целям обработки;
- недопущение избыточности сбора и обработки ПДн по отношению к заявленным целям их обработки;
- точность, достаточность и актуальность ПДн по отношению к целям обработки ПДн;
- своевременное удаление или уточнение неполных/неточных ПДн;
- соответствие формы хранения ПДн возможности определения субъекта ПДн не дольше, чем этого требуют цели обработки ПДн;
- своевременное уничтожение либо обезличивание ПДн по достижении целей обработки, если иное не предусмотрено федеральным законом.
3.2. Сбор и обработка ПДн в Обществе осуществляется в целях:
- заключения/исполнения трудовых договоров;
- обучения работников;
- учета результатов исполнения работниками своих должностных обязанностей;
- учета рабочего времени;
- предоставления работникам льгот и компенсаций;
- проведения оценки деловых качеств кандидата на трудоустройство;
- опубликования сведений о членах совета директоров в информационно-телекоммуникационной сети «Интернет»;
- выплаты вознаграждения и компенсаций членам совета директоров, Ревизионной комиссии совета директоров Общества;
- проведения мероприятий, связанных с закупочной деятельностью;
- заключения и контроля за выполнением гражданско-правовых договоров и соглашений;
- выдачи доверенностей работникам Общества и третьим лицам;
- обеспечения внутриобъектового и пропускного режимов, обеспечения личной безопасности работников и сохранности имущества;
- обеспечения доступа физических лиц, в том числе представителей, работников, бенефициаров клиентов и контрагентов Общества (юридических лиц) на территорию (в помещениях) Общества;
- в иных случаях, не противоречащих законодательству Российской Федерации.
4. Категории субъектов персональных и объем обрабатываемых персональных данных
4.1. К субъектам ПДн, обрабатываемых Обществом, относятся:
- работники Общества и их родственники;
- работники дочерних обществ АО «ГТЛК» и их родственники;
- члены совета директоров Общества, Ревизионной комиссии Общества и комитетов совета директоров Общества;
- кандидаты на трудоустройство в Общество;
- клиенты и контрагенты Общества (физические лица);
- физические лица, ранее состоящие в трудовых правоотношениях с Обществом (бывшие работники Общества) и их родственники;
- представители, работники, бенефициары клиентов и контрагентов Общества (юридических лиц).
4.2. Субъекты ПДн имеют право:
- на получение информации, касающейся обработки его ПДн в соответствии с 152-ФЗ;
- требовать от Общества уточнения его ПДн, их блокирования или уничтожения, в случае если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда, связанного с обработкой его ПДн Обществом, в судебном порядке.
4.2.1. Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, в том числе если:
- обработка ПДн, включая ПДн, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
- обработка ПДн осуществляется органами, осуществившими задержание субъекта ПДн по подозрению в совершении преступления, либо предъявившими субъекту ПДн обвинение по уголовному делу, либо применившими к субъекту ПДн меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими ПДн;
- обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
- доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц;
- обработка ПДн осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
4.3. Содержание и объем обрабатываемых ПДн определяются целями их обработки, приведенными в п. 3.2 настоящей Политики, и указываются в согласии субъекта ПДн на обработку его ПДн, за исключением случаев, когда обработка ПДн может осуществляться без получения такого согласия.
4.4. Обработка ПДн, избыточных по отношению к заявленной цели их обработки, не допускается.
4.5. В Обществе обрабатываются ПДн субъектов в объеме, установленном Порядком обработки персональных данных в АО «ГТЛК».
5. Порядок и условия обработки персональных данных
5.1. Обработка ПДн допускается в следующих случаях:
- при наличии согласия субъекта ПДн на обработку его ПДн;
- для достижения целей, предусмотренных международным договором Российской Федерации или законом для осуществления и исполнения возложенных законодательством Российской Федерации на Общество как оператора функций, полномочий и обязанностей;
- в связи с участием субъекта ПДн в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
- для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
- для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
- для осуществления прав и законных интересов Общества как оператора обработки ПДн, осуществляющего обработку ПДн, а также определяющего цели обработки ПДн, состав ПДн, подлежащих обработке, и действия, совершаемые с ПДн или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
- в случае если ПДн подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом.
5.2. Передача ПДн
5.2.1. Общество имеет право передавать обрабатываемые ПДн только на основаниях и в случаях, предусмотренных законодательством Российской Федерации.
5.2.2. Общество обязуется раскрывать ПДн субъекта третьим лицам, в том числе и в коммерческих целях, только с предварительного письменного согласия субъекта ПДн, за исключением случаев, когда это необходимо для предупреждения угрозы жизни и здоровью субъекта, а также в других случаях, если иное не предусмотрено законодательством Российской Федерации.
5.2.3. Не требуется согласие субъекта на передачу ПДн:
- третьим лицам в целях предупреждения угрозы жизни и здоровью работника;
- в связи с участием субъекта в судебных процессах и исполнением судебных актов;
- в Фонд социального страхования Российской Федерации и Пенсионный фонд Российской Федерации;
- в случаях, связанных с исполнением работником должностных обязанностей (при направлении в командировку);
- работников Общества в налоговые органы, военные комиссариаты, профсоюзные органы, предусмотренные действующим законодательством Российской Федерации;
- если ПДн субъектов обрабатываются или передаются в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности, судебного пристава-исполнителя при совершении исполнительного розыска, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию в соответствии с компетенцией, предусмотренной законодательством Российской Федерации (при этом мотивированный запрос должен включать указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации);
- для предоставления сведений в кредитную организацию, обслуживающую платежные карты Общества, если в договоре о выпуске карт предусмотрено право работодателя передавать ПДн работников либо работодатель действует на основании доверенности на представление интересов работника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;
- в иных случаях, предусмотренных законодательством Российской Федерации.
5.3. Условия прекращения обработки ПДн
Условием прекращения обработки ПДн является достижение целей обработки ПДн, истечение срока действия согласия или отзыв согласия субъекта ПДн на обработку его ПДн, а также выявления неправомерной обработки ПДн.
5.4. Хранение персональных данных
5.4.1. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, кроме случаев, когда срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому выступает субъект ПДн.
5.4.2. При осуществлении хранения ПДн Общество, в соответствии с требованиями 152-ФЗ использует базы данных, находящихся на территории Российской Федерации.
5.4.3. Хранение ПДн, обработка которых выполняется без использования средств автоматизации, осуществляется в соответствии с требованиями ПП-687.
5.5. Актуализация, исправление, удаление и уничтожение ПДн, ответы на запросы субъектов на доступ к ПДн.
5.5.1. В случае подтверждения факта неточности ПДн или неправомерности их обработки ПДн подлежат их актуализации Обществом, а обработка должна быть прекращена, соответственно.
5.5.2. При достижении целей обработки ПДн, в случае отзыва субъектом ПДн или истечения срока действия согласия субъекта ПДн на их обработку, а также в случае выявления неправомерности обработки ПДн персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому выступает субъект ПДн;
- Общество не вправе осуществлять обработку без согласия субъекта ПДн на основаниях, предусмотренных 152-ФЗ;
- иное не предусмотрено иным соглашением между Обществом и субъектом ПДн.
5.5.3. Общество сообщает субъекту ПДн или его представителю информацию об осуществляемой им обработке ПДн такого субъекта по запросу последнего.
6. Лицо, ответственное за организацию обработки персональных данных
6.1. Лицо, ответственное за организацию обработки и защиты ПДн, назначается приказом генерального директора Общества.
Лицо, ответственное за организацию обработки ПДн, выполняет следующие функции:
- организует процесс внутреннего контроля за соблюдением структурными подразделениями и работниками Общества требований законодательства и ЛНА в области обработки и защиты ПДн, в том числе обрабатываемых с использованием средств автоматизации;
- инициирует разработку и актуализацию ЛНА, регламентирующих правила обработки и защиты ПДн, согласовывает проекты данных ЛНА;
- организовывает процесс и осуществляет контроль за соблюдением в Обществе приема и обработки обращений/запросов субъектов ПДн или их представителей;
- осуществляет определение угроз безопасности ПДн при их обработке;
- осуществляет оценку эффективности мер по обеспечению безопасности ПДн, принимаемых в Обществе;
- организует процесс доведения до сведения работников Общества положений законодательства и ЛНА по вопросам обработки ПДн, требований к защите ПДн;
- осуществляет методологическую помощь структурным подразделениям Общества по вопросам взаимодействия с органами государственной власти и контрольно-надзорными органами по вопросам обработки ПДн;
- организует в случаях и порядке, предусмотренными законодательством, уведомление надзорного органа и оповещение субъектов ПДн о фактах утечки ПДн.
7. Обеспечение безопасности персональных данных при их обработке
7.1. При обработке ПДн Общество принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
7.2. Обеспечение безопасности ПДн, в том числе при трансграничной передаче, достигается выполнением мер по обеспечению безопасности обрабатываемых ПДн, установленных требованиями законодательства Российской Федерации, в том числе положениями 152-ФЗ, ПП-1119, приказом ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, приказом ФСБ России от 10 июля 2014 г. № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого уровня защищенности».
7.3. В целях регламентации процессов по применению мер защиты ПДн, содержащихся в ИСПДн, в Обществе актуализируется Порядок защиты персональных данных при их обработке в информационных системах персональных данных АО «ГТЛК», который утверждается приказом генерального директора Общества.
8. Ответственность
За несоблюдение требований настоящей Политики работник может быть привлечен к ответственности в порядке, установленном законодательством Российской Федерации.
9. Контроль
9.1. Контроль за исполнением требований настоящей Политики в части соблюдения правил обработки ПДн возлагается на структурные подразделения, которые их обрабатывают.
9.2. Общий контроль за соблюдением настоящей Политики возлагается на лицо, ответственное за организацию обработки и защиты персональных данных, назначенное приказом генерального директора Общества. Данному ответственному лицу установлены полномочия (рекомендовано) разрабатывать и утверждать обязательные для применения всеми структурными подразделениями и работниками Общества ЛНА, регламентирующие правила обработки ПДн при реализации различных бизнес-процессов в Обществе.
9.3. Ответственность за мониторинг и последующую актуализацию настоящей Политики возложена на Дирекцию по безопасности. Периодичность ревизии настоящего документа – не реже 1 раза каждые 2 года с даты утверждения.