Политика обработки персональных данных

УТВЕРЖДЕНО приказом ПАО от 24.05.2022 № 170-ЭД

1. Область применения

Настоящая Политика разработана в целях определения политики ПАО «Форвард Энерго» (далее – Общество) в отношении обработки и обеспечения безопасности персональных данных.

Политика устанавливает общие требования к защите прав и свобод человека и гражданина при обработке его персональных данных и распространяется на все структурные подразделения Общества.

Владельцем документа является менеджер по информационной безопасности, который несет ответственность за:

  • Содержание документа, в том числе за корректное определение ответственных исполнителей;
  • Формат документа, в том числе его соответствие корпоративному шаблону и требованиям по оформлению;
  • Сбор и анализ комментариев по документу, и их использование при подготовке новой версии документа;
  • Пересмотр и актуализацию документа при необходимости с периодичностью не реже одного раза в 3 года;
  • Обеспечение согласованности со связанными документами.

2. Общие положения

2.1 Настоящая Политика разработана в соответствии с требованиями действующего законодательства Российской Федерации в области обеспечения безопасности персональных данных, распорядительных и руководящих документов ФСТЭК России и ФСБ России, а также нормативных документов, регламентирующих деятельность Общества.

2.2 Настоящей Политикой Общество подтверждает, что обработка персональных данных, в том числе в информационных системах персональных данных, осуществляется в полном соответствии с требованиями действующего законодательства Российской Федерации в области обеспечения безопасности персональных данных.

2.3 Настоящая Политика устанавливает правила и процедуры, направленные на выявление и предотвращение нарушений действующего законодательства Российской Федерации в сфере обеспечения безопасности персональных данных, а также цели обработки персональных данных, содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки обработки и хранения персональных данных, порядок уничтожения персональных данных, правила рассмотрения запросов субъектов персональных данных, их представителей или контролирующих органов.

2.4 Настоящая Политика может быть изменена, уточнена или дополнена в установленном Обществом порядке, в соответствии с требованиями нормативных правовых документов в области обеспечения безопасности персональных данных, действующих в Российской Федерации.

3. Сведения об операторе и субъектах персональных данных

3.1 Информация об операторе персональных данных

3.1.1 Общество, в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» является оператором, организующим и осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

3.1.2 Адрес местонахождения оператора: 123112, г. Москва, Пресненская набережная, 10, этаж 15, помещение 20.

3.1.3 Общество осуществляет обработку персональных данных в следующих целях:

  • осуществление видов деятельности Общества в рамках, предусмотренных Уставом и иными локальными нормативными актами;
  • ведение бухгалтерского учета;
  • формирование и передача требуемых форм отчетности в органы исполнительной власти и иные уполномоченные организации;
  • заключение и исполнение договоров, в том числе стороной которых является субъект персональных данных;
  • ведение кадрового делопроизводства;
  • регулирование трудовых отношений с работниками Общества, в том числе заключение и исполнение обязательств по трудовым договорам, , содействие в трудоустройстве работникам и соискателям на замещение вакантных должностей, включая принятие решения о заключении трудового договора и его условиях в соответствии с действующим законодательством Российской Федерации, предоставление работникам и их близким родственникам дополнительных различного вида социальных гарантий и льгот, предоставление возможности участия в корпоративных мероприятиях, исполнение требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение;
  • обеспечение пропускного режима;
  • обеспечение сохранности имущества Общества, задействованного в обработке ПДн.

3.2 Информация о субъектах персональных данных

3.2.1 В Обществе обрабатываются следующие категории субъектов ПДн:

  • физические лица, состоящие в гражданско-правовых и иных договорных отношениях с Обществом;
  • физические лица, являющиеся представителями (работниками) контрагентов Общества;
  • работники, состоящие в договорных отношениях с Обществом;
  • работники, прекратившие договорные отношения с Обществом;
  • члены семьи и родственники работников Общества (степень родства, ФИО, год рождения, адрес постоянной и(или) временной регистрации, место работы и(или) учебы) - в случае подачи работниками заявлений на предоставление компенсаций и льгот, предусмотренных трудовым и налоговым законодательством;
  • соискатели на замещение вакантных должностей;
  • кандидаты на трудоустройство;
  • посетители;
  • пользователи интернет-ресурсов Общества.

3.2.2 Субъект персональных данных имеет право:

  • принимать решение о предоставлении его персональных данных и давать согласие на их обработку свободно, своей волей и в своем интересе;
  • отзывать ранее данное согласие на обработку его персональных данных;
  • получать у Общества информацию, касающуюся обработки его персональных данных в соответствии с действующим законодательством Российской Федерации, если такое право не ограничено действующими федеральными законами или иными нормативными актами Российской Федерации;
  • требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные меры по защите своих прав в соответствии с действующим законодательством Российской Федерации;
  • направлять повторный запрос в целях получения необходимых ему сведений, а также в целях ознакомления с обрабатываемыми персональными данными в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, должен содержать обоснование направления повторного запроса.

3.2.3 Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований действующего законодательства Российской Федерации или иным образом нарушает его права и свободы, субъект персональных данных вправе:

  • направить Обществу письменное обращение. Общество рассматривает все поступившие обращения со стороны субъекта персональных данных, проводит по ним разбирательства и принимает все необходимые и достаточные меры для немедленного устранения выявленных нарушений, в том числе урегулирования споров в досудебном порядке;
  • обжаловать действия или бездействие Общества в Уполномоченный орган по защите прав субъектов персональных данных или в суд;
  • защищать свои права и законные интересы, в то числе требовать возмещение убытков и/или компенсацию морального вреда в судебном порядке.

4. Порядок и условия обработки персональных данных

4.1 Общество в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

4.2 Общество осуществляет обработку персональных данных посредством сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, передачи, обезличивания, блокирования, уничтожения.

4.3 Общество получает персональные данные из следующих источников:

  • непосредственно от субъектов персональных данных;
  • от государственных органов и уполномоченных организаций в случаях, предусмотренных действующим законодательством Российской Федерации;
  • от контрагентов;
  • от законных представителей субъекта персональных данных.

4.4 Содержание и объём обрабатываемых персональных данных категорий субъектов персональных данных определяются в соответствии с целями обработки персональных данных. Общество не обрабатывает персональные данные, которые являются избыточными по отношению к указанным целям обработки или несовместимы с такими целями.

4.5 Общество осуществляет обработку общедоступных, биометрических и иных категорий персональных данных. Обработка персональных осуществляется во исполнение действующего трудового законодательства Российской Федерации, осуществления пропускного режима, а также для выполнения непосредственной деятельности Общества.

4.6 В Обществе используется смешанный (с использованием средств автоматизации и без использования таких средств) способ обработки персональных данных с передачей информации по внутренней локальной сети и передачей по сетям общего доступа.

4.7 Сроки обработки и хранения персональных данных определяются для каждой цели обработки персональных данных. Сроки определяются в соответствии с законодательно установленными сроками хранения документации, сроком действия договора с субъектом персональных данных, сроками исковой давности, сроками хранения документов бухгалтерского учёта, сроками, указанными в согласии субъекта персональных данных.

4.8 Общество обрабатывает персональные данные только при наличии законных оснований, в том числе при наличии согласия на обработку персональных данных, отвечающего перечисленным ниже требованиям.

4.8.1 Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

4.8.2 В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных (законный представитель, наследник) полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Обществом.

4.8.3 Согласие на обработку персональных данных может быть отозвано субъектом персональных данных посредством направления письменного обращения (отзыва согласия).

4.8.4 В случае отзыва субъектом персональных данных согласия на обработку персональных данных, Общество вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных действующем законодательством Российской Федерации.

4.9 Общество осуществляет передачу персональных данных в уполномоченные организации, государственные органы, государственные внебюджетные фонды только на основаниях и в случаях, предусмотренных действующим законодательством Российской Федерации.

4.10 Общество не осуществляет трансграничную передачу персональных данных.

4.11 По запросу субъекта персональных данных Общество предоставляет информацию об обработке персональных данных:

4.11.1 Информация предоставляется субъекту персональных данных (представителю) при личном обращении в Общество, либо при получении письменного запроса субъекта (представителя) персональных данных.

4.11.2 Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом, подпись субъекта персональных данных или его представителя.

4.12 Общество прекращает обработку персональных данных в следующих случаях:

  • достижение цели обработки персональных данных субъекта персональных данных;
  • изменение, признание утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;
  • истечение срока действия согласия субъекта персональных данных на его обработку персональных данных;
  • отзыв согласия субъекта персональных данных на обработку его персональных данных;
  • выявление неправомерной обработки персональных данных субъекта персональных данных;
  • ликвидация организации.

4.13 Уничтожение персональных данных осуществляется в порядке и сроки, предусмотренные действующим законодательством Российской Федерации, а также согласием субъекта. Уничтожение персональных данных должно подтверждаться актом уничтожения персональных данных в свободной форме.

4.14 Общество обеспечивает конфиденциальность обрабатываемых персональных данных: не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством Российской Федерации.

5. Меры по обеспечению безопасности персональных данных

5.1 Общество обеспечивает защиту персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных субъектов персональных данных.

5.2 Общество принимает необходимые правовые, организационные и технические меры защиты персональных данных, направленные на обеспечение выполнения обязанностей, предусмотренных действующим законодательством Российской Федерации в области обеспечения безопасности персональных данных, в том числе:

  • опубликование на официальном сайте компании настоящей Политики;
  • назначение лица, ответственного за организацию обработки персональных данных;
  • издание локальных нормативных актов, регламентирующих обработку и защиту персональных данных;
  • определение перечня лиц, осуществляющих обработку персональных данных (с использованием средств автоматизации и без использования таких средств) и имеющих к ним доступ;
  • ознакомление работников, непосредственно осуществляющих обработку персональных данных, под личную подпись, либо в системе электронного документооборота, с положениями локальных нормативных и организационно-распорядительных документов Общества, содержащих нормы действующего законодательства Российской Федерации в области обеспечения безопасности персональных данных (в том числе требования к защите персональных данных, порядку обработки) и ответственностью за разглашение персональных данных, нарушение порядка обращения с документами, содержащими такие данные, и иные неправомерные действия в отношении персональных данных;
  • информирование лиц, осуществляющих обработку персональных данных без использования средств автоматизации, о факте обработки ими персональных данных, а также об особенностях и правилах осуществления такой обработки;
  • использование систем защиты персональных данных;
  • определение мест хранения материальных носителей персональных данных;
  • регламентирование порядка учета, хранения и уничтожения материальных носителей персональных данных;
  • исключение возможности неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется обработка персональных данных;
  • обеспечение сохранности материальных носителей персональных данных и средств защиты информации.

5.3 Указанные в настоящей Политике меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Общества применяются Обществом в соответствии с требованиями действующего законодательства Российской Федерации в области обеспечения безопасности персональных данных.

6. Связанные документы

При разработке настоящей Политики использовались следующие нормативные документы:

  • Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
  • Федеральный закон от 27.07.2006г. № 152-ФЗ «О персональных данных».

7. Глоссарий

Термин Определение
Автоматизированная обработка персональных данных обработка персональных данных с помощью средств вычислительной техники
Информационная система персональных данных (ИСПДн) совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств
Неавтоматизированная обработка персональных данных использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы при непосредственном участии человека
Обезличивание персональных данных действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных
Обработка персональных данных любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных
Оператор (персональных данных) государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
Персональные данные любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
Трансграничная передача персональных данных передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу
Уничтожение персональных данных действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных