Политика в отношении обработки персональных данных
1. Общие положения и область применения
1.1. Политика АО «Пензадизельмаш» в отношении обработки персональных данных определяет основные принципы, цели, способы и условия обработки персональных данных, а также реализуемые в АО «Пензадизельмаш» меры по защите персональных данных.
1.2. В АО «Пензадизельмаш» организуется обработка персональных данных работников в соответствии с Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных», Трудовым кодексом Российской Федерации, иными федеральными законами, настоящей Политикой и другими локальными нормативно-правовыми актами АО «Пензадизельмаш», регламентирующими порядок работы с персональными данными.
1.3. Критерием достижения цели является соответствие условий обработки персональных данных АО «Пензадизельмаш» требованиям законодательства Российской Федерации.
1.4. Исполнение положений настоящей Политики является обязательным для всех работников АО «Пензадизельмаш» и третьих лиц, участвующим в процессе обработки персональных данных в АО «Пензадизельмаш», при условии принятия такими третьими лицами требований настоящей Политики.
1.5. Целью настоящей Политики является обеспечение соответствия процессов обработки ПДн в АО «Пензадизельмаш» требованиям действующего законодательства Российской Федерации.
1.6. Настоящая Политика и внутренние документы АО «Пензадизельмаш» определяют:
- состав и содержание ПДн;
- цель обработки ПДн;
- категории ПДн;
- категории субъектов ПДн, чьи данные обрабатываются в АО «Пензадизельмаш»;
- общий перечень действий с ПДн, допускаемых при их обработке;
- общее описание используемых АО «Пензадизельмаш» способов обработки ПДн.
2. Нормативные ссылки. Термины и определения.
2.1. Настоящая Политика составлена в соответствии со следующими нормативно-правовыми актами:
- Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
- Постановление Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
2.2. Термины и определения.
Для целей настоящего регламента применяются следующие термины и определения:
|
ДБиЗИ |
Дирекция по безопасности и защите информации |
|
ИСПДн |
информационная система персональных данных |
|
Общество |
АО «Пензадизельмаш» |
|
ПДн |
персональные данные |
|
Автоматизированная обработка персональных данных |
обработка персональных данных с помощью средств вычислительной техники |
|
Блокирование персональных данных |
временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных) |
|
Доступ к персональным данным |
ознакомление определенных лиц (в том числе работников) с персональными данными субъектов персональных данных, обрабатываемыми оператором, при условии сохранения конфиденциальности этих сведений |
|
Защита персональных данных |
комплекс организационных и технических мероприятий, необходимых и достаточных для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий |
|
Компьютерный инцидент |
факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры (КИИ), сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки |
|
Неавтоматизированная обработка персональных данных |
обработка персональных данных без помощи средств вычислительной техники |
|
Обработка персональных данных |
любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, уничтожение персональных данных |
|
Оператор персональных данных |
АО «Пензадизельмаш» или лицо, осуществляющее обработку ПДн, а также определяющее цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн. |
|
Персональные данные |
любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных) |
|
Персональные данные, разрешенные субъектом персональных данных для распространения |
персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном № 152-ФЗ «О персональных данных» |
|
Предоставление персональных данных |
действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц |
|
Распространение персональных данных |
действия, направленные на раскрытие персональных данных неопределенному кругу лиц |
|
Специальные категории персональных данных |
сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни |
|
Субъект персональных данных |
определенное или определяемое физическое лицо, к которому относятся персональные данные |
|
Трансграничная передача персональных данных |
передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу |
|
Уничтожение персональных данных |
действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных |
|
Файл cookie |
Файл, создаваемый сайтом и хранящийся локально в интернет- браузере или файловой системе компьютера или мобильного устройства |
3.1. Обработка Оператором персональных данных, в зависимости от целей обработки, осуществляется:
3.1.1. C согласия субъектов персональных данных на обработку их персональных данных;
3.1.2. В целях исполнения за
3.1.3. В целях исполнения или заключения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, в том числе в случае реализации Обществом своего права на уступку прав (требований) по такому договору.
4.1. В Обществе обрабатываются следующие категории ПДн:
- общие ПДн;
- специальные ПДн;
- биометрические ПДн;
- иные категории ПДн (в соответствии с Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»).
4.2. Перечень субъектов персональных данных персональные данные которых обрабатываются в Обществе с использованием средств автоматизации или без использования таковых:
|
№ |
Категории субъектов персональных данных |
Определение категорий субъектов персональных данных |
|
1 |
Граждане |
Физические лица, индивидуальные предприниматели, обратившиеся к АО «Пензадизельмаш» лично (устно) либо направившие индивидуальные или коллективные письменные обращения или обращения в форме электронного документа |
|
2 |
Клиенты и контрагенты Общества (в том числе потенциальные и бывшие) |
Физические лица, индивидуальные предприниматели с которыми у АО «Пензадизельмаш» существуют договорные отношения, за исключением трудовых или с которыми АО «Пензадизельмаш» намерено вступить в договорные отношения или которые намерены вступить в договорные отношения с АО «Пензадизельмаш», включая бывших контрагентов, с которыми договоры завершены/ прекращены |
|
3 |
Представители контрагентов, работники контрагентов, участники, акционеры, руководители контрагентов, субисполнители, субподрядчики |
Представители или работники или участники или акционеры или руководители контрагентов АО «Пензадизельмаш с которыми у АО «Пензадизельмаш» существуют договорные отношения, с которыми АО «Пензадизельмаш» намерено вступить в договорные отношения или которые намерены вступить в договорные отношения с АО «Пензадизельмаш», включая контрагентов с которыми договоры завершены/ прекращены. Представители или работники или участники или акционеры или руководители контрагентов контрагента АО «Пензадизельмаш» (субподрядчиков, субисполнителей) |
|
4 |
Пользователи сайта |
Авторизованные пользователи сайта АО «Пензадизельмаш» в сети Интернет |
|
5 |
Посетители |
Физические лица, посещающие охраняемые помещения/ территории АО «Пензадизельмаш» |
|
6 |
Практиканты, обучающиеся лица |
Лица, проходящие в АО «Пензадизельмаш» стажировку или практику, производственное обучение или выразившие желание их проходить.
|
|
7 |
Представители субъектов ПДн |
Представители субъектов персональных данных, обращающихся к АО «Пензадизельмаш» по поручению и от имени субъектов персональных данных |
|
8 |
Работники, бывшие работники |
Физические лица, вступившие в трудовые отношения с АО «Пензадизельмаш», включая лиц, с которыми трудовые отношения прекращены |
|
9 |
Соискатели |
Соискатели вакантных должностей (кандидаты для приема на работу) в АО «Пензадизельмаш», обратившиеся лично или через специализированные организации по подбору персонала (кадровые агентства), в том числе через специализированные сайты в сети Интернет |
|
10 |
Члены семей работников |
Близкие родственники, супруги и лица, находящиеся на иждивении Работников, другие члены семей работников |
|
11 |
Единоличный исполнительный орган Общества, кандидаты в единоличный исполнительный орган Общества, члены Совета директоров Общества, члены Ревизионной комиссии Общества, кандидаты в Совет директоров, в Ревизионную комиссию Общества, их родственники
|
Единоличный исполнительный орган Общества, кандидаты в единоличный исполнительный орган Общества, члены Совета директоров Общества, члены Ревизионной комиссии Общества, кандидаты в Совет директоров, в Ревизионную комиссию Общества, их родственники
|
|
12 |
Акционеры Общества – физические лица, их родственники |
Акционеры Общества в соответствии с Федеральным законом от 26.12.1995 N 208-ФЗ "Об акционерных обществах" – физические лица, их родственники
|
|
13 |
Лица, включенные в списки аффилированных лиц Общества (физические лица) |
Лица, включенные в списки аффилированных лиц Общества (физические лица) |
|
14 |
Другие лица |
Другие субъекты персональных данных для обеспечения реализации целей обработки персональных данных, указанных в п. 4.3. Политики |
4.3. Обработка персональных данных в Обществе осуществляется на законной основе и ограничивается достижением следующих целей:
Ø обеспечение соблюдения требований законодательства Российской Федерации, включая, но не ограничиваясь гражданского, трудового, налогового, пенсионного, страхового, об обороне, о противодействии коррупции, об исполнительном производстве, о занятости населения, об акционерных обществах, о раскрытии информации, законодательства о ценных бумагах) и локальных нормативных актов Общества;
Ø осуществление деятельности, предусмотренной Уставом Общества, осуществление и защита прав и законных интересов Общества;
Ø рассмотрение устных и письменных обращений, заявлений, претензий, исковых требований граждан, юридических лиц;
Ø учет персонала, заключение, исполнение и прекращение трудовых договоров, регулирование трудовых отношений;
Ø организация кадрового и бухгалтерского учета в Обществе, исполнение трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, в том числе: содействие работникам в трудоустройстве, получении образования и продвижении по службе, обеспечение безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, организация постановки на индивидуальный (персонифицированный) учет работников в системах обязательного пенсионного страхования и обязательного социального страхования, обеспечение безопасных условий труда, решение задач в области управления и обучения персоналом;
Ø заключение, исполнение и прекращение гражданско-правовых договоров;
Ø проведение конкурсных процедур, предусмотренных локальными нормативными актами Общества;
Ø осуществление пропускного режима, обеспечение безопасности Общества, сохранности имущества Общества;
Ø начисление заработной платы, предоставление сведений о заработной плате, предоставление компенсаций, льгот и гарантий, предусмотренных действующим законодательством либо локальными нормативными актами Общества;
Ø исчисление и уплата налоговых платежей, предусмотренных законодательством Российской Федерации, предоставление налоговых вычетов;
Ø представление законодательно установленной отчетности в ИФНС, внебюджетные фонды, органы статистики, иные государственные органы и службы;
Ø подача сведений в банк для оформления банковской карты и последующего перечисления на нее заработной платы;
Ø обеспечение прохождения ознакомительной, производственной или преддипломной практики, стажировки, производственного обучения;
Ø обеспечение участия в корпоративных программах, семинарах, тренингах, конкурсах, соревнованиях;
Ø обеспечение соблюдения законодательства РФ о занятости населения, содействие в трудоустройстве, рассмотрение резюме и подбор кандидата (соискателя) на вакантные должности для возможного трудоустройства в Общество, рассмотрение вопроса о соответствии кандидатуры соискателя имеющимся вакансиям, проведение проверки кандидата (соискателя) на соответствие профессиональным требованиям, на предмет наличия конфликта интересов и обеспечения соблюдения мер по противодействию коррупции;
Ø Реализация Обществом политики информационной открытости;
Ø размещение на официальном сайте Общества в сети Интернет, в средствах массовой информации, в сети Интернет, в социальных сетях, мессенджерах информации о деятельности Общества, о реализуемых продуктах, товарах и услугах, о работниках Общества, членах их семей, контрагентах Общества;
Ø обработка файлов cookie;
Ø регистрация Пользователей на сайте в целях предоставления Пользователям сайта возможности связаться с Обществом посредством формы обратной связи, предложить свои товары и услуги, получить информацию о деятельности Общества, о реализуемых продуктах, товарах и услугах, направление в адрес Пользователей информации, в том числе рекламной, о мероприятиях/товарах/услугах/работах Общества, аналитика действий физического лица на веб-сайте и функционирования веб-сайта;
Ø создание внутренних справочных информационных систем, поддержка информационных систем, создание и ведение учетных записей пользователей, внедрение программных продуктов и баз данных, предназначенных для автоматизации;
Ø публикации сообщений на внутрикорпоративных порталах, досках почета и в общедоступных информационных системах;
Ø информирование путем рассылки на номер мобильного телефона (рабочего и/или личного) коротких текстовых сообщений (смс) либо сообщений в мессенджерах, связанных с исполнением трудового договора, гражданско – правового договора, локальных нормативных и распорядительных актов Общества, а также в связи с неблагополучной эпидемиологической обстановкой и иными экстренными обстоятельствами;
Ø обеспечение соблюдения карантинных мер, установленных в порядке, предусмотренных нормативными актами РФ либо субъекта РФ;
Ø исполнение Обществом иных обязанностей, в рамках правовых оснований, перечисленных в п.3.1. Политики.5.1. Обработка ПДн осуществляется в Обществе с соблюдением принципов и правил, предусмотренных настоящей Политикой и законодательством Российской Федерации:
Ø обработка ПДн осуществляется с согласия субъекта ПДн;
Ø обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей;
Ø обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, или другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
Ø обработка ПДн необходима для исполнения договора стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
Ø обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
Ø обработка ПДн необходима для осуществления прав и законных интересов АО «Пензадизельмаш» или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
Ø обработка ПДн осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПДн;
Ø осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации;
Ø обработка ПДн осуществляется в других случаях, предусмотренных действующим законодательством РФ.
5.2. Обработка персональных данных осуществляется с согласия субъекта ПДн на обработку персональных данных либо без такового в случаях, предусмотренных законодательством РФ.
5.3. Обработка персональных данных в Обществе включает в себя следующие действия:
Ø сбор;
Ø запись;
Ø систематизацию;
Ø накопление;
Ø хранение;
Ø уточнение (обновление, изменение);
Ø извлечение;
Ø использование;
Ø передачу (распространение, предоставление, доступ);
Ø обезличивание;
Ø блокирование;
Ø удаление;
Ø уничтожение.
5.4. Общество осуществляет обработку персональных данных следующими способами:
Ø неавтоматизированная обработка персональных данных;
Ø автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
Ø смешанная обработка персональных данных.
5.5. Обработка персональных данных для каждой цели обработки, указанной в п. 4.3 Политики, осуществляется путем:
· получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
· внесения персональных данных в журналы, реестры и информационные системы Оператора;
· использования иных способов обработки персональных данных.
5.6. В Обществе могут создаваться общедоступные источники ПДн (в том числе телефонные справочники, адресные книги), информационные системы, обрабатывающие персональные данные. В общедоступные источники, информационные системы ПДн с письменного согласия работников могут включаться его фамилия, имя, отчество, дата рождения, должность и структурное подразделение, табельный номер, номер телефона (служебный, личный), адрес электронной почты (служебный), фотографическое изображение (в соответствии со ст. 152.1 Гражданского кодекса Российской Федерации «Охрана изображения гражданина»), иные персональные данные, сообщаемые субъектом персональных данных.
Сведения о ПДн работников могут быть в любое время исключены из общедоступных источников ПДн, информационных систем по требованию работника либо руководства АО «Пензадизельмаш».
5.7. Общество вправе разместить общедоступные источники ПДн (в том числе телефонные справочники, адресные книги) с обрабатываемыми персональными данными в корпоративной системе электронного документооборота.
5.8. Обработка ПДн, допускается на всех корпоративных автоматизированных рабочих местах и во всех информационных системах Общества, а также посредством корпоративных средств коммуникаций, включая корпоративную электронную почту, в том числе с использованием незащищенных каналов связи, с учетом запретов и условий, установленных субъектом ПДн в согласии на обработку и (или) распространение ПДн. При этом обработка таких ПДн должна быть ограничена объемом, необходимым для выполнения должностных обязанностей, договорных обязательств и для обеспечения соответствия заявленным целям обработки ПДн.
5.9. На сайте Общества используются собственные технические и маркетинговые файлы cookie, а также файлы cookie партнеров (третьих лиц - поставщиков услуг) для того, чтобы предоставлять субъектам ПДн определенные возможности для просмотра и использования страниц сайта. Некоторые из них позволяют проверять качество работы и улучшать рабочие характеристики сайта, чтобы сделать его более удобным.
Большинство интернет-браузеров настроены принимать файлы cookie автоматически. При этом Субъект ПДн может самостоятельно изменить настройки своего браузера – отключить или ограничить использование cookie, получать уведомления об их использовании.
5.10. Согласие работника и кандидата на вакантную должность по обработке своих ПДн:
Ø Работник, а также кандидат на вакантную должность самостоятельно принимают решение о предоставлении своих ПДн Обществу и дают согласие своей волей на их обработку путем подписания Согласия на обработку ПДн. Согласие на обработку ПДн может быть отозвано работником, а также кандидатом на вакантную должность в порядке, предусмотренном действующим законодательством Российской Федерации;
Ø Общество оставляет за собой право отказать соискателю на вакантную должность, который не предоставляет свои ПДн, либо отказывается дать письменное согласие на их обработку.
5.11. Субъект ПДн в любое время вправе отозвать согласие на обработку ПДн (ч. 2 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). Продолжение обработки ПДн субъекта ПДн без его согласия возможно при наличии оснований, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»,
5.12. При получении от граждан или организаций, в том числе иностранных, обращений (писем, телеграмм, электронных сообщений, телефонных звонков и т.п.), содержащих ПДн, Общество обрабатывает любые ПДн, содержащиеся в обращении. При этом согласием на обработку ПДн, содержащихся в обращении, является факт направления обращения в адрес Общества. Обязанность в получении согласия на обработку ПДн третьих лиц, если такие имеются в обращении, возложена на автора обращения.
5.13. В случае оформления документов Общества (материалов, служебных записок, исходящих писем, отчётов, договоров, публикаций, сообщений и т.д.), содержащих ПДн, не указанные в общекорпоративных справочниках исполнитель несет ответственность за соблюдение требований действующего законодательства в части получения согласия субъекта ПДн на обработку таких ПДн. Согласие субъектов ПДн должно быть получено указанным выше лицом в соответствии с требованиями действующего законодательства Российской Федерации и требованиями настоящей Политики.
5.14. Конфиденциальность персональных данных
5.14.1. К обработке персональных данных допускаются работники Общества, в должностные обязанности которых входит обработка персональных данных (Приложение № 7 к настоящей Политике). Указанные работники подписывают обязательство о неразглашении персональных данных (Приложение № 18 к настоящей Политики).
5.14.2. Работниками, допущенными к обработке ПДн в АО «Пензадизельмаш» и третьими лицами, получившими доступ к ПДн, должна обеспечиваться конфиденциальность таких данных, за исключением следующих случаев:
- в случае обезличивания ПДн;
- в отношении общедоступных ПДн;
- в других случаях, предусмотренных федеральными законами РФ.
5.15. Поручение обработки персональных данных
5.15.1. В случае, если Общество на основании договора поручает обработку ПДн другому Оператору условием договора является обязанность обеспечения указанным лицом конфиденциальности и безопасности ПДн при их обработке.
5.15.2. Оператор, осуществляющий обработку ПДн по поручению Общества, не обязан получать согласие субъекта ПДн на обработку его ПДн.
5.15.3. В случае, если Общество поручает обработку ПДн другому Оператору, ответственность перед субъектом ПДн за действия указанного лица несет Общество. Оператор, осуществляющий обработку ПДн по поручению Общества, несет ответственность перед Обществом.
5.16. Передача персональных данных
5.16.1. В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных Общество вправе передавать и распространять персональные данные субъектов третьим лицам только с надлежащим образом оформленного согласия Субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации о персональных данных.
5.16.2. Все третьи лица, которым осуществляется передача персональных данных субъектов ПДн, обязаны соблюдать принципы и правила обработки ПДн, предусмотренные действующим законодательством Российской Федерации.
5.16.3. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Общество обязано обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
5.16.4. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных АО «Пензадизельмаш» неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.
5.16.5. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд России и другие уполномоченные органы государственной и муниципальной власти и управления, в судебные органы осуществляется Обществом в соответствии с требованиями законодательства Российской Федерации.
5.17. Хранение персональных данных
5.17.1. Общество осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.
5.17.2. Персональные данные на бумажных носителях хранятся в Обществе в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством.
5.17.3. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
5.17.4. Хранение с последующим уничтожением форм документов, содержащих ПДн субъекта ПДн, осуществляется в соответствии с требованиями законодательства Российской Федерации.
5.17.5. Хранение документов, содержащих ПДн (за исключением общедоступных ПДн), допускается только в закрываемых шкафах, сейфах или помещениях, к которым исключён доступ лиц, не имеющих допуск к обработке ПДн.
5.17.6. Бумажные документы, содержащие ПДн, у которых истёк срок хранения, или испорченные копии документов, содержащие ПДн, должны уничтожаться незамедлительно или содержащиеся в них ПДн должны подлежать обезличиванию способом, исключающим дальнейшее восстановление информации.
6.1. В случае подтверждения факта неточности персональных данных персональные данные подлежат актуализации.
6.2. Обработка персональных данных должна быть прекращена, персональные данные уничтожены при следующих условиях:
Ø достижение целей обработки персональных данных;
Ø истечение срока действия или отзыв согласия субъекта персональных данных на обработку его персональных данных когда согласно Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных" обработка этих данных допускается только с согласия субъекта ПДн;
Ø выявление неправомерной обработки персональных данных.
6.3. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Общество осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
6.4. При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
· иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
· Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом о персональных данных или иными федеральными законами;
· иное не предусмотрено другим соглашением между Обществом и субъектом персональных данных.
7. Основные права и обязанности субъектов персональных данных
7.1. Субъекты ПДн, данные которых обрабатываются в Обществе, на следующий рабочий день после даты изменения ПДн или получения на руки соответствующих документов об изменении ПДн сообщают об уточнении (обновлении, изменении) своих ПДн.
7.2. Субъекты ПДн имеют право на:
- получение полной информации об их ПДн, обрабатываемых в АО «Пензадизельмаш»;
- доступ к своим ПДн, включая право на получение копии любой записи, содержащей их ПДн;
- уточнение своих ПДн, их блокирование или уничтожение в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- определение своих представителей для защиты своих ПДн;
- отзыв согласия на обработку ПДн;
- исключение или исправление неверных, или неполных ПДн, а также данных, обработанных с нарушением требований законодательства Российской Федерации;
- требование об извещении со стороны АО «Пензадизельмаш» всех лиц, которым ранее были сообщены неверные или неполные ПДн работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- принятие предусмотренных законодательством Российской Федерации мер по защите своих прав;
- обжалование действий или бездействия АО «Пензадизельмаш», осуществляемого с нарушением требований законодательства Российской Федерации в области обработки и защиты ПДн;
- осуществление иных прав, предусмотренных законодательством Российской Федерации.
7.3. Право субъектов ПДн на доступ к своим ПДн может быть ограничено в следующих случаях:
- доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц;
- обработка ПДн осуществляется в соответствии с законодательством Российской Федерации о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
- в иных случаях, предусмотренных законодательством Российской Федерации.
7.4. Уполномоченные должностные лица Общества, допущенные к обработке персональных данных в Обществе, подписывают Обязательство о неразглашении персональных данных.
7.5 Уполномоченные работники, допущенные к обработке ПДн в Обществе могут вести обработку ПДн, с использованием средств автоматизации или без таковых, с обеспечением требований по защите ПДн.
7.6. В целях осуществления кадрового учета на период действия трудовых договоров с работниками АО «Пензадизельмаш» в отделе управления персоналом Дирекции по управлению персоналом и трансформации формируются личные дела, в которых осуществляется хранение ПДн на бумажных носителях. Хранение личных дел работников Общества осуществляется в определенных запираемых кабинетах, в металлических запираемых шкафах.
7.7. Первоначально в личное дело включаются документы, содержащие ПДн работника, в объеме, необходимом для приема на работу согласно Трудового Кодекса Российской Федерации.
7.8. Трудовые книжки работников должны храниться в металлическом несгораемом сейфе в отделе управления персоналом Дирекции по управлению персоналом и трансформации.
7.9. Личное дело ведется на протяжении всей трудовой деятельности работника в АО «Пензадизельмаш». Изменения, вносимые в личное дело, должны быть подтверждены соответствующими документами (например, копия свидетельства о браке при изменении фамилии, дополнение к трудовому договору и др.).
7.10. После увольнения работника Общества в личное дело вносятся соответствующие документы (заявление о расторжении трудового договора, копия приказа о расторжении трудового договора), личное дело оформляется для хранения и передается в архив Общества.
7.11. Личные дела уволенных работников хранятся в архиве Общества в соответствии со сроками, определенными законодательством Российской Федерации об архивном деле.
7.12. ПДн работников могут содержаться в следующих документах Общества:
-комплект документов, сопровождающих процесс оформления трудовых правоотношений (при решении вопросов о приеме на работу, переводе на другую должность, назначении, увольнении, оформлении договора гражданско-правового характера и т. п.);
-комплект материалов по различным оценочным процедурам: аттестации, анкетированию, тестированию и т.д.;
-подлинники и копии приказов по личному составу;
-трудовые книжки работников (оригиналы – для работников по основному месту работы);
-личные дела работников;
-дела, содержащие материалы служебных расследований и т.п.;
-справочно-информационный банк данных по работникам Общества (картотеки, журналы, базы данных и др.);
-подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Общества, руководителям структурных подразделений и служб;
-копии отчетов, направляемых в государственные органы: Социальный фонд Российской Федерации, Центр занятости населения, налоговые инспекции, банки и т.д.;
-документация по организации работы Общества (приказы, распоряжения руководства, Положения о структурных подразделениях, должностные инструкции работников и др.).
7.13. Субъект ПДн или его законный представитель обязуется предоставлять ПДн, соответствующие действительности.
8. Меры по защите персональных данных
8.1. В Обществе реализуется комплекс организационно-технических мероприятий по обеспечению безопасности ПДн, обрабатываемых в ИСПДн, а также без использования средств автоматизации и направленных на обеспечение конфиденциальности, целостности и доступности ПДн.
8.2. Требования по защите ПДн определяются в действующих нормативных документах, включая Федеральные законы (в том числе указанных в разделе 2), Постановления Правительства Российской Федерации, руководящие и нормативно-методические документы ФСТЭК и ФСБ России, локальных нормативных документах АО «Пензадизельмаш».
8.3. Система мер по защите ПДн раскрывается в настоящей Политике и Регламенте по защите ПДн АО «Пензадизельмаш».
8.4. В целях обеспечения безопасности ПДн при их обработке в АО «Пензадизельмаш» должны применяться необходимые и достаточные правовые, организационные и технические меры, включающие:
- принятие локальных нормативных актов и иных документов АО «Пензадизельмаш» в области обработки и защиты ПДн;
- назначение лица, ответственного за организацию обработки ПДн в АО «Пензадизельмаш»;
- получение согласий субъектов ПДн на обработку их ПДн, за исключением случаев, предусмотренных законодательством Российской Федерации;
- обособление ПДн, обрабатываемых без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях ПДн и хранении в специальных помещениях;
- установление запрета на передачу ПДн по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны, в том числе сети Интернет без применения установленных в АО «Пензадизельмаш» мер по обеспечению безопасности ПДн;
- хранение материальных носителей ПДн с соблюдением условий, обеспечивающих сохранность ПДн и носителя, а также исключающих несанкционированный доступ к ним;
- осуществление внутреннего контроля за соответствием обработки ПДн требованиям Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных», настоящей Политики, а также иных принятых на их основании организационно-распорядительных, нормативно-методических документов;
- иные меры, предусмотренные законодательством Российской Федерации в области защиты ПДн.
8.5. Меры по обеспечению безопасности ПДн, направлены на их защиту от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.
8.6. Должностное лицо, ответственное за организацию обработки ПДн, определяются приказом АО «Пензадизельмаш».
8.7. Лицо, ответственное за организацию обработки ПДн в АО «Пензадизельмаш» обязано:
- осуществлять внутренний контроль за соблюдением работниками АО «Пензадизельмаш» законодательства Российской Федерации по обработке ПДн;
- обеспечивать ознакомление работников АО «Пензадизельмаш» с требованиями локальных нормативно-правовых актов АО «Пензадизельмаш» в части защиты и обработки ПДн;
- организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей, осуществлять контроль за приемом и обработкой таких обращений и запросов.
9. Ответственность и контроль
9.1. Все работники, допущенные к обработке ПДн, обязаны соблюдать установленный в Обществе режим конфиденциальности в отношении ПДн, устанавливаемый настоящей Политикой. Мероприятия по обеспечению безопасности ПДн раскрываются в Регламенте по защите ПДн АО «Пензадизельмаш».
9.2. Работники Общества и третьи лица, осуществляющие обработку ПДн, должны быть ознакомлены под подпись с настоящей Политикой. Данные лица несут ответственность за соблюдение норм и правил, установленной настоящей Политикой.
9.3. Работники Общества, виновные в нарушении норм, регулирующих обработку ПДн, могут быть привлечены к ответственности в соответствии с законодательством Российской Федерации.
9.4. Согласно положениям статьи 22 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 06.02.2023) "О персональных данных" в случае изменения сведений, указанных в части 3, дирекция по безопасности и защите информации не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязана уведомить уполномоченный орган по защите прав субъектов персональных данных обо всех произошедших за указанный период изменениях. В случае прекращения обработки персональных данных дирекция по безопасности и защите информации обязана уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты прекращения обработки персональных данных.
9.5. Контроль за исполнением положений настоящей Политики возлагается на дирекцию по безопасности и защите информации. Контроль осуществляется путем проведения плановых и внеплановых проверок соблюдения правил обработки и защиты ПДн, а также в рамках текущей деятельности группы информационной безопасности. Проверки проводятся в присутствии руководителя структурного подразделения или лица его замещающего. Проверяющие имеют право знакомиться со всеми документами и другими материалами, имеющими отношение к проверяемым вопросам, а также проводить беседы и консультации с работниками проверяемых подразделений , требовать предоставления письменных объяснений, справок, отчетов по всем вопросам, входящим в их компетенцию.
