Положение по обработке и обеспечению безопасности персональных данных

  1. Общие положения
    1. Положение по обработке и обеспечению безопасности персональных данных акционерного общества «Уральская теплосетевая компания» (далее – Положение) определяет политику АО «Уральская теплосетевая компания» (АО «УТСК», далее – Общество) в отношении обработки персональных данных с целью защиты прав и свобод человека и гражданина при обработке его персональных данных.
    2. Настоящее Положение разработано в соответствии с требованиями действующего законодательства Российской Федерации в области обеспечения безопасности персональных данных, распорядительных и руководящих документов ФСТЭК России и ФСБ России, а также стандартов и документов, регламентирующих деятельность Общества.
    3. Настоящим Положением Общество подтверждает, что обработка персональных данных, в т.ч. в информационных системах персональных данных, осуществляется в полном соответствии с требованиями законодательства Российской Федерации.
    4. Настоящее Положение устанавливает правила и процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также цели обработки персональных данных, содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки обработки и хранения персональных данных, порядок уничтожения персональных данных, правила рассмотрения запросов субъектов персональных данных или их представителей.
    5. Настоящее Положение может быть изменено, уточнено или дополнено в установленном Обществом порядке, в соответствии с требованиями нормативных правовых документов в области обеспечения безопасности персональных данных, действующих в Российской Федерации.
  2. Сведения об операторе и субъектах персональных данных
    1. Информация об операторе персональных данных:
      1. Общество в соответствии с федеральным законом «О персональных данных» является оператором, организующим и осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
      2. Адрес местонахождения оператора: 625023, Российская Федерация, г. Тюмень, Одесская улица, д. 1, корп. 3, эт. 3, пом. 19.
      3. Общество осуществляет обработку персональных данных в следующих целях:
        • осуществление видов деятельности Общества в рамках, предусмотренных Уставом и иными локальными нормативными актами;
        • заключение и исполнение договоров, в т.ч. стороной которых является субъект персональных данных;
        • регулирование трудовых отношений с работниками Общества, в т.ч. заключение и исполнение обязательств по трудовым договорам, ведение кадрового делопроизводства, содействие в трудоустройстве соискателям на замещение вакантных должностей, включая принятие решения о заключении трудового договора и его условиях в соответствии с действующим законодательством Российской Федерации, предоставление работникам и их близким родственникам дополнительных различного вида социальных гарантий и льгот, предоставление возможности участия в корпоративных мероприятиях, исполнение требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение;
        • обеспечение пропускного режима.
    2. Информация о субъектах персональных данных:
      1. В Обществе обрабатываются следующие категории субъектов ПДн:
        • физические лица, состоящие в гражданско-правовых и иных договорных отношениях с Обществом;
        • физические лица, являющиеся представителями (работниками) контрагентов Общества;
        • работники, состоящие в договорных отношениях с Обществом;
        • члены семьи и родственники работников Общества;
        • соискатели на замещение вакантных должностей;
        • посетители;
        • пользователи интернет-ресурсов Общества.
      2. Субъект персональных данных имеет право:
        • принимать решение о предоставлении его персональных данных и давать согласие на их обработку свободно, своей волей и в своем интересе;
        • отозвать ранее данное согласие на обработку персональных данных;
        • получать у Общества информацию, касающуюся обработки его персональных данных, в соответствии с действующим законодательством РФ, если такое право не ограничено в соответствии с федеральными законами;
        • требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
        • направить повторный запрос в целях получения необходимых ему сведений, а также в целях ознакомления с обрабатываемыми персональными данными, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, должен содержать обоснование направления повторного запроса.
      3. Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований действующего законодательства или иным образом нарушает его права и свободы, субъект персональных данных вправе:
        • направить Обществу письменное обращение. Общество рассматривает все поступившие обращения со стороны субъекта персональных данных, проводит по ним разбирательства и принимает все необходимые и достаточные меры для немедленного устранения выявленных нарушений, в т.ч. урегулирования споров в досудебном порядке;
        • обжаловать действия или бездействие Общества в Уполномоченный орган по защите прав субъектов персональных данных или в суд;
        • защищать свои права и законные интересы, в то числе требовать возмещение убытков и/или компенсацию морального вреда в судебном порядке.
  3. Порядок и условия обработки персональных данных
    1. Общество в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона от 27.07.06 г. № 152 «О персональных данных».
    2. Общество осуществляет обработку персональных данных путём сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, передачи (включая трансграничную передачу), обезличивания, блокирования, уничтожения.
    3. Общество получает персональные данные из следующих источников:
      1. непосредственно от субъектов персональных данных (работники и их члены семьи, близкие родственники, граждане, обратившиеся в Общество, посетители);
      2. от государственных органов и уполномоченных организаций в случаях, предусмотренных законодательством Российской Федерации;
      3. от контрагентов;
      4. от законных представителей субъекта.
    4. Содержание и объём обрабатываемых персональных данных категорий субъектов персональных данных, определяются в соответствии с целями обработки персональных данных. Общество не обрабатывает персональные данные, которые являются избыточными по отношению к указанным целям обработки или несовместимы с такими целями.
    5. Общество осуществляет обработку специальных категорий персональных данных: сведения о состоянии здоровья. Обработка сведений о состоянии здоровья осуществляется во исполнение действующего трудового законодательства Российской Федерации.
    6. В Обществе используется смешанный (с использованием средств автоматизации и без использования средств автоматизации) способ обработки персональных данных с передачей информации по внутренней локальной сети и передачей по сетям общего доступа и (или) международного обмена.
    7. Сроки обработки и хранения персональных данных определяются для каждой цели обработки персональных данных. Сроки определяются в соответствии с законодательно установленными сроками хранения документации, сроком действия договора с субъектом персональных данных, сроками исковой давности, сроками хранения документов бухгалтерского учёта, сроками указанными в согласии субъекта и т.п.
    8. Общество обрабатывает персональные данные только при наличии законных оснований, в том числе – при наличии согласия на обработку персональных данных, отвечающего перечисленным ниже требованиям.
      1. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
      2. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных (законный представитель, наследник) полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Обществом.
      3. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных путем направления письменного обращения (отзыва согласия).
      4. В случае отзыва субъектом персональных данных согласия на обработку персональных данных, Общество вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных действующем законодательством.
    9. Общество осуществляет передачу персональных данных третьим лицам:
      1. в уполномоченные организации, государственные органы, государственные внебюджетные фонды на основаниях и в случаях, предусмотренных законодательством Российской Федерации;
      2. в ПАО «Фортум» с целью:
        • организации рабочего процесса в общих с ПАО «Фортум» системах;
        • осуществление учета контактных данных сотрудников АО «УТСК»;
        • ведение статистического учета.
      3. Общество осуществляет трансграничную передачу персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, которые обеспечивают адекватную защиту прав субъектов персональных данных.
        1. Трансграничная передача осуществляется Обществом на территорию Финляндской Республики (корпорация Fortum Oyj).
        2. Целями трансграничной передачи персональных данных являются:
          • организация рабочего процесса в общих системах корпорации Fortum Oyj;
          • осуществление учета контактных данных сотрудников АО «УТСК»;
          • ведение статистического учета.
        3. Объем передаваемых персональных данных – менее 100 000 субъектов.
        4. Перечень действий по обработке персональных данных при трансграничной передаче: запись, систематизация, хранение, уточнение, передача, обезличивание, блокирование, удаление, уничтожение.
        5. Способы обработки персональных данных при трансграничной передаче: автоматизированная обработка с передачей по сети Интернет, с принятием необходимых правовых, организационных и технических мер защиты (раздел 4 настоящего Положения).
        6. Условия трансграничной передачи персональных данных: согласие субъекта персональных данных.
      4. По запросу субъекта персональных данных Общество предоставляет информацию об обработке персональных данных.
        1. Информация, предоставляется субъекту персональных данных (представителю) при личном обращении в Общество, либо при получении письменного запроса субъекта (представителя).
        2. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом, подпись субъекта персональных данных или его представителя.
    10. Общество прекращает обработку персональных данных в следующих случаях:
      • достижение цели обработки персональных данных;
      • изменение, признание утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;
      • истечение срока действия согласия субъекта, либо отзыв согласия;
      • выявление неправомерной обработки персональных данных;
      • ликвидация организации.
    11. Уничтожение персональных данных осуществляется в порядке и сроки, предусмотренные законодательством Российской Федерации, а также согласием субъекта.
    12. Общество обеспечивает конфиденциальность обрабатываемых персональных данных: не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами.
  4. Меры по обеспечению безопасности персональных данных
    1. Общество обеспечивает защиту персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных
    2. Общество принимает необходимые правовые, организационные и технические меры защиты персональных данных, направленные на обеспечение выполнения обязанностей, предусмотренных федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, в том числе:
      • опубликование на официальном сайте компании настоящего Положения;
      • назначение лица, ответственного за организацию обработки персональных данных;
      • издание локальных актов, регламентирующих вопросы обработки и защиты персональных данных и их защиту;
      • определение перечня лиц, осуществляющих обработку персональных данных и имеющих к ним доступ.
      • ознакомление работников, непосредственно осуществляющих обработку персональных данных, под подпись с положениями локальных нормативных актов Общества, содержащих нормы законодательства Российской Федерации о персональных данных (в том числе требования к защите персональных данных, порядку обработки) и ответственностью за разглашение персональных данных, нарушение порядка обращения с документами, содержащими такие данные, и иные неправомерные действия в отношении персональных данных;
      • информирование лиц, осуществляющих обработку персональных данных без использования средств автоматизации о факте обработки ими персональных данных, а так же об особенностях и правилах осуществления такой обработки;
      • внедрение системы защиты персональных данных;
      • определение мест хранения персональных данных (материальных носителей);
      • регламентирование порядка учета, хранения и уничтожения носителей персональных данных;
      • исключение возможности неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с персональными данными;
      • обеспечение сохранности носителей персональных данных и средств защиты информации.
    3. Указанные выше меры по обеспечению безопасности персональных данных при их обработке принимаются Обществом с соблюдением требований федерального законодательства, иных нормативных правовых актов Российской Федерации.
  5. Правовые основания обработки персональных данных:
    • Конституция Российской Федерации;
    • Гражданский кодекс Российской Федерации;
    • Налоговый кодекс Российской Федерации;
    • Трудовой кодекс Российской Федерации;
    • Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
    • Федеральный закон от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
    • Федеральный закон от 06.03.2006 № 35-ФЗ «О противодействии терроризму»;
    • Федеральный закон от 28.12.2010г. № 390-ФЗ «О безопасности»;
    • Федеральный закон «О государственном пенсионном обеспечении в Российской Федерации» от 15.12.2001 № 166-ФЗ
    • Федеральный закон от 21.07.2011г. № 256-ФЗ «О безопасности объектов топливно-энергетического комплекса».
  6. Глоссарий
    Термин Определение
    Автоматизированная обработка персональных данных обработка персональных данных с помощью средств вычислительной техники
    Информационная система персональных данных (ИСПДн) совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств
    Неавтоматизированная обработка персональных данных обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека
    Обезличивание персональных данных действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных
    Обработка персональных данных любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных
    Оператор (персональных данных) государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
    Персональные данные любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
    Трансграничная передача персональных данных передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу
    Уничтожение персональных данных действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных