1.1. Настоящая Политика определяет принципы и условия обработки персональных данных в АО «ТЭК-Торг» и разработана с учетом требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и нормативных актов уполномоченных органов государственной власти .
1.2. Для целей настоящей Политики используются следующие основные понятия и сокращения:
Общество – АО «ТЭК-Торг».
Закон – Федеральный закон от 08.07.2006 № 152-ФЗ «О персональных данных».
ПДн (персональные данные) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
ИСПДн (информационная система ПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность ПДн - обязательное для соблюдения Обществом или иным получившим доступ к ПДн лицом требование не допускать их распространение без согласия субъекта ПДн или наличия иного законного основания.
Обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
Общедоступные ПДн - ПДн, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта ПДн, или на которые в соответствии с законодательством Российской Федерации не распространяется требование соблюдения конфиденциальности.
НСД (несанкционированный доступ) - доступ, в том числе случайный,
к информации или действия с информацией, нарушающие установленные правила предоставления доступа к информации. Область действия
2. Область действияДействие настоящей Политики распространяется на любое действие (операцию) или совокупность действий (операций) с ПДн, совершаемых с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн. Требования настоящей Политики обязательны к соблюдению всеми работниками Общества, а также лицами, привлеченными Обществом для выполнения работ, оказания услуг на основании гражданско-правовых договоров.
Настоящая Политика должна быть размещена на сайте Обществе (www.tektorg.ru)
3. Перечень ответственных лицГенеральный директор Общества:
Лицо, ответственное за обработку ПДн:
Руководители структурных подразделений:
Работники Общества:
4. 1. Обработка ПДн в Обществе осуществляется с учетом следующих принципов:
4. 2. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.
4. 3. Обработка ПДн осуществляется только с согласия субъекта ПДн, за исключением случаев, предусмотренных в Законе. Согласие на обработку персональных данных должно быть выражено в форме утверждения или в форме четких активных действий субъекта, Общество должно иметь возможность продемонстрировать такое согласие.
4. 4. При обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки.
4. 5. Обрабатываемые ПДн подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом в сроки, установленные Законом.
4. 6. Безопасность ПДн достигается путем исключения НСД к ПДн, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иные несанкционированные действия.
5. Меры, направленные на обеспечение выполнения обязанностей при обработке ПДн5. 1. Назначается лицо, ответственное за организацию обработки ПДн;
5. 2. В Обществе издаются документы, определяющие политику в отношении обработки ПДн, внутренние документы по вопросам обработки ПДн, а также, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
5. 3. Применяются правовые, организационные и технические меры по обеспечению безопасности ПДн в соответствии со статьей 19 Закона;
5. 4. Осуществляется внутренний контроль и (или) аудит соответствия обработки ПДн Закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике Общества в отношении обработки ПДн, внутренним документам Общества;
5. 5. Проводится оценка вреда, который может быть причинен субъектам ПДн в случае нарушения Закона, соотношение указанного вреда и принимаемых в Обществе мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом;
5. 6. Работники Общества, непосредственно осуществляющие обработку ПДн, ознакомляются с положениями законодательства Российской Федерации в области ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику Общества в отношении обработки ПДн, внутренними документами Общества по вопросам обработки ПДн, и (или) проходят обучение.
6. Правила обработки персональных данных6. 1. Обработка ПДн осуществляется с соблюдением принципов и правил, установленных Законом.
6. 2. Обработка ПДн допускается, если:
6. 3. Общество может включать ПДн субъектов в общедоступные источники ПДн в случае получения письменного согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации.
6. 4. ПДн специальных категорий и биометрические ПДн в Обществе не обрабатываются.
6. 5. Общество не осуществляет трансграничную передачу ПДн.
6. 6. Принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, не осуществляется.
6. 7. При отсутствии необходимости письменного согласия субъекта на обработку его ПДн согласие субъекта может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме.
6. 8. Общество вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. При этом Общество обязывает лицо, осуществляющее обработку ПДн по поручению Общества, соблюдать принципы и правила обработки ПДн, предусмотренные федеральным законом.
6. 9. В случае, если Общество поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Общество. Лицо, осуществляющее обработку ПДн по поручению Общества, несет ответственность перед Обществом.
6. 10. Общество обязуется и обязывает своих работников, а также лиц, привлеченных Обществом к выполнению работ, оказанию услуг на основании гражданско-правовых договоров, получивших доступ к ПДн, не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
6. 11. При обработке ПДн в Обществе реализуются следующие процедуры:
6.11. 1. направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области ПДн. В этих целях утверждается должностная инструкция работника Общества, ответственного за обработку ПДн, в которой предусматривается осуществление внутреннего контроля за процессом обработки ПДн;
6.11. 2. для каждой цели обработки ПДн определяется:
6.11. 3. категория субъектов ПДн определяется в соответствии с политикой защиты ПДн;
6.11. 4. содержание и сроки обработки ПДн должны быть определены в согласии субъекта на обработку ПДн, либо в соответствующих договорах на обработку ПДн.
6.11. 5. порядок уничтожения ПДн определен в пункте 7.1. настоящей Политики.
7. Обязанности Общества при обработке персональных данных7. 1. В соответствии с требованиями Закона Общество обязано:
8. 1. При обработке ПДн Общество принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
8. 2. Обеспечение безопасности ПДн достигается, в частности:
9.1. В Обществе проводятся регулярные проверки соблюдения требований Закона.
9.2. Назначается лицо, ответственное за обработку ПДн, в обязанности которого, в том числе, включается осуществление внутреннего контроля за соблюдением Обществом и его работниками законодательства Российской Федерации в области ПДн, в том числе требований к защите ПДн;
9.3. В Обществе назначается структурное подразделение, отвечающее за защиту ПДн.
10. Пересмотр настоящей ПолитикиПоложения настоящей Политики подлежат пересмотру в случае изменения требований законодательства Российской Федерации в области обработки персональных данных. Регламентный пересмотр настоящей Политики осуществляется не реже, чем один раз в три года.