Положение об обработке персональных данных в ОАО «ОЭК
advertisement
3 Приложение №1 к приказу генерального директора ОАО «ОЭК» от 26.06.2013 г. № 134 Положение об обработке персональных данных в ОАО «Объединенная энергетическая компания» 1. Общие положения 1.1. Положение об обработке персональных данных в ОАО «Объединенная энергетическая компания» (далее – Положение) предназначено для организации обработки персональных данных в ОАО «Объединенная энергетическая компания» в соответствии с требованиями Федерального закона РФ от 27 июля 2006 года № 152ФЗ «О персональных данных». 1.2. Положение является локальным нормативным актом ОАО «Объединенная энергетическая компания» (далее – ОАО «ОЭК»). Требования настоящего Положения обязательны для выполнения всеми работниками, которые допущены к обработке персональных данных. 1.3. Положение определяет политику ОАО «ОЭК» в отношении обработки персональных данных, права, обязанности и ответственность работников ОАО «ОЭК». 2. Термины и сокращения Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных). Информация — сведения (сообщения, данные) независимо от формы их представления. Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. Материальный носитель персональных данных (далее материальный носитель) – материальный объект, используемый для закрепления и хранения информации. В целях настоящего Положения под материальным носителем понимается бумажный документ, диск, дискета, флэш-карта и т.п. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), 4 извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. Цель обработки персональных данных – конкретный конечный результат действий, совершенных с персональными данными, вытекающий из требований законодательства и направленный, в том числе на создание необходимых правовых условий для достижения оптимального согласования интересов сторон. 3. Нормативные ссылки Настоящее Положение разработано в соответствии с законодательством РФ: 3.1. Конституцией Российской Федерации. 3.2. Трудовым кодексом Российской Федерации. 3.3. Федеральным законом Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных». 3.4. Федеральным законом Российской Федерации от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации». 3.5. Указом Президента Российской Федерации от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера». 3.6. Постановлением Правительства Российской Федерации от 15.09.2008г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». 3.7. Административным регламентом исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (утвержден 5 приказом Министерства связи и массовых коммуникаций Российской Федерации от 14.11.2011 № 312). 4. Субъекты и состав персональных данных, обрабатываемых в ОАО «ОЭК» 4.1. Субъектами персональных данных, обработка которых осуществляется ОАО «ОЭК», являются: – кандидаты на вакантные должности; – работники; – члены органов управления (члены Совета директоров ОАО «ОЭК»); – клиенты (физические лица, в том числе являющиеся индивидуальными предпринимателями, физические лица – представители юридических лиц,); – контрагенты (физические лица, в том числе являющиеся индивидуальными предпринимателями, физические лица – представители юридических лиц, являющиеся контрагентами, субподрядными организациями, иными третьими лицами, привлекаемыми контрагентами); – посетители. 4.2. Целью обработки ПДн кандидатов на вакантные должности является рассмотрение вопроса о приеме на работу в ОАО «ОЭК», заключение трудового договора. 4.3. Целью обработки ПДн работников ОАО «ОЭК» является исполнение обязательств по трудовым договорам, ведение кадрового делопроизводства, раскрытие необходимой в соответствии с нормативными правовыми актами информации, обучение, обеспечение различного вида гарантиями, компенсациями и льготами, применение предусмотренных законодательством мер ответственности за нарушение трудовых обязанностей, исполнение ОАО «ОЭК» требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных». 4.4. Целью обработки ПДн членов органов управления ОАО «ОЭК» является осуществление раскрытия информации и обеспечение соблюдения требований законодательства при принятии управленческих решений в соответствии с Федеральным законом от 26 декабря 1995 г. № 208-ФЗ «Об акционерных обществах», Федеральным законом от 22 апреля 1996 г. № 39-ФЗ «О рынке ценных бумаг» и Положением о раскрытии информации эмитентами эмиссионных ценных бумаг, утвержденным приказом ФСФР РФ от 04.10.2011 № 11-46/пз-н. 4.5. Целью обработки ПДн клиентов (физических лиц, в том числе индивидуальных предпринимателей, представителей юридических лиц) является заключение и исполнение договоров на технологическое присоединение к электрическим сетям по инициативе субъектов ПДн. 6 4.6. Целью обработки ПДн контрагентов (физических лиц, в том числе индивидуальных предпринимателей, представителей юридических лиц) является организация и проведение процедур закупки товаров, работ, услуг, осуществление процедуры выбора контрагента, заключение и исполнение гражданско-правовых договоров в соответствии с Гражданским кодексом Российской Федерации иными нормативными правовыми актами и локальными нормативными актами ОАО «ОЭК». 4.7. Целью обработки ПДн посетителей является соблюдение пропускного и внутриобъектового режима в целях обеспечения безопасности проведения деловых встреч и переговоров на территории объектов ОАО «ОЭК» 4.8. При определении объема и содержания ПДн субъектов ОАО «ОЭК» руководствуется целями получения и обработки ПДн, указанными в п.п. 4.2 – 4.7. настоящего Положения. 4.9. Перечень обрабатываемых персональных данных ОАО «ОЭК» утверждается приказом генерального директора и подлежит оценке с точки зрения актуальности и, при необходимости, пересмотру ежегодно. 5. Права и обязанности ОАО «ОЭК» при обработке персональных данных 5.1. Для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных», в ОАО «ОЭК» принимаются следующие меры: 5.1.1. Назначение ответственных работников за организацию обработки ПДн в ОАО «ОЭК». 5.1.2. Издание документов, определяющих политику ОАО «ОЭК» в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений. 5.1.3. Обеспечение неограниченного доступа к документу, определяющему политику ОАО «ОЭК» в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн, в информационно-телекоммуникационной сети. 5.1.4. Применение правовых, организационных и технических мер по обеспечению безопасности ПДн. 5.1.5. Осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн действующему законодательству РФ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике ОАО «ОЭК» в отношении обработки ПДн, локальным актам ОАО «ОЭК». Данная обязанность возлагается на отдел экономической безопасности. 5.1.6. Оценка вреда, который может быть причинен субъектам ПДн в случае нарушения законодательства РФ, соотношение указанного вреда и принимаемых в ОАО «ОЭК» мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством РФ. 5.1.7. Ознакомление работников ОАО «ОЭК», осуществляющих обработку ПДн, с локальными актами по вопросам обработки ПДн. Данная обязанность возлагается на отдел кадров. 5.1.8. Обработка ПДн в ОАО «ОЭК» осуществляется с соблюдением принци- 7 пов и правил, предусмотренных законодательством о персональных данных: обработка ПДн осуществляется с согласия субъекта ПДн; обработка ПДн необходима для достижения целей, предусмотренных законодательством РФ, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей; обработка ПДн необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве; обработка ПДн необходима для исполнения договора, стороной которого является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн; обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно; обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн; осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе (персональные данные, сделанные общедоступными субъектом ПДн); осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством РФ. 5.1.9. Обработка персональных данных субъектов ПДн осуществляется с письменного согласия субъекта ПДн в следующих случаях: а) при передаче персональных данных работника третьим лицам (кредитным и страховым организациям, учебным центрам и другим организациям). Форма согласия на обработку ПДн субъекта ПДн приведена в приложении №1 к настоящему Положению. Ответственность за соблюдение возлагается на структурное подразделение ответственное за передачу данных работников третьим лицам; б) при передаче ПДн клиента при направлении технических условий на согласование системному оператору ОАО «ОЭК», а также иным лицам. Форма согласия на обработку ПДн субъекта ПДн приведена в приложении №1 к настоящему Положению. Ответственность за соблюдение возлагается на службу организации работы с клиентами; в) включения в общедоступные источни ки ПДн (в том числе справочники, адресные книги) сведений о работнике: фамилии, имени, отчества, даты рождения, сведений о профессии и иных ПДн, представленных субъектом. Форма согласия на внесение ПДн в общедоступные источники приведена в приложении №2 к настоящему Положению. Ответственность за соблюдение возлагается на отдел подбора и развития персонала; г) опубликования сведений о членах Совета директоров в информационнотелекоммуникационной сети. Форма согласия на внесение ПДн в общедоступные источники приведена в приложении №2 к настоящему Положению. Ответственность за соблюдение возлагается на отдел корпоративного управления. 8 5.1.10. Работники структурных подразделений обязаны сообщать субъекту ПДн или его законному представителю по его запросу информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн (форма ответа приведена в приложении №3 к настоящему Положению). Перечень структурных подразделений, ответственных за предоставление информации субъектам ПДн, внесение изменений в ПДн и уничтожение ПДн (п.п. 5.1.10. – 5.1.15), приведен в таблице 1. Таблица 1 № п.п. Субъекты ПДн 4. Кандидаты на вакантные должности Работники ОАО «ОЭК» Члены органов управления ОАО «ОЭК» Клиенты 5. Контрагенты 6. Посетители 1. 2. 3. Ответственное структурное подразделение Отдел подбора и развития персонала Отдел кадров Отдел корпоративного управления Центр обслуживания клиентов Структурное подразделение, ответственное заключение и/или исполнение соответствующего договора. Отдел пропускного и внутриобъектового режима 5.1.11. Безвозмездно предоставить возможность ознакомления с ПДн субъекта ПДн или его законного представителя в течение 30 дней с даты получения запроса. В случае отказа в предоставлении субъекту ПДн информации о наличии ПДн о соответствующем субъекте ПДн, работники структурных подразделений обязаны дать в письменной форме мотивированный ответ в течение 30 дней со дня обращения или получения запроса. Ответственность за соблюдение возлагается на структурное подразделение ответственное за ознакомление с ПДн. 5.1.12. Работники структурных подразделений обязаны внести необходимые изменения ПДн в срок, не превышающий 7 рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными. О внесенных изменениях и предпринятых мерах необходимо уведомить субъекта ПДн или его представителя, и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы (форма уведомления приведена в приложении №4 к настоящему Положению). 5.1.13. В случае достижения цели обработки ПДн работники структурных подразделений обязаны прекратить обработку и уничтожить соответствующие ПДн в срок, не превышающий 30 дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором между ОАО «ОЭК» и субъектом ПДн, либо если ОАО «ОЭК» не вправе осуществлять обработку ПДн без согласия субъекта. 5.1.14. В случае отзыва субъектом ПДн согласия на обработку своих ПДн (отзыва согласия на внесение ПДн в общедоступные источники) работники структурных подразделений обязаны прекратить обработку ПДн (исключить персональ- 9 ные данные из общедоступных источников) и уничтожить ПДн в срок, не превышающий 30 дней с даты поступления отзыва, если иное не предусмотрено договором между ОАО «ОЭК» и субъектом ПДн, либо если ОАО «ОЭК» не вправе осуществлять обработку ПДн без согласия субъекта. 5.2. ОАО «ОЭК» имеет право: Поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. В договоре должны быть определены перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели обработки ПДн, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн. Лицо, осуществляющее обработку ПДн по поручению ОАО «ОЭК», обязано соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных». 6. Права субъектов персональных данных Субъект ПДн имеет право: 6.1. На получение информации, касающейся обработки его ПДн, содержащей: подтверждение факта обработки ПДн в ОАО «ОЭК»; правовые основания и цели обработки ПДн; цели и применяемые ОАО «ОЭК» способы обработки персональных дан- ных; место нахождения ОАО «ОЭК», сведения о лицах (за исключением работников), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с ОАО «ОЭК» или на основании законодательства РФ; обрабатываемые ПДн, относящиеся к соответствующему субъекту, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством РФ; сроки обработки ПДн, в том числе сроки их хранения; порядок осуществления субъектом ПДн прав, предусмотренных законодательством о персональных данных; информацию об осуществленной или о предполагаемой трансграничной передаче данных; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению ОАО «ОЭК», если обработка поручена или будет поручена такому лицу; иные сведения, предусмотренные Федеральным законодательством. Форма направляемого в ОАО «ОЭК» запроса об обрабатываемых ПДн представлена в приложении № 5 к настоящему Положению. Запрос может быть составлен в простой письменной форме, с указанием фамилии, имени, отчества субъекта, номера основного документа, удостоверяющего личность субъекта или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с ОАО «ОЭК» (номер 10 договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн, подпись субъекта или его представителя. Субъект вправе направить повторный запрос в целях получения информации касающейся обработки его ПДн не ранее чем через 30 дней после первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого является субъект персональных данных. 6.2. Требовать уточнения своих ПДн, их блокирования, уничтожение в случае, если ПДн являются неполными, устаревшими, неточными. Форма направляемого в ОАО «ОЭК» запроса об уточнении ПДн или их блокировании, уничтожении представлена в приложении № 6 к настоящему Положению. 6.3. Отозвать согласие на обработку ПДн, согласие на включение ПДн в общедоступные источники. Форма отзыва согласия приведена в приложении № 7 к настоящему Положению. 6.4. Обжаловать в суде любые неправомерные действия или бездействие ОАО «ОЭК» при обработке и защите ПДн. 7. Порядок обработки персональных данных в ОАО «ОЭК» 7.1. Порядок обработки персональных данных членов органов управления ОАО «ОЭК». 7.1.1. Персональные данные членов органов управления ОАО «ОЭК» собираются и обрабатываются работниками Отдела корпоративного управления. 7.1.2. В соответствии с Федеральным законом РФ от 26.12.1995 № 208-ФЗ «Об акционерных обществах» и на основании письменного согласия лиц, входящих в состав органов управления, ОАО «ОЭК» публикует сведения о членах Совета директоров в информационно-телекоммуникационной сети. 7.2. В ОАО «ОЭК» установлен следующий порядок сбора и обработки ПДн клиентов: 7.2.1. При заключении договора на технологическое присоединение клиент предоставляет ОАО «ОЭК» сведения и документы, предусмотренные Правилами технологического присоединения энергопринимающих устройств потребителей электрической энергии, объектов по производству электрической энергии, а также объектов электросетевого хозяйства, принадлежащих сетевым организациям и иным лицам, к электрическим сетям, утвержденными Постановлением Правительства Российской Федерации от 27.12.2004 № 861. 7.2.2. Документы, содержащие ПДн клиентов, хранятся в помещении Центра обслуживания клиентов в специально отведенных металлических шкафах, в условиях, обеспечивающих защиту от несанкционированного доступа. 7.2.3. Документы, содержащие ПДн клиентов, хранятся в течение срока, установленного законодательством РФ. 7.3. Порядок обработки ПДн контрагентов ОАО «ОЭК» 7.3.1. Обработка персональных данных о контрагенте, его представителе, учредителе, бенефициаре (фамилия, имя, отчество контрагента или иного лица, уполномоченного на взаимодействие с ОАО «ОЭК» по вопросу заключения или исполнения договора либо на подписание договора, учредителя, конечного бенефици- 11 ара, их место жительства, телефон, иные персональные данные) осуществляется без согласия субъектов ПДн. 7.3.2. Для исполнения гражданско-правового договора, контрагент (юридическое лицо) может предоставлять персональные данные работников организации (представителей контрагента), с целью оформления ОАО «ОЭК» доверенностей и иных документов, необходимых в процессе выполнения работ по договору. Обязанность получения согласия на передачу и обработку персональных данных возлагается на контрагента. 8. Доступ к персональным данным 8.1. Доступ к персональным данным ограничивается в соответствии с федеральными законами и настоящим Положением. 8.2. ОАО «ОЭК» не вправе разглашать полученные им в результате своей деятельности персональные данные. 8.3. Доступ к ПДн, обрабатываемым с использованием и/или без использования средств автоматизации, предоставляется работникам в соответствии с Перечнем подразделений и должностных лиц, допущенных к работе с персональными данными, утверждаемым приказом генерального директора ОАО «ОЭК». 8.4. Доступ работников ОАО «ОЭК» к материальным носителям ПДн предоставляется в соответствии с Перечнем мест хранения материальных носителей персональных данных, обрабатываемых без использования средств автоматизации и Перечнем должностей ОАО «ОЭК», имеющих доступ к местам хранения персональных данных, утверждаемые приказом генерального директора ОАО «ОЭК». 8.5. Предоставление доступа к персональным данным органам государственным власти. 8.5.1. Органам государственной власти, иным государственным органам, органам местного самоуправления, обладающим правом на получение информации, содержащей ПДн в соответствии с действующим законодательством РФ, ПДн передаются в пределах, необходимых для выполнения ими своих функций. 8.5.2. Доступ к персональным данным, обрабатываемым в ОАО «ОЭК», на основании и во исполнение нормативных правовых актов, предоставляется: Федеральной инспекции труда и федеральным органам исполнительной власти, осуществляющим функции по контролю и надзору в установленной сфере деятельности, Государственной инспекции труда в городе Москве; Федеральной налоговой службе и ее органам; Федеральной службе государственной статистики и её территориальным органам; Федеральному фонду обязательного медицинского страхования и его территориальным органам; Военным комиссариатам; Фонду социального страхования РФ; Пенсионному фонду РФ. 8.5.3. ОАО «ОЭК» предоставляет сведения, содержащие ПДн работников, в Пенсионный фонд РФ, Федеральную налоговую службу по телекоммуникационным каналам связи и, в соответствии с требованиями законодательства РФ, использует 12 криптографические средства для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения. 8.5.4. Обязательный доступ к персональным данным предоставляется в следующих случаях, предусмотренных федеральными законами РФ: – в целях предупреждения угрозы жизни и здоровью субъекта ПДн; – в целях защиты основ конституционного строя, нравственности, прав и законных интересов других лиц; – в целях обеспечения обороны страны и безопасности государства, в том числе при поступлении официальных запросов в соответствии с положениями Федерального закона от 12.08.1995 № 144-ФЗ «Об оперативно-розыскной деятельности». 8.6. Предоставление доступа к персональным данным иным лицам. 8.6.1. Внешние организации для получения доступа к ПДн работников ОАО «ОЭК» обязаны предоставить в ОАО «ОЭК» в письменной форме запрос (приложение № 8 к настоящему Положению), подписанный руководителем организации и заверенный печатью и/или личной подписью. 8.6.2. ОАО «ОЭК» предоставляет ПДн иным лицам только после получения письменного согласия субъекта ПДн, если иное не предусмотрено федеральным законом. 8.6.3. В случаях, если при заключении договоров с контрагентами на основании заключенных договоров (либо иных оснований), они должны иметь доступ к ПДн, между ОАО «ОЭК» и контрагентом подписывается Соглашение о конфиденциальности. 8.7. Обращения (запросы) на предоставление доступа к обрабатываемым ПДн, с отметкой о предоставлении информации по запросу или отказе в предоставлении информации по запросу фиксируется в соответствующем Журнале учета обращений субъектов персональных данных (приложение № 9 к настоящему Положению). Ответственность за ведение журнала возлагается на руководителя структурного подразделения. 9. Порядок хранения и уничтожения персональных данных 9.1. При автоматизированной обработке не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой. 9.2. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельные материальные носители. 9.3. При разработке типовых форм документов для фиксации ПДн необходимо соблюдать следующие требования: 9.3.1. Типовая форма должна содержать сведения о цели обработки ПДн, адрес ОАО «ОЭК», источник получения ПДн, сроки обработки ПДн, перечень действий и способов обработки ПДн, фамилию, имя, отчество и адрес субъекта ПДн, а также поле, в котором субъект ПДн может поставить отметку о своем согласии на 13 обработку ПДн при условии необходимости получения письменного согласия на обработку ПДн в соответствии с п. 7.1.4. настоящего Положения. 9.3.2. В типовой форме должно быть исключено объединение полей, предназначенных для внесения ПДн, если цели их обработки несовместимы. 9.4. Уточнение (изменение) ПДн осуществляется путем фиксации их на новый материальный носитель. 9.5. ОАО «ОЭК» устанавливает особый режим хранения материальных носителей ПДн, используемых для фиксации и хранения ПДн различных субъектов ПДн: 9.5.1. ОАО «ОЭК» обеспечивает раздельное хранение материальных носителей ПДн, обработка которых осуществляется в различных целях в соответствии с Перечнем мест хранения материальных носителей персональных данных, обрабатываемых без использования средств автоматизации, утверждаемым приказом генерального директора ОАО «ОЭК». 9.5.2. На все указанные места хранения распространяются следующие правила: персональные данные, содержащиеся на бумажных носителях, хранятся в запираемом шкафу или в сейфе. ключи от запираемых шкафов выдаются только уполномоченным лицам. 9.6. ОАО «ОЭК» обеспечивает сохранность ПДн путем установления мер, исключающих несанкционированный доступ. К таким мерам относятся: ограничение круга лиц, имеющих право доступа и обработки ПДн на материальных носителях и в ИСПДн; регистрация и учет выдачи съемных носителей персональных данных (приложение № 10 к настоящему Положению). 9.7. ОАО «ОЭК» обеспечивает сохранность документов на бумажных и съемных носителях в течение срока, предусмотренного договором с субъектом ПДн, Приказом Минкультуры РФ от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», сроком исковой давности, а также иными требованиями законодательства РФ и внутренними документами ОАО «ОЭК». 9.8. Сроки хранения ПДн, обрабатываемых в ИСПДн ОАО «ОЭК», соответствуют срокам хранения ПДн, содержащихся на материальных носителях. 9.9. Персональные данные, обрабатываемые в ИСПДн, а также материальные носители ПДн должны быть уничтожены по достижении целей их обработки или в случае утраты необходимости в достижении цели обработки, в случае получения отзыва согласия субъекта на обработку ПДн, если ОАО «ОЭК» не вправе продолжить обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных». 9.10. При необходимости обезличивания ПДн производится удаление части ПДн в ИСПДн и/или вымарывание данных на материальном носителе, исключающее дальнейшую обработку этих персональных данных. 14 9.11. Уничтожение либо обезличивание ПДн должно производиться в соответствии с Регламентом уничтожения персональных данных в ОАО «ОЭК». 10. Взаимодействие с регулирующими органами 10.1. При получении правомерного запроса уполномоченного органа по защите прав субъектов ПДн ОАО «ОЭК» обязано представить мотивированный ответ в течение 30 дней с даты получения запроса. 10.2. В случае проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций за соответствием обработки ПДн требованиям законодательства РФ в области персональных данных, сведения о результатах проверки вносятся в журнал учета проверок, который ведется в соответствии со специальным локальным нормативным актом ОАО «ОЭК».. 11. Ответственность 11.1. Ответственность ОАО «ОЭК»: 11.1.1. ОАО «ОЭК» и работники, ответственные за соблюдение установленных настоящим Положением правил, несут административную, дисциплинарную, уголовную и иную ответственность, предусмотренную законодательством. 11.2. Ответственность работников ОАО «ОЭК». 11.2.1. Руководители структурных подразделений ОАО «ОЭК» несут ответственность за обеспечение его соблюдения настоящего Положения в соответствующих подразделениях. 11.2.2. Работники ОАО «ОЭК», виновные в нарушении установленных в ОАО «ОЭК» норм, регулирующих получение, обработку и защиту ПДн, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством РФ. 11.3. Приказом генерального директора ОАО «ОЭК» назначаются работники ответственные за организацию обработки персональных данных, в обязанности которых входит: – осуществление внутреннего контроля за соблюдением ОАО «ОЭК» и его работниками законодательства РФ о персональных данных, в том числе требований к защите ПДн; – доведение до сведения работников ОАО «ОЭК» положений законодательства о персональных данных, требований к защите ПДн, локальных актов ОАО «ОЭК» по вопросам обработки ПДн; – организация приема и обработки обращений и запросов субъектов ПДн или их представителей и (или) осуществление контроля за приемом и обработкой таких обращений и запросов. Работники, ответственное за организацию обработки ПДн, получают указания непосредственно от генерального директора ОАО «ОЭК» и подотчетны ему. 12. Порядок внесения изменений 12.1. Положение подлежит изменению, дополнению в случае появления новых нормативных правовых актов и специальных нормативных документов по защите ПДн. 15 12.2. Настоящее Положение пересматривается подразделением, осуществляющем функции по организации защиты персональных данных в ОАО «ОЭК» раз в год и в случае изменения законодательства РФ о персональных данных. 12.3. Все изменения отражаются в Листе изменений. 12.4. Измененное Положение утверждается генеральным директором ОАО «ОЭК». Заместитель генерального директора по безопасности С.В. Веревкин-Рахальский 16 Приложение № 1 к Положению об обработке персональных данных в ОАО «ОЭК» ФОРМА Согласие на обработку персональных данных Я (далее - Субъект), ___________________________________________________________, (фамилия, имя, отчество) документ, удостоверяющий личность__________________ серия____________ №_______, (вид документа) выдан _____________________________________________________________________________, (кем и когда) даю свое согласие ОАО «ОЭК» (далее - оператор), зарегистрированному по адресу: _______________________, на обработку своих персональных данных, на следующих условиях: 1. Оператор осуществляет обработку персональных данных субъекта в целях:_____________________________________________________________________. 2. Перечень персональных данных передаваемых оператору на обработку: фамилия, имя, отчество; 3. Субъект дает согласие на обработку оператором своих персональных данных, то есть совершение следующих действий: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, блокирование, уничтожение. 4. Настоящее согласие действует бессрочно. 5. Настоящее согласие может быть отозвано субъектом в любой момент по письменному обращению о прекращении обработки его персональных данных. 6. Субъект по письменному запросу имеет право на получение информации, касающейся обработки его персональных данных (в соответствии с п.7 ст. 14 Федерального закона РФ от 27.07.2006 №152-ФЗ «О персональных данных»). Подтверждаю, что ознакомлен (а) с положениями Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных», права и обязанности в области защиты персональных данных мне разъяснены. «____»______________ 20__ г. ___________ __________________________ (подпись) Заместитель генерального директора по безопасности (инициалы, фамилия) С.В. Веревкин-Рахальский 17 Приложение № 2 к Положению об обработке персональных данных в ОАО «ОЭК» ФОРМА Согласие на внесение персональных данных в общедоступные источники Я (далее - Субъект), ___________________________________________________________, (фамилия, имя, отчество) документ, удостоверяющий личность__________________ серия____________ №_______, (вид документа) выдан _____________________________________________________________________________, (кем и когда) даю свое согласие ОАО «ОЭК» (далее - оператор), зарегистрированному по адресу: ________________________, на внесение своих персональных данных в общедоступные источники информации, доступ к которым может быть предоставлен неограниченному кругу лиц, на следующих условиях: 1. Перечень персональных данных передаваемых оператору на внесение в общедоступные источники: фамилия, имя, отчество; структурное подразделение; должность; рабочий телефон; адрес электронной почты; дата рождения; сведения о профессии. 2. Настоящее согласие действует бессрочно. 3. Настоящее согласие может быть отозвано субъектом в любой момент по письменному обращению о прекращении обработки его персональных данных. 4. Субъект по письменному запросу имеет право на получение информации, касающейся обработки его персональных данных (в соответствии с п.7 ст. 14 Федерального закона РФ от 27.07.2006 №152-ФЗ «О персональных данных»). 5. Субъект подтверждает, что ознакомлен (а) с положениями Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных», права и обязанности в области защиты персональных данных ему разъяснены. «____»______________ 20__ г. ___________ __________________________ (подпись) (инициалы, фамилия) Заместитель генерального директора по безопасности С.В. Веревкин-Рахальский 18 Приложение № 3 к Положению об обработке персональных данных в ОАО «ОЭК» ФОРМА Ответ субъекту персональных данных об обрабатываемых персональных данных (о наличии персональных данных) (Образец содержания) В соответствии с Вашим обращением (запросом) _____________ от «____»____________20__г. № вх. _______сообщаем, что ОАО «ОЭК» осуществляет обработку Ваших персональных данных: 1) правовые основания обработки: _________________________ 2) цель обработки персональных данных: _______________________________; 3) способы обработки персональных данных: _________________________________________________________________; 4) сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные: _________________________________________________________________; 5) перечень обрабатываемых персональных данных и источник их получения: _____________________________________________________________________________________ _____________________________________________; 6) сроки обработки персональных данных, в том числе сроки их хранения: _________________________________________________________________; 7) порядок осуществления субъектом персональных данных прав предусмотренных федеральными законами: ___________________________________________________; 8) информация об осуществленной или предполагаемой трансграничной передаче данных: _________________________________________________; 9) наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению ОАО «ОЭК» (если обработка поручена, или будет поручена такому лицу): ______________________________________________________________. 10) место нахождения ОАО «ОЭК»: ______________________________. «____»______________ 20__ г. ___________ __________________________ (подпись) (инициалы, фамилия) Заместитель генерального директора по безопасности С.В. Веревкин-Рахальский 19 Приложение № 4 к Положению об обработке персональных данных в ОАО «ОЭК» ФОРМА Уведомление субъекта персональных данных об исключении из обработки или исправлении неверных персональных данных (Образец содержания) Сообщаем, что в соответствии с Вашим обращением (запросом) _____________ от «____»____________20__г. №_______ в ОАО «ОЭК» исключены из обработки персональные данные /исправлены неточные/устаревшие/неполные персональные данные. «____»______________ 20__ г. ___________ __________________________ (подпись) (инициалы, фамилия) Заместитель генерального директора по безопасности С.В. Веревкин-Рахальский 20 Приложение № 5 к Положению об обработке персональных данных в ОАО «ОЭК» ФОРМА Запрос об обрабатываемых персональных данных Я (далее - Субъект), ___________________________________________________________, (фамилия, имя, отчество) документ, удостоверяющий личность__________________ серия____________ №_______, (вид документа) выдан _____________________________________________________________________________, (кем и когда) В случае подачи запроса законным представителем указать: Выступая в качестве законного представителя______________________________________ _____________________________________________________________________________, (фамилия, имя, отчество) Документ, удостоверяющий личность__________________ № _________ серия _________, (вид документа) документ, удостоверяющий личность__________________ серия____________ №_______, (вид документа) выдан _____________________________________________________________________________, (кем и когда) прошу ОАО «ОЭК» (далее - Оператор), зарегистрированное по адресу: __________________, предоставить информацию, касающуюся обработки моих персональных данных, в том числе содержащую: 1) подтверждение факта обработки персональных данных Оператором; 2) правовые основания и цели обработки персональных данных; 3) применяемые Оператором способы обработки персональных данных; 4) наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные; 5) перечень обрабатываемых персональных данных, источник их получения; 6) сроки обработки персональных данных, в том числе сроки их хранения; 7) порядок осуществления Субъектом персональных данных прав, предусмотренных федеральными законами; 8) информацию об осуществленной или о предполагаемой трансграничной передаче данных; 9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу; Сведения, подтверждающие факт обработки персональных данных Субъекта Оператором: _____________________________________________________________________________, (номер договора, дата заключения договора, условное словесное обозначение) 21 _____________________________________________________________________________, (и/или иные сведения) Ответ прошу направить по адресу: _____________________________________________________________________________________ _____________________________________________________________________ «____»______________ 20__ г. ___________ __________________________ (подпись) Заместитель генерального директора по безопасности (инициалы, фамилия) С.В. Веревкин-Рахальский 22 Приложение № 6 к Положению об обработке персональных данных в ОАО «ОЭК» ФОРМА Запрос на уточнение (или блокирование, уничтожение) неполных (устаревших или неточных) персональных данных Я (далее - Субъект), ___________________________________________________________, (фамилия, имя, отчество) документ, удостоверяющий личность__________________ серия____________ №_______, (вид документа) выдан _____________________________________________________________________________, (кем и когда) В случае подачи запроса законным представителем указать: Выступая в качестве законного представителя______________________________________ _____________________________________________________________________________, (фамилия, имя, отчество) документ, удостоверяющий личность__________________ № _________ серия _________, (вид документа) прошу ОАО «ОЭК» (далее - Оператор), зарегистрированное по адресу: _________________, исправить/блокировать/уничтожить неполные/устаревшие/неточные персональные данные: _______________________________________________________________________________ _____________________________________________________________________________________ _____________________________________________________________________________________ ______________________________________________________________________________ в связи с _____________________________________________________________________________ указать причину персональные данные являются неполными, устаревшими, неточные ____________________________________________________________________________________________________________________ О внесенных изменениях и предпринятых мерах прошу уведомить меня путем направления (письма, электронного письма) по адресу:________________________________________________________________. «____»______________ 20__ г. ) ___________ __________________________ (подпись) (инициалы, фамилия) Заместитель генерального директора по безопасности С.В. Веревкин-Рахальский 23 Приложение № 7 к Положению об обработке персональных данных в ОАО «ОЭК» ФОРМА Отзыва согласия на обработку персональных данных (на включение персональных данных в общедоступные источники) Заявление на отзыв согласия на обработку персональных данных Я (далее - Субъект), ___________________________________________________________, (фамилия, имя, отчество) документ, удостоверяющий личность__________________ серия____________ №_______, (вид документа) выдан _____________________________________________________________________________, (кем и когда) прошу отозвать свое согласие на обработку персональных данных в ОАО «ОЭК» (далее Оператор), зарегистрированном по адресу: ____________________. Причина отзыва согласия на обработку персональных данных: _____________________________________________________________________________________ _____________________________________________________________________. Подтверждаю, что ознакомлен (а) с положениями Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных», права и обязанности в области защиты персональных данных мне разъяснены. «____»______________ 20__ г. ___________ __________________________ (подпись) (инициалы, фамилия) Заместитель генерального директора по безопасности С.В. Веревкин-Рахальский 24 Приложение № 8 к Положению об обработке персональных данных в ОАО «ОЭК» ФОРМА Запрос на доступ к обрабатываемым персональным данным ОАО «ОЭК» Наименование организации, в лице должность, _____________________________________________________________________________, (фамилия, имя, отчество) документ, удостоверяющий личность__________________ серия____________ №_______, (вид документа) выдан _____________________________________________________________________________, (кем и когда) прошу ОАО «ОЭК» предоставить доступ к обрабатываемым персональным данным: _____________________________________________________________________________, _____________________________________________________________________________, _____________________________________________________________________________, _____________________________________________________________________________ Ответ прошу направить по адресу:_______________________________________________ «____»______________ 20__ г. ___________ __________________________ (подпись) (инициалы, фамилия) Заместитель генерального директора по безопасности С.В. Веревкин-Рахальский 25 Приложение № 9 к Положению об обработке персональных данных в ОАО «ОЭК» ФОРМА Журнал учета обращений Журнал начат «____» ______________________ 201__ г. Должность ______________________ / ФИО должностного лица / № ФИО субъекта персональных данных/ФИО, должность, наименование организации Заместитель генерального директора по безопасности Дата № Вх. Журнал завершен «____» ______________________ 201__ г. Должность ______________________ / ФИО должностного лица / Цель запроса Дата Отметка о предоставлении информации по запросу № ФИО, Подпись исх. должность С.В. Веревкин-Рахальский 26 Приложение № 10 к Положению об обработке персональных данных в ОАО «ОЭК» ФОРМА Журнал учета электронных носителей персональных данных Журнал начат «____» ______________________ 201__ г. Должность ______________________ / ФИО должностного лица / № Тип Регистрационный номер Серийный номер Заместитель генерального директора по безопасности Место хранения Журнал завершен «____» ______________________ 201__ г. Должность ______________________ / ФИО должностного лица / Отметка о постановке на учет Отметка об уничтожении (выдаче носителя) ФИО, должФИО, должДата Подпись Дата Подпись ность ность Подпись администратора С.В. Веревкин-Рахальский
