МЕНЮ

Политика обработки персональных данных

1 Общие положение

1.1 Настоящая Политика разработана в целях реализации требований законодательства в области обработки и обеспечения безопасности персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в АО «Уралэлектромедь».

1.2 Настоящая Политика разработана в соответствии с Федеральным законом Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных» и подзаконными актами Российской Федерации, определяющими случаи и особенности обработки персональных данных и обеспечения безопасности и конфиденциальности такой информации.

1.3 Требования Политики являются обязательными для всех работников АО «Уралэлектромедь», осуществляющих обработку и защиту персональных данных. Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессе обработки персональных данных, а также в случаях передачи им в установленном порядке персональных данных на основании соглашений, договоров, поручений на обработку.

1.4 Политика служит основой для разработки локальных нормативных актов, регламентирующих в АО «Уралэлектромедь» вопросы обработки персональных данных работников АО «Уралэлектромедь» и других субъектов персональных данных.

1.5 Политика является общедоступным документом и подлежит опубликованию на официальном сайте АО «Уралэлектромедь» в сети Интернет.

1.6 Политика действует бессрочно после утверждения и до ее замены новой версией.

1.7 Настоящая Политика не распространяется на случаи, если осуществляется:

- хранение, комплектование, учет и использование архивных документов, содержащих персональные данные, в соответствии с законодательством об архивном деле в Российской Федерации;

- обработка персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

2 Термины, определения и сокращения

2.1  В настоящей Политике применены термины с соответствующими определениями:

2.1.1  персональные данные, ПДн: Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.1.2  оператор: Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.1.3 обработка персональных данных: Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.1.4  автоматизированная обработка персональных данных: Обработка персональных данных с помощью средств вычислительной техники.

2.1.5 распространение персональных данных: Действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

2.1.6 предоставление персональных данных: Действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

2.1.7  блокирование персональных данных: Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

2.1.8 уничтожение персональных данных: Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

2.1.9 обезличивание персональных данных: Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

2.1.10 информационная система персональных данных, ИСПДн: Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.1.11 информационные технологии: Процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

2.1.12 трансграничная передача персональных данных: Передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2.2         В настоящей Политике применены следующие сокращения:

АО

-     акционерное общество «Уралэлектромедь»;

СЗПДн

-     система защиты персональных данных, обрабатываемых в информационных системах персональных данных АО;

РФ

-     Российская Федерация;

ФЗ

-     Федеральный закон.

3  Цели обработки персональных данных

3.1 ПДн обрабатываются в АО в следующих целях: выполнение договорных обязательств; обеспечение выполнения требований трудового законодательства при заключении трудового договора, в процессе трудовых отношений, при предоставлении гарантий и компенсаций, связанных с работой; обеспечение выполнения требований законодательства РФ при заключении гражданско-правовых договоров, в процессе благотворительной деятельности; оформление документов по запросам субъектов ПДн (справки, анкеты для УФМС и пр.) и в случаях предусмотренных законодательством РФ; обеспечение выполнения требований пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, оформление пакета документов в целях пенсионного обеспечения; поздравления с днем рождения, юбилеями; внесение сведений в карту аттестации рабочего места в соответствии с требованиями законодательства РФ; обеспечение выполнения требований законодательства РФ в области социального обеспечения; обеспечение выполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, выполнение функций налогового агента в части предоставления стандартных налоговых вычетов; исчисление стажа для назначения государственной и негосударственной пенсии, оформление документов в целях пенсионного обеспечения; направление письменных уведомлений и требований; ведение учета граждан, работающих в АО, составление аналитических и статистических справок, отчетов; проведение анализа обеспеченности трудовыми ресурсами в периоды мобилизации, военного положения и на военное время; оказание содействия военным комиссариатам в осуществлении воинского учета работников по месту жительства или месту пребывания в целях обеспечения своевременной явки граждан, подлежащих призыву на военную службу, по мобилизации на сборные пункты или в воинские части; предоставления льгот и гарантий; планирование, организация и осуществление повышения квалификации, обучения смежным профессиям, предоставление учебных отпусков; включение в список резерва на вышестоящие должности; проведение аттестации (экзаменов, проверки знаний) на соответствие выполняемой работе; возврат денежных средств, затраченных на проведение предварительного медицинского осмотра; награждение наградами АО, ОАО «УГМК», органами городской, областной и федеральной власти; предоставление дополнительных выходных дней по уходу за ребенком-инвалидом; обеспечение заключения ученических договоров со студентами по целевого набора, выплата стипендий; принятие решения о допуске к работе; обеспечение оплаты пособий по временной нетрудоспособности; предоставление путевок на санаторно-курортное лечение от АО; подготовка документов для оформления утраты нетрудоспособности и профзаболевания; включение в программу добровольного медицинского страхования за счет средств АО; проведение расследований несчастных случаев; подготовка направлений на медосмотры; указание перечня врачей (специалистов) и вида исследований, которые должны быть проведены в ходе медосмотра; оформление документов на выплату денежных средств при утрате трудоспособности; учет выполненных вакцинаций; обеспечения пропускного и внутриобъектового режима на объектах АО; обеспечение сохранности имущества и личной безопасности работников АО; указание ФИО на двери кабинета, на визитной карточке, в документах, выдаваемых в АО и сторонним организациям (доверенности, гарантийные письма и т.д.); предоставление дополнительных выходных дней за сдачу крови и ее компонентов; обеспечение выполнения требований законодательства РФ в отношении работников, осужденных к исправительным работам; ведение банка внешнего резерва кадров.

4  Правовые основания обработки персональных данных

4.1    Правовыми основаниями обработки ПДн являются:

-  федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью АО;

-  уставные документы АО;

-  договоры, заключаемые между АО и субъектом ПДн;

-  согласие субъекта ПДн на их обработку.

5 Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

5.1 Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.

5.2 АО осуществляет обработку ПДн следующих категорий субъектов ПДн:

- работники, с которыми заключены трудовые договоры;

- родственники работников;

- физические лица, получающие доход в АО, не являющиеся работниками АО;

- физические лица, состоящие с АО в гражданско-правовых отношениях;

- кандидаты на замещение вакантных должностей;

- физические лица, с которыми заключен договор на обучение в учреждения профессионального образования.

5.3 АО осуществляет обработку следующих категорий ПДн:

- фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес; семейное положение; социальное положение; образование; профессия; доходы; табельный номер; СНИЛС; пол; гражданство; занимаемая должность (выполняемая работа), разряд, ступень, наименование структурного подразделения; режим труда и отдыха; количество часов отработанного времени; сведения о входе и выходе с территории; рабочий телефон, домашний телефон, сотовый телефон; адрес электронной почты; рабочее место; адрес места работы; членство в профсоюзной организации, в комиссии по трудовым спорам и в совете трудовых коллективов, иных органах социального партнерства; состав семьи, место работы или учебы членов семьи; сведения об иждивенцах; сведения об инвалидности несовершеннолетних детей; сведения о прививках; сведения о прохождении медосмотра; идентификационный номер пропуска;

- данные документов: паспорта РФ и/или иного документа, удостоверяющего личность; военного билета; свидетельства о рождении; пенсионного удостоверения; об образовании, специальности и квалификации; документов, удостоверяющих специальное право (водительское удостоверение, удостоверение стропальщика, допуски к работам и пр.); трудовая книжка; ИНН; оценочные документы (характеристики, выводы аттестационных комиссий, заключения психологического исследования и др.); материалы и содержание служебных расследований о нарушениях; сведения о социальных льготах, гарантиях, компенсациях (доноры, инвалиды, пенсионеры, участники войн и т.д.); документы, подтверждающие льготы, гарантии и компенсации; сведения о награждениях; справки МСЭ и карты реабилитации инвалидов; карточка формы Т-2, фотография; сведения о несчастных случаях на производстве и полученных в результате травмах, профзаболеваниях; сведения о сдаче крови и ее компонентов; сведения о судимости (сообщения уголовно-исполнительной инспекции), акты проверки УИИ, справки о вступлении приговора в законную силу, приговор суда; командировочные удостоверения.

5.4 АО не осуществляет обработку специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни. Обработка специальных категорий ПДн, касающихся состояния здоровья, осуществляется АО в соответствии с законодательством РФ и с согласия субъекта ПДн на обработку своих ПДн в письменной форме.

5.5 АО осуществляет обработку биометрических ПДн только при наличии письменного согласия субъекта ПДн на их обработку с целью обеспечения пропускного и внутриобъектового режимов на объектах АО.

6 Порядок и условия обработки персональных данных

6.1 Обработка ПДн в АО осуществляется с согласия субъекта ПДн на обработку его ПДн, если иное не предусмотрено законодательством РФ в области ПДн.

6.2 АО осуществляет сбор, запись, внесение в информационную систему АО, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование (распространение, предоставление, доступ), обезличивание, блокирование, удаление, архивирование, уничтожение ПДн в порядке, определяемом законодательством РФ (ФЗ «О персональных данных» № 152-ФЗ от 27.07.2006 г.) и иными подзаконными правовыми актами.

6.3 В АО используется смешанный (с использованием средств автоматизации и без использования средств автоматизации) способ обработки ПДн с передачей информации по внутренней локальной сети АО и с передачей информации по сети Интернет.

6.4 АО вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели обработки, обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также требования к защите обрабатываемых ПДн в соответствии со статьей 19 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».

6.5 В АО доступ к обрабатываемым ПДн разрешается только работникам АО, допущенным к обработке ПДн в соответствии с внутренними нормативными документами.

6.6 АО не осуществляет трансграничную передачу ПДн на территории иностранных государств.

6.7 Обработка ПДн прекращается при достижении целей такой обработки, а также по истечении срока, предусмотренного законом, локальными нормативными актами АО, договором, или согласием субъекта ПДн на обработку его ПДн. При отзыве субъектом ПДн согласия на обработку его ПДн, АО вправе продолжить обработку ПДн без согласия субъекта ПДн, если такая обработка предусмотрена договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между АО и субъектом ПДн, либо если АО вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных ФЗ.

6.8 АО обеспечивает конфиденциальность ПД субъекта ПДн со своей стороны, со стороны своих работников, имеющих доступ к ПДн физических лиц, а также обеспечивает использование ПДн вышеуказанными лицами исключительно в целях, соответствующих закону, договору или иному соглашению, заключенному с субъектом ПДн.

7 Хранение персональных данных

7.1 ПДн субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

7.2 Необходимо обеспечивать раздельное хранение ПДн на разных бумажных носителях, обработка которых осуществляется в различных целях.

7.3 ПДн, зафиксированные на бумажных носителях, хранятся в служебных помещениях в надежно запираемых сейфах или шкафах.

7.4 Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено ФЗ.

7.5 Использование и хранение биометрических ПДн вне ИСПДн могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

7.6 При осуществлении хранения ПДн АО обязано использовать базы данных, находящиеся на территории РФ.

8 Актуализация, уточнение и уничтожение персональных данных

8.1 При обработке обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Применяются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных данных.

8.2 При достижении целей обработки ПДн, а также в случае отзыва субъектом ПДн согласия на их обработку ПДн подлежат уничтожению, если:

-  иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;

-  АО не вправе осуществлять обработку без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» или иными ФЗ;

- иное не предусмотрено иным соглашением между АО и субъектом ПДн.

8.3 Уничтожение документов (носителей), содержащих ПДн производится путем сжигания или дробления (измельчения). Для уничтожения бумажных документов допускается применение шредера.

8.4 Уничтожение по окончании срока обработки ПДн на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление ПДн, или удалением с электронных носителей методами и средствами гарантированного удаления информации.

8.5 По окончанию процедуры уничтожения составляется соответствующий акт об уничтожении документов, содержащих ПДн.

9 Права и обязанности субъектов персональных данных

9.1 Субъекты ПДн имеют право на:

-  полную информацию об их ПДн, обрабатываемых в АО;

-  доступ к своим ПДн, включая право на получение копии любой записи, содержащей их ПДн, за исключением случаев, предусмотренных ФЗ;

-  уточнение своих ПДн, их блокирование или уничтожение в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

-  отзыв согласия на обработку ПДн;

-  принятие предусмотренных законом мер по защите своих прав;

-  обжалование действия или бездействия АО, осуществляемого с нарушением требований законодательства РФ в области ПДн, в уполномоченный орган по защите прав субъектов ПДн или в суд;

- защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;

-  осуществление иных прав, предусмотренных законодательством РФ.

9.2 Субъекты ПДн обязаны:

- сообщать достоверную информацию о себе и предоставлять документы, содержащие ПДн, состав которых установлен законодательством РФ и локальными нормативными документами АО в объеме, необходимом для цели обработки ПДн;

- в течение 7 (семи) рабочих дней с даты изменения ПДн/документов, содержащих ПДн, сообщать в отдел кадров АО об уточнении (обновлении, изменении) своих ПДн.

10 Права и обязанности АО

10.1 АО имеет право:

- обрабатывать ПДн субъекта ПДн в соответствии с заявленными целями;

- требовать от субъекта ПДн предоставления достоверных ПДн, необходимых для исполнения договора, оказания услуги, идентификации субъекта ПДн, а также в иных случаях, предусмотренных законодательством о ПДн;

- требовать от субъекта ПДн своевременного уточнения предоставленных ПДн;

- обрабатывать общедоступные ПДн физических лиц;

- поручить обработку ПДн другому лицу с согласия субъекта ПДн.

10.2 Обязанности АО:

- не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством РФ;

- предоставлять ПДн субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);

- по требованию субъекта ПДн прекратить обработку его ПДн, за исключением случаев, предусмотренных законодательством РФ;

- принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» и иными законодательными актами РФ;

- в случаях, предусмотренных законодательством РФ, опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике;

- принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;

- давать ответы на запросы и обращения субъектов ПДн, их представителей и уполномоченного органа по защите прав субъектов ПДн.

11 Построение защиты персональных данных

11.1 Обработка ПДн в АО должна осуществляться в соответствии с требованиями Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».

11.2 Защита ПДн, обрабатываемых без использования средств автоматизации, должна строиться на основании требований Постановления Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации».

11.3 СЗПДн должна строиться на основании требований нормативных правовых актов, принятых в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», а также:

- актов определения уровня защищенности ПДн при их обработке в ИСПДн;

- моделей угроз безопасности ПДн при их обработке в ИСПДн.

11.4 Определение уровня защищенности ПДн при их обработке в ИСПДн должно осуществляться в соответствии с порядком, установленным Постановлением Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите ПДн при их обработке в информационных системах персональных данных».

11.5 СЗПДн должна включать в себя следующие подсистемы:

- идентификации и аутентификации субъектов доступа и объектов доступа;

- управления доступом субъектов доступа к объектам доступа;

- защиты машинных носителей ПДн;

- регистрации событий безопасности;

- антивирусной защиты;

- контроля (анализа) защищенности ПДн;

- обеспечения доступности ПДн;

- защиты среды виртуализации;

- защиты технических средств;

- защиты ИСПДн, ее средств, систем связи и передачи данных;

- выявления инцидентов и реагирования на них;

- управления конфигурацией ИСПДн и СЗПДн.

11.6 Состав требований, реализуемых каждой из подсистем СЗПДн, зависит от:

- уровня защищенности ПДн при их обработке в ИСПДн;

- структурно-функциональных характеристик и особенностей функционирования ИСПДн;

- состава актуальных угроз безопасности ПДн при их обработке в ИСПДн.

12 Ответственность и контроль

12.1 Ответственность за соблюдением требований в организации обработки и защиты ПДн в подразделении несет специалист, назначенный распоряжением по подразделению.

12.2 Ответственность за соблюдение требований законодательства РФ и локальных нормативных актов АО в области ПДн в подразделении АО, а также за обеспечение конфиденциальности и безопасности ПДн, несет руководитель подразделения.

12.3 Внутренний контроль за соблюдением структурными подразделениями АО законодательства РФ и локальных нормативных актов АО в области ПДн, в том числе требований к защите ПДн, осуществляется лицом, ответственным за организацию обработки ПДн в АО. Контроль должен осуществляется с целью:

- проверки соответствия обработки ПДн;

- проверки принятых мер, направленных на предотвращение и выявление нарушений в области ПДн;

- выявления возможных каналов утечки и несанкционированного доступа к ПДн;

- устранения последствий нарушений.

12.4 Контроль исполнения требований настоящей Политики осуществляет директор по безопасности и правовым вопросам.