Политика обработки персональных данных

ВВЕДЕНИЕ

Политика определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых персональных данных
в ООО «Газпром газомоторное топливо» (далее – Общество), функции Общества при обработке персональных данных, права субъектов персональных данных, а также реализуемые в Обществе требования по защите персональных данных.

Политика разработана с учетом Конституции Российской Федерации, законодательных и иных нормативных актов Российской Федерации в области персональных данных.

Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в Обществе вопросы обработки персональных данных работников Общества и других субъектов персональных данных.

ЦЕЛИ

Целью Политики является определение принципов и целей обработки персональных данных, а также обеспечение защиты прав субъектов персональных данных при обработке их персональных данных.

Политика служит основой для разработки локальных нормативных актов, регламентирующих нормы и правила обработки персональных данных.

ОБЛАСТЬ ДЕЙСТВИЯ

Положения настоящей политики обязательны для выполнения работниками
и руководителями подразделений, осуществляющих обработку персональных данных.

1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

В настоящей политике используются следующие термины с соответствующими определениями:

Автоматизированная обработка персональных данных: обработка персональных данных с помощью средств вычислительной техники.

Блокирование персональных данных: временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).

Информационная система персональных данных (ИСПДн): совокупность содержащихся в базе данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Информация: сведения (сообщения, данные) независимо от формы их представления.

Обезличивание персональных данных: действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных: любое действие (операция) или совокупность действий (операций), совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, представление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Персональные данные (ПДн): любая информация, относящаяся к прямо или косвенно  определенному или определяемому физическому лицу (субъекту персональных данных).

Предоставление ПДн: действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.

Распространение ПДн: действия, направленные на раскрытие ПДн неопределенному кругу лиц.

Трансграничная передача ПДн: передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение ПДн: действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или), в результате которых уничтожаются материальные носители ПДн.

2. ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ

В настоящей политике применены следующие обозначения и сокращения:

ИСПДн: информационная система персональных данных;

Общество: Общество с ограниченной ответственностью «Газпром газомоторное топливо»;

ПДн: персональные данные.

3. ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПДН

3.1. Общество осуществляет обработку ПДн работников Общества и других субъектов ПДн, не состоящих с Обществом в трудовых отношениях.

3.2. Обработка ПДн в Обществе осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Общества и других субъектов ПДн, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

– Общество осуществляет обработку ПДн в соответствии с законодательством Российской Федерации;

– обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;

– обработке подлежат только ПДн, которые отвечают целям их обработки;

– не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;

– Общество не раскрывает третьим лицам и не распространяет ПДн без согласия субъекта ПДн, если иное не предусмотрено действующим законодательством Российской Федерации;

– Общество определяет конкретные законные цели до начала обработки (в том числе сбора/получения) ПДн;

– Общество осуществляет сбор ПДн, которые являются необходимыми
и достаточными для заявленной цели обработки;

– обработка ПДн в Обществе ограничивается достижением конкретных, заранее определенных и законных целей;

– при обработке ПДн обеспечивается точность ПДн, их достаточность,
а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Обществом принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных ПДн;

– хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем того требуют цели обработки ПДн, если срок хранения ПДн не установлен Федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;

– обрабатываемые ПДн уничтожаются либо обезличиваются по достижении целей обработки или случаев утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом.

3.3. ПДн обрабатываются в Обществе в целях:

– обеспечения соблюдения законов и иных нормативных правых актов Российской Федерации;

– обеспечения соблюдения условий трудового договора между работником и Обществом и локальных нормативных актов Общества;

– содействия в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности;

– заключения договоров на выполнение работ/предоставление услуг;

– подготовки, заключения, исполнения и прекращения договоров гражданско-правового характера;

– обеспечения контроля количества и качества выполняемой работы и обеспечения сохранности имущества Общества;

– ведения кадрового учета работников Общества;

– бухгалтерского учета расчетов с работниками Общества и членами их семей по оплате труда и прочим расчетам;

– защиты жизни, здоровья или иных жизненно важных интересов субъектов ПДн;

– обеспечения пропускного и внутриобъектового режимов на объектах Общества;

– ведение личных дел работников Общества в соответствии с унифицированной формой Т-2;

– формирования справочных материалов для внутреннего информационного обеспечения деятельности Общества;

– исполнения судебных актов, актов других органов власти или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

– осуществления прав и законных интересов Общества в рамках осуществления видов деятельности, предусмотренных Уставом Общества;

– в иных целях, предусмотренных действующим законодательством Российской Федерации.

3.4. Обработка ПДн в Обществе осуществляется в соответствии со следующими документами:

– Федеральный закон от 30.12.2001 № 197-ФЗ «Трудовой кодекс Российской Федерации»;

– Федеральный закон от 30.11.1994 № 51-ФЗ «Гражданский кодекс Российской Федерации» (часть первая, глава 10);

– Федеральный закон от 31.07.1998 № 146-ФЗ «Налоговый кодекс Российской Федерации» (часть первая);

– Федеральный закон от 15.11.2001 № 167-ФЗ «Об обязательном пенсионном страховании»;

– Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;

– Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;

– Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных»;

– Постановление Государственного комитета Российской Федерации по статистике от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»;

– Федеральный закон от 21.07.1997 №116-ФЗ «О промышленной безопасности опасных производственных объектов» (статья 9);

– Федеральный закон от 21.07.2011 №256-ФЗ «О безопасности объектов топливно-энергетического комплекса» (статья 10);

– трудовой договор, заключенный между Обществом и работником;

– письменное согласие субъекта ПДн на обработку ПДн;

– договор или соглашение о конфиденциальности, заключенные между субъектом ПДн и Обществом.

4. ПЕРЕЧЕНЬ СУБЪЕКТОВ ПДН, ПДН КОТОРЫХ ОБРАБАТЫВАЮТСЯ В ОБЩЕСТВЕ

Общество обрабатывает в автоматизированной и неавтоматизированной форме
с соблюдением требований законодательства Российской Федерации ПДн следующих категорий субъектов ПДн:

– субъекты ПДн, находящиеся в трудовых отношениях с Обществом;

– субъекты ПДн, являющиеся работником организации, состоящей в договорных или иных гражданско-правовых отношениях с Обществом;

– субъекты ПДн – физические лица -индивидуальные предприниматели, являющиеся контрагентами Общества;

– субъекты ПДн, находящиеся в кадровом резерве Общества и претендующие на замещение вакантной должности;

– субъекты ПДн, состоявшие в трудовых отношениях с Обществом (бывшие работники Общества);

– субъекты ПДн, состоящие в близких родственных отношениях с физическими лицами, находящимися в настоящий момент с Обществом в трудовых отношениях;

– субъекты ПДн, которые являются клиентами Общества;

– субъекты ПДн, которые являются посетителями Общества.

5. ПЕРЕЧЕНЬ ПДН, ОБРАБАТЫВАЕМЫХ В ОБЩЕСТВЕ

5.1. Перечень ПДн, обрабатываемых в Обществе, определяется в соответствии
с законодательством Российской Федерации и локальными нормативными актами Общества с учетом целей обработки ПДн, указанных в настоящей политике.

5.2. Обработка специальных категорий ПДн, касающихся состояния здоровья, расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Обществе не осуществляется.

5.3. Трансграничная передача ПДн осуществляется.

5.4. В целях информационного обеспечения в Обществе могут создаваться общедоступные источники ПДн работников, в том числе справочники и адресные книги.
В общедоступные источники ПДн с согласия работника могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты, фотография.

5.5. В Обществе не осуществляется обработка биометрических ПДн.

6. ФУНКЦИИ ОБЩЕСТВА ПРИ ОСУЩЕСТВЛЕНИИ ОБРАБОТКИ ПДН

Общество при осуществлении обработки ПДн:

– принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и локальных нормативных актов Общества в области ПДн;

– принимает правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;

– назначает лиц, ответственных за организацию автоматизированной
и неавтоматизированной обработки ПДн в Обществе;

– издает локальные нормативные акты, определяющие политику и вопросы обработки и защиты ПДн в Обществе;

– осуществляет ознакомление работников Общества, непосредственно осуществляющих обработку ПДн, с положением законодательства Российской Федерации и локальных нормативных актов Общества в области ПДн, в том числе требованиями к защите ПДн, и обучение указанных работников;

– публикует или иным образом обеспечивает неограниченный доступ к настоящей политике;

– сообщает в установленном порядке субъектам ПДн или их представителям информацию о наличии ПДн, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими ПДн при обращении и (или) поступлении запросов указанных субъектов ПДн или их представителей, если иное не установлено законодательством Российской Федерации;

– прекращает обработку и уничтожает ПДн в случаях, предусмотренных законодательством Российской Федерации в области ПДн.

7. ПРАВА СУБЪЕКТОВ ПДН

Субъекты ПДн имеют право на:

– полную информацию об их ПДн, обрабатываемых в Обществе;

– доступ к своим ПДн, включая право на получение копии любой записи, содержащей их ПДн, за исключением случаев, предусмотренных Федеральным законом;

– уточнение своих ПДн, их блокирование или уничтожение в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

– отзыв согласия на обработку ПДн;

– принятие предусмотренных законом мер по защите своих прав;

– обжалование действия или бездействия Общества, осуществляемого с нарушением требований Российской Федерации в области ПДн, в уполномоченном органе по защите прав субъектов ПДн или суде;

– осуществление иных прав, предусмотренных законодательством Российской Федерации.

8. МЕРЫ, ПРИНИМАЕМЫЕ ОБЩЕСТВОМ ПРИ ОБРАБОТКЕ ПДН

8.1. Меры, необходимые и достаточные для обеспечения выполнения Обществом обязанностей Общества, предусмотренных законодательством Российской Федерации
в области ПДн, включают:

– назначение работников Общества, ответственных за организацию обработки и защиты ПДн;

– принятие локальных нормативных актов Общества и иных документов в области обработки и защиты ПДн;

– организацию обучения и проведения методической работы по вопросам соблюдения требований законодательства Российской Федерации и локальных нормативных актов Общества по обработке и защите ПДн с работниками структурных подразделений Общества, занимающими должности, включенные в перечень должностей структурных подразделений Общества, при замещении которых осуществляется обработка ПДн;

– получение согласий субъектов ПДн на обработку из ПДн, за исключением случаев, предусмотренных законодательством Российской Федерации;

– ограничение и регламентацию состава работников, имеющих доступ к ПДн;

– обеспечение учёта и хранения материальных носителей информации и их обращений, исключающих хищение, подмену, несанкционированное копирование
и уничтожение;

– определение угроз безопасности ПДн при их обработке, формирование на их основе моделей угроз;

– разработку на основе модели угроз системы защиты ПДн для соответствующего уровня защищенности информационных систем;

– реализацию разрешительной системы доступа пользователей к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации;

– обособление ПДн, обрабатываемых без использования средств автоматизации,
от иной информации, в частности, путем их фиксации на отдельных материальных носителях ПДн в специальных разделах;

– обеспечение раздельного хранения ПДн, обработка которых осуществляется
в разных целях, и их материальных носителей, которые содержат разные категории ПДн;

– установление запрета на передачу ПДн по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны и сети Интернет без применения установленных в Обществе мер по обеспечению безопасности ПДн (за исключением общедоступных и (или) обезличенных ПДн);

– хранение материальных носителей ПДн с соблюдением условий, обеспечивающих сохранность ПДн и исключающих несанкционированный доступ к ним;

– осуществление внутреннего контроля соответствия обработки ПДн Федеральному закону от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, настоящей политике и иным локальным нормативным актам Общества в области защиты ПДн;

– иные меры, предусмотренные законодательством Российской Федерации в области ПДн.

8.2. Меры по обеспечению безопасности ПДн при их обработке в ИСПДн устанавливаются в соответствии с локальными нормативными актами Общества, регламентирующими вопросы обеспечения безопасности ПДн при их обработке в ИСПДн Общества.

8.3. Технические меры защиты ПДн реализуются техническими средствами защиты информации, прошедшими в установленном порядке процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации.

8.4. При обеспечении защиты ПДн посредством применения технических средств защиты информации учитываются требования действующих нормативно-методических документов ФСТЭК России, ФСБ России и локальных нормативных документов Общества,
а также перечень актуальных угроз безопасности ПДн.

9. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПДН

Общество несет ответственность за нарушение обязательств по обеспечению безопасности и конфиденциальности ПДн при их обработке в соответствии с законодательством Российской Федерации.

10. ПЕРЕСМОТР ПОЛОЖЕНИЙ ПОЛИТИКИ

Пересмотр положений настоящей политики проводится периодически, но не реже чем один раз в три года, а также:

– при изменении законодательства Российской Федерации в области обработки
и защиты ПДн;

– в случаях выявления несоответствий, затрагивающих обработку ПДн;

– по результатам контроля выполнения требований по обработке и защите ПДн;

– по решению Генерального директора Общества.

 

В настоящей политике использованы ссылки на следующие нормативные документы:

1. Федеральный закон от 30.12.2001 № 197-ФЗ «Трудовой кодекс Российской Федерации».

2. Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных».

3. Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

4. Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

5. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».