Положение
об обработке персональных данных в ОАО «ТАСК»,
защите персональных данных работников ОАО «ТАСК» и иных субъектов персональных данных
(утверждено приказом ОАО «ТАСК» от 23.06.2017г. № 31-П)
1. Общие положения
1.1. Настоящее Положение определяет политику ОАО «ТАСК» как оператора, осуществляющего обработку персональных данных лиц, состоящих в трудовых, договорных и иных гражданско-правовых отношениях с ОАО «ТАСК», в отношении обработки и защиты персональных данных.
Настоящее Положение разработано в целях обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Положение об обработке персональных данных в ОАО «ТАСК», защите персональных данных работников ОАО «ТАСК» и иных субъектов персональных данных (далее — Положение) определяет цели, содержание и порядок обработки персональных данных лиц, состоящих в трудовых, договорных и иных гражданско-правовых отношениях с ОАО «ТАСК», меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в ОАО «ТАСК».
1.3. Настоящее Положение разработано в соответствии с Конституцией РФ, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006г. N 152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 25.12.2008г. N 273-ФЗ «О противодействии коррупции», постановлением Правительства РФ от 01.11.2012г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства РФ от 06.07.2008г. N 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», постановлением Правительства РФ от 15.09.2008г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
1.4. Основные понятия, используемые в настоящем Положении:
персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор – юридическое лицо — ОАО «ТАСК», самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.5. ОАО «ТАСК» и работники ОАО «ТАСК», получившие доступ к персональным данным, обязаны соблюдать конфиденциальность персональных данных — не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
1.6. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
— подтверждение факта обработки персональных данных ОАО «ТАСК»;
— правовые основания и цели обработки персональных данных;
— цели и применяемые оператором способы обработки персональных данных;
— наименование и место нахождения ОАО «ТАСК», сведения о лицах (за исключением работников ОАО «ТАСК»), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ОАО «ТАСК» или на основании федерального закона;
— обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
— сроки обработки персональных данных, в том числе сроки их хранения;
— порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006г. N 152-ФЗ «О персональных данных»;
— информацию об осуществленной или о предполагаемой трансграничной передаче данных;
— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению ОАО «ТАСК», если обработка поручена или будет поручена такому лицу;
— иные сведения, предусмотренные Федеральным законом от 27.07.2006г. N 152-ФЗ «О персональных данных» или другими федеральными законами.
1.7. Субъект персональных данных имеет право на получение сведений, указанных в пункте 1.6. настоящего Положения, за исключением случаев, предусмотренных частью 8 статьи 14 Федерального закона от 27.07.2006г. N 152-ФЗ «О персональных данных».
Сведения, указанные в пункте 1.6. настоящего Положения, должны быть предоставлены ОАО «ТАСК» субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
Сведения, указанные в пункте 1.6. настоящего Положения, предоставляются ОАО «ТАСК» субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с ОАО «ТАСК» (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных ОАО «ТАСК», подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
В случае, если сведения, указанные в пункте 1.6. настоящего Положения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к ОАО «ТАСК» или направить ему повторный запрос в целях получения сведений, указанных в пункте 1.6. настоящего Положения, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 1.6. настоящего Положения, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в части 4 настоящего пункта, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в части 3 настоящего пункта, должен содержать обоснование направления повторного запроса.
ОАО «ТАСК» вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным 4 и 5 настоящего пункта. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на ОАО «ТАСК».
1.8. Субъект персональных данных вправе требовать от ОАО «ТАСК» уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
1.9. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
1.10. ОАО «ТАСК» — оператор персональных данных вправе:
— отстаивать свои интересы в суде;
— предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
— отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством РФ;
— использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством РФ.
1.11. При сборе персональных данных ОАО «ТАСК» обязано предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона от 27.07.2006г. N 152-ФЗ «О персональных данных».
1.12. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», ОАО «ТАСК» обязано обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона от 27.07.2006г. N 152-ФЗ «О персональных данных».
1.13. Обработка персональных данных в ОАО «ТАСК» осуществляется с соблюдением принципов и условий, предусмотренных законодательными и иными нормативными правовыми актами Российской Федерации в области персональных данных, а также настоящим Положением.
1.14. Лица, виновные в нарушении требований Федерального закона от 27.07.2006г. N 152-ФЗ «О персональных данных» норм, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
1.15. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом от 27.07.2006г. N 152-ФЗ «О персональных данных», а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом от 27.07.2006г. N 152-ФЗ «О персональных данных», подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
1.16. Локальные нормативные акты и иные документы, регламентирующие обработку и защиту персональных данных в ОАО «ТАСК», разрабатываются с учетом настоящего Положения.
1.17. Настоящее Положение является общедоступным и подлежит размещению на официальном сайте ОАО «ТАСК»: www.таск.рф
2. Цели сбора и обработки персональных данных
2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2. Цели обработки персональных данных происходят в том числе из анализа правовых актов, регламентирующих деятельность ОАО «ТАСК», целей фактически осуществляемой ОАО «ТАСК» деятельности, а также деятельности, которая предусмотрена Уставом ОАО «ТАСК» и конкретных бизнес-процессов ОАО «ТАСК» в конкретных информационных системах персональных данных (по структурным подразделениям ОАО «ТАСК» и их процедурам в отношении определенных категорий субъектов персональных данных).
2.3. Персональные данные работников ОАО «ТАСК» и иных субъектов персональных данных обрабатываются в целях:
2.3.1. Осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей, в частности:
— обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;
— выполнение требований законодательства в сфере труда и налогообложения;
— заключение, исполнение и прекращение гражданско-правовых договоров;
— организация кадрового учета ОАО «ТАСК», обеспечение соблюдения законов, заключение и исполнение обязательств по трудовым и гражданско-правовым договорам;
— ведение кадрового делопроизводства и личных дел работников, содействие работникам в трудоустройстве, обучении и продвижении по службе, пользовании льготами;
— выполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физических лиц, взносов во внебюджетные фонды и страховых взносов во внебюджетные фонды, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование;
— исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
— заполнение первичной статистической документации в соответствии с трудовым, налоговым законодательством и иными федеральными законами;
— выполнение требований корпоративного законодательства;
— ведение бухгалтерского и налогового учета, формирование, изготовление и своевременная подача бухгалтерской, налоговой и статистической отчетности;
— обеспечения пропускного режима на территории и в зданиях ОАО «ТАСК».
2.3.2. Выполнения требований законодательства по определению порядка обработки и защиты ПД граждан, являющихся клиентами и контрагентами ОАО «ТАСК;
2.3.3. Реализации прав и законных интересов ОАО «ТАСК» в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами ОАО «ТАСК», или третьих лиц либо достижения общественно значимых целей;
2.3.4. Иных законных целях.
3. Правовые основания обработки персональных данных
3.1. Правовым основанием обработки персональных данных являются:
— совокупность правовых актов, во исполнение которых и в соответствии с которыми ОАО «ТАСК» осуществляет обработку персональных данных: Конституция Российской Федерации; статьи 86-90 Трудового кодекса Российской Федерации, федеральные законы РФ и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью ОАО «ТАСК», в том числе Налоговый кодекс РФ, Федеральный закон от 26 декабря 1995г. N 208-ФЗ «Об акционерных обществах», Федеральный закон от 22 апреля 1996 г. N 39-ФЗ «О рынке ценных бумаг»;
— Устав ОАО «ТАСК» и внутренние документы ОАО «ТАСК»;
— договоры, заключаемые между ОАО «ТАСК» и субъектом персональных данных;
— согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).
4. Объем и категории обрабатываемых персональных данных,
категории субъектов персональных данных
4.1. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.2. Обработка персональных данных допускается в следующих случаях:
— обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
— обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
— обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
— обработка персональных данных необходима для осуществления прав и законных интересов ОАО «ТАСК» или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
— обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона от 27.07.2006г. N 152-ФЗ «О персональных данных», при условии обязательного обезличивания персональных данных;
— осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);
— осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
— иных законных случаях.
4.3. К категориям субъектов персональных данных относятся:
4.3.1. Работники ОАО «ТАСК», бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников; лица, имеющие договорные отношения гражданско-правового характера с ОАО «ТАСК» или находящиеся на этапе преддоговорных отношений подобного характера; лица, проходящие различного рода практику (стажировку) в ОАО «ТАСК».
В данной категории субъектов оператором обрабатываются персональные данные в связи с реализацией трудовых отношений: фамилия, имя, отчество (в том числе прежние фамилии, имена и (или) отчества, в случае их изменения); число, месяц, год рождения; место рождения; информация о гражданстве (в том числе прежние гражданства, иные гражданства); вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи; адрес места жительства (адрес регистрации, фактического проживания); национальная принадлежность; биометрические персональные данные; номер контактного телефона и (или) сведения о других способах связи, в том числе электронной связи; реквизиты страхового свидетельства государственного пенсионного страхования; идентификационный номер налогоплательщика; реквизиты страхового медицинского полиса обязательного медицинского страхования; реквизиты свидетельства государственной регистрации актов гражданского состояния; семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших мужей (жен); реквизиты водительских удостоверений (при наличии); сведения о трудовой деятельности; отношение к воинской обязанности, сведения о воинском учете и реквизиты документов воинского учета; сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательной организации, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании); сведения об ученой степени; информация о владении иностранными языками, степень владения; сведения о состоянии здоровья и об инвалидности; медицинское заключение по установленной форме об отсутствии у меня заболевания, препятствующего работе по данной специальности, квалификации; данные об изображение лица (фотографии); видеосъемки, видеозаписи; сведения о прохождении государственной гражданской службы, сведения о прежнем месте работы; сведения о пребывании за границей; серия, номер документа, удостоверяющего личность гражданина Российской Федерации за пределами Российской Федерации, наименование органа, выдавшего его, дата выдачи; государственные награды, иные награды и знаки отличия сведения о поощрениях и наказаниях; сведения о профессиональной переподготовке и (или) повышении квалификации; сведения об имущественном положении, доходах, обязательствах имущественного характера; сведения о наличии или отсутствии судимости; сведения о наличии или отсутствии административных наказаний за потребление наркотических средств или психотропных веществ без назначения врача либо новых потенциально опасных психоактивных веществ; сведения о трудовом договоре и его исполнении (занимаемые должности, существенные условия труда, сведения об аттестации, специальной оценке условий труда, повышении квалификации и профессиональной переподготовке, поощрениях и наказаниях, видах и периодах отпуска, временной нетрудоспособности, социальных льготах, командировании, рабочем времени, времени отдыха и пр.), а также сведения о других договорах (индивидуальной, коллективной материальной ответственности), в том числе о гражданско-правовых (ученических, оказания услуг, подряда, займа и т. п.), заключаемых в период действия трудового и (или) гражданско-правового договора, иные персональные данные в соответствии с законодательными и иными нормативными правовыми актами Российской Федерации, необходимые для достижения целей в связи с реализацией трудовых отношений.
4.3.2. Члены Совета директоров и Ревизионной комиссии ОАО «ТАСК», не являющиеся работниками ОАО «ТАСК».
В данной категории субъектов ОАО «ТАСК» обрабатываются персональные данные, полученные ОАО «ТАСК» в связи с реализацией корпоративных отношений: фамилия, имя, отчество (в том числе прежние фамилии, имена и (или) отчества, в случае их изменения); число, месяц, год рождения; место рождения; информация о гражданстве (в том числе прежние гражданства, иные гражданства); вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи; адрес места жительства (адрес регистрации, фактического проживания); национальная принадлежность; биометрические персональные данные; номер контактного телефона и (или) сведения о других способах связи, в том числе электронной связи; реквизиты страхового свидетельства государственного пенсионного страхования; идентификационный номер налогоплательщика; реквизиты страхового медицинского полиса обязательного медицинского страхования; реквизиты свидетельства государственной регистрации актов гражданского состояния; семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших мужей (жен); реквизиты водительских удостоверений (при наличии); сведения о трудовой деятельности; отношение к воинской обязанности, сведения о воинском учете и реквизиты документов воинского учета; сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательной организации, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании); сведения об ученой степени; информация о владении иностранными языками, степень владения; сведения о состоянии здоровья и об инвалидности; медицинское заключение по установленной форме об отсутствии у меня заболевания, препятствующего работе по данной специальности, квалификации; данные об изображение лица (фотографии); видеосъемки, видеозаписи; сведения о прохождении государственной гражданской службы, сведения о прежнем месте работы; сведения о пребывании за границей; серия, номер документа, удостоверяющего личность гражданина Российской Федерации за пределами Российской Федерации, наименование органа, выдавшего его, дата выдачи; государственные награды, иные награды и знаки отличия сведения о поощрениях и наказаниях; сведения о профессиональной переподготовке и (или) повышении квалификации; сведения об имущественном положении, доходах, обязательствах имущественного характера; сведения о наличии или отсутствии судимости; сведения о наличии или отсутствии административных наказаний за потребление наркотических средств или психотропных веществ без назначения врача либо новых потенциально опасных психоактивных веществ; номер расчетного счета; иные персональные данные в соответствии с законодательными и иными нормативными правовыми актами Российской Федерации, необходимые для достижения целей в связи с реализацией корпоративных отношений.
4.3.3. Акционеры ОАО «ТАСК», не являющиеся работниками ОАО «ТАСК».
В данной категории субъектов ОАО «ТАСК» обрабатываются персональные данные, полученные ОАО «ТАСК» в связи с реализацией корпоративных отношений с акционерами ОАО «ТАСК» (ведение реестра, проведение собраний акционеров, выплата дивидендов и т.п.): фамилия, имя, отчество (в том числе прежние фамилии, имена и (или) отчества, в случае их изменения); число, месяц, год рождения; место рождения; информация о гражданстве (в том числе прежние гражданства, иные гражданства); вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи; адрес места жительства (адрес регистрации, фактического проживания); номер контактного телефона и (или) сведения о других способах связи, в том числе электронной связи; идентификационный номер налогоплательщика (дата (число, месяц, год) и место постановки на учет, дата (число, месяц, год) выдачи свидетельства); номер расчетного счета; иные персональные данные в соответствии с законодательными и иными нормативными правовыми актами Российской Федерации, необходимые для достижения целей в связи с реализацией корпоративных отношений.
4.3.4. Физические лица, индивидуальные предприниматели – клиенты и контрагенты ОАО «ТАСК».
В данной категории субъектов ОАО «ТАСК» обрабатываются персональные данные, полученные ОАО «ТАСК» в связи с заключением договора, стороной которого является субъект персональных данных, и используемые ОАО «ТАСК» исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных: фамилия, имя, отчество; число, месяц, год рождения; место рождения; информация о гражданстве; вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи; адрес места жительства (адрес регистрации, фактического проживания); номер контактного телефона и (или) сведения о других способах связи, в том числе электронной связи; замещаемая должность; идентификационный номер налогоплательщика (дата (число, месяц, год) и место постановки на учет, дата (число, месяц, год) выдачи свидетельства); сведения об участии в управлении хозяйствующим субъектом (за исключением жилищного, жилищно-строительного, гаражного кооперативов, садоводческого, огороднического, дачного потребительских кооперативов, товарищества собственников недвижимости и профсоюза, зарегистрированного в установленном порядке), занятии предпринимательской деятельностью; номер расчетного счета; иные персональные данные в соответствии с законодательными и иными нормативными правовыми актами Российской Федерации, необходимые для достижения целей в связи с заключением и исполнением договора.
4.3.5. Представители/работники клиентов и контрагентов ОАО «ТАСК» (юридических лиц).
В данной категории субъектов оператором обрабатываются персональные данные, полученные ОАО «ТАСК» в связи с заключением договора, стороной которого является клиент/контрагент (юридическое лицо), и используемые ОАО «ТАСК» исключительно для исполнения указанного договора: фамилия, имя, отчество; число, месяц, год рождения; место рождения; информация о гражданстве; вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи; адрес места жительства (адрес регистрации, фактического проживания); номер контактного телефона и (или) сведения о других способах связи, в том числе электронной связи; замещаемая должность; сведения об участии в управлении хозяйствующим субъектом (за исключением жилищного, жилищно-строительного, гаражного кооперативов, садоводческого, огороднического, дачного потребительских кооперативов, товарищества собственников недвижимости и профсоюза, зарегистрированного в установленном порядке), занятии предпринимательской деятельностью; иные персональные данные в соответствии с законодательными и иными нормативными правовыми актами Российской Федерации, необходимые для достижения целей в связи с заключением и исполнением договора с юридическим лицом (клиентом или контрагентом ОАО «ТАСК»).
4.4. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается:
— в случае, если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
— в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации
4.5. Обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных.
5. Порядок и условия обработки персональных данных
5.1. ОАО «ТАСК» осуществляет обработку персональных данных — операции, совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
5.2. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006г. N 152-ФЗ «О персональных данных».
5.3. Обработка персональных данных должна осуществляться ОАО «ТАСК» на законной и справедливой основе, ограничиваясь достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к конкретным целям их обработки.
5.4. Не допускается:
— обработка персональных данных, несовместимая с целями их сбора;
— объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
5.5. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем:
— получения оригиналов необходимых документов;
— копирования оригиналов документов;
— внесения сведений в учетные формы (на бумажных и электронных носителях);
— формирования персональных данных в ходе кадровой работы;
— внесения персональных данных в систему ОАО «ТАСК».
5.6. ОАО «ТАСК» имеет право проверять достоверность сведений, предоставленных работником и иными субъектами персональных данных. При необходимости затребования персональных данных работника, иных субъектов персональных данных у третьих лиц ОАО «ТАСК» должен уведомить об этом работника, иного субъекта персональных данных и получить от него письменное согласие.
5.7. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
5.8. Ответственным лицом за организацию обработки персональных данных в ОАО «ТАСК» является ведущий специалист группы по кадрам.
Ведущий специалист группы по кадрам:
— осуществляет общий контроль за соблюдением работниками ОАО «ТАСК» мер по защите персональных данных;
— разъясняет работникам ОАО «ТАСК» и иным субъектам персональных данных положения Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных»;
— обеспечивает ознакомление работников ОАО «ТАСК» и иных субъектов персональных данных под личную подпись с локальными нормативными актами, содержащими нормы о защите персональных данных, в частности, с настоящим Положением;
— получает согласие работников ОАО «ТАСК» и иных субъектов персональных данных на обработку их персональных данных по утвержденной форме;
— при отказе работника ОАО «ТАСК» предоставить свои персональные данные, разъясняет работнику юридические последствия такого отказа с подписанием работником утвержденной формы разъяснения;
— истребует с работников ОАО «ТАСК», указанных в п.п. 6.7. – 6.8. настоящего Положения, письменное обязательство о неразглашении информации, содержащей персональные данные, по утвержденной форме;
— принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных персональных данных;
5.9. Доступ к персональным данным субъектов персональных данных, указанных в п.п. 4.3.1. – 4.3.5. настоящего Положения, без получения специального разрешения имеют работники, занимающие следующие должности в ОАО «ТАСК»:
— генеральный директор;
— первый заместитель генерального директора по правовым и экономическим вопросам;
— главный бухгалтер;
— заместитель главного бухгалтера;
— работники отдела учета;
— ведущий специалист группы по кадрам;
— ведущий специалист-офис-менеджер.
5.10. Доступ к персональным данным субъектов персональных данных, указанных в п.п. 4.3.4. – 4.3.5. настоящего Положения, без получения специального разрешения имеют работники, занимающие следующие должности в ОАО «ТАСК»:
— исполнительный директор по торговле;
— начальник оптового отдела (заместитель исполнительного директора по торговле);
— главный экономист;
— юрисконсульт;
— главный инженер;
— главный энергетик;
— начальник управления логистики и перспективного развития;
— начальник отдела сервисного и технического обслуживания автотракторной,
самоходной и сельскохозяйственной техники;
— главный специалист по работе с железной дорогой;
— начальник отдела — заведующая складом;
— ведущий специалист/ механик/диспетчер;
— заведующая складом-магазином;
— заведующая складом;
— старший кладовщик;
— кладовщик.
5.11. При получении сведений, составляющих персональные данные субъектов персональных данных работника, лица, указанные в п.п. 5.8. — 5.9. настоящего Положения, имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций.
5.12. Работники ОАО «ТАСК», указанные в п.п. 5.8. — 5.9. настоящего Положения, подписывают обязательство о неразглашении информации, содержащей персональные данные, по утвержденной форме. 5.13. При заключении договоров с аудиторскими, бухгалтерскими и иными организациями, сотрудники которых получают доступ к персональным данным работников ОАО «ТАСК», в договор вносится условие о неразглашении представителями указанных организаций персональных данных, к которым им был предоставлен доступ.
5.14. ОАО «ТАСК» и лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
5.15. Устанавливаются следующие сроки обработки и хранения персональных данных, обрабатываемых ОАО «ТАСК»:
5.15.1. Персональных данных, обрабатываемых в связи с трудовыми отношениями — в течение действия трудового договора и 75 лет после завершения действия трудового договора;
5.15.2. Персональных данных, обрабатываемых в связи с корпоративными отношениями – 5 лет;
5.15.3. Персональных данных, обрабатываемых в целях осуществления основной деятельности ОАО «ТАСК» — в течение срока действия соответствующего договора и срока исковой давности после его завершения;
5.15.4. Персональных данных кандидатов на вакантные должности, в том числе и тех, кто не был оформлен на работу, но чьи резюме были размещены в базе кандидатов — 1 год с момента вынесения отрицательного решения.
5.16. Персональные данные хранятся на бумажных носителях и на электронных носителях с ограниченным доступом в группе по кадрам, расположенной в приемной ОАО «ТАСК», в специально отведенном шкафу и сейфе, обеспечивающих защиту от несанкционированного доступа. В приемной ОАО «ТАСК» должны быть установлены охранно-пожарная сигнализация и видеонаблюдение. По окончании рабочего дня приемная должна закрываться на ключ и опечатываться, а административное здание сдаваться под охрану.
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, является субъект персональных данных.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5.17. При осуществлении хранения персональных данных ОАО «ТАСК» обязано использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона от 27.07.2006г. N 152-ФЗ «О персональных данных».
Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее — материальные носители), в специальных разделах или на полях форм (бланков). При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
5.18. Условием прекращения обработки персональных данных являются: достижение целей обработки персональных данных; истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных; выявление неправомерной обработки персональных данных.
5.19. ОАО «ТАСК» вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора.
Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006г. N 152-ФЗ «О персональных данных».
При заключении договора поручения на обработку персональных данных, в том числе с третьими лицами, находящимися за пределами Российской Федерации (трансграничная передача) в настоящее Положение вносятся изменения с указанием конкретного наименования и местонахождения соответствующих третьих лиц, цели осуществляемой (трансграничной) передачи, объем передаваемых персональных данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.
5.20. ОАО «ТАСК» вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
5.21. ОАО «ТАСК» и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
5.22. ОАО «ТАСК» принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006г. N 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
Состав и перечень мер ОАО «ТАСК» определяет самостоятельно. К таким мерам, в частности, относится:
— назначение лица, ответственного за организацию обработки персональных данных в ОАО «ТАСК»;
— утверждение настоящего Положения, определяющего политику ОАО «ТАСК» в отношении обработки персональных данных;
— применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006г. N 152-ФЗ «О персональных данных»;
— осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006г. N 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике ОАО «ТАСК» в отношении обработки персональных данных, локальным актам ОАО «ТАСК»;
— оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006г. N 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006г. N 152-ФЗ «О персональных данных»;
— ознакомление работников ОАО «ТАСК», непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику ОАО «ТАСК» в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
5.23. ОАО «ТАСК» при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. К таким мерам в частности относится:
— защита от несанкционированного физического доступа в помещение, где хранится информационная база, защита паролями компьютеров, где установлены и хранятся персональные данные, использование системы паролей в сети Интернет;
— принятие локальных нормативных актов и иных организационно-распорядительных документов ОАО «ТАСК»;
— оборудование административного здания системой охранно-пожарной сигнализации и системой видеонаблюдения.
5.24. Мониторинг работоспособности аппаратных компонентов автоматизированных систем, обрабатывающих персональные данные, осуществляется в процессе их администрирования и при проведении работ по техническому обслуживанию оборудования администратором системы.
Наиболее существенные компоненты системы, имеющие встроенные средства контроля работоспособности (серверы, активное сетевое оборудование), должны контролироваться постоянно в рамках работы администраторов соответствующих систем.
Мониторинг парольной защиты и контроль надежности пользовательских паролей предусматривают:
— периодическую (не реже 1 раза в месяц) проверку пользовательских паролей на количество символов и очевидность с целью выявления слабых паролей, которые легко угадать или дешифровать с помощью специализированных программных средств (взломщиков паролей).
Мониторинг целостности программного обеспечения предусматривает действия по восстановлению системных файлов администраторами систем с резервных копий.
Мониторинг попыток несанкционированного доступа осуществляется с использованием средств операционной системы и специальных программных средств и предусматривает фиксацию неудачных попыток входа в систему в системном журнале;
Мониторинг производительности автоматизированных систем, обрабатывающих персональные данные, производится по обращениям пользователей в ходе администрирования систем и проведения профилактических работ для выявления попыток несанкционированного доступа, повлекших существенное уменьшение производительности систем.
5.25. Системный аудит производится ежеквартально и в особых ситуациях. Системный аудит включает проведение обзоров безопасности. Обзоры безопасности проводятся с целью проверки соответствия текущего состояния систем, обрабатывающих персональные данные, уровню безопасности, удовлетворяющему требованиям политики безопасности.
Обзоры безопасности должны включать:
— отчеты о безопасности пользовательских ресурсов, включающие наличие повторяющихся пользовательских имен и идентификаторов, неправильных форматов регистрационных записей, пользователей без пароля,
— проверку прав доступа и других атрибутов системных файлов;
— проверку правильности настройки механизмов аутентификации и авторизации сетевых сервисов;
— проверку корректности конфигурации системных и активных сетевых устройств.
Активное тестирование надежности механизмов контроля доступа производится путем осуществления попыток проникновения в систему (с помощью автоматического инструментария или вручную).
Пассивное тестирование механизмов контроля доступа осуществляется путем анализа конфигурационных файлов системы.
Информация об известных уязвимостях извлекается из документации и внешних источников, затем осуществляется проверка конфигурации системы с целью выявления опасных состояний системы, т. е. таких состояний, в которых могут проявлять себя известные уязвимости. Если система находится в опасном состоянии, то с целью нейтрализации уязвимостей необходимо либо изменить конфигурацию системы (для ликвидации условий проявления уязвимости), либо установить программные коррекции, либо установить другие версии программ, в которых данная уязвимость отсутствует, либо отказаться от использования системного сервиса, содержащего данную уязвимость.
Внесение изменений в системное программное обеспечение осуществляется администраторами систем, разработкой планов действий в аварийных ситуациях для восстановления работоспособности системы, если внесенное в нее изменение вывело ее из строя.
Для защиты серверов необходимо использовать антивирусные программы:
— резидентные антивирусные мониторы, контролирующие подозрительные действия программ;
— утилиты для обнаружения и анализа новых вирусов.
К использованию допускаются только лицензионные средства защиты от вредоносных программ и вирусов или сертифицированные свободно распространяемые антивирусные средства.
При подозрении на наличие не выявленных установленными средствами защиты заражений следует использовать Live CD с другими антивирусными средствами.
Установка и настройка средств защиты от вредоносных программ и вирусов на серверах автоматизированных систем, обрабатывающих персональные данные, осуществляется администратором системы в соответствии с руководствами по установке приобретенных средств защиты.
Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено администратором системы на отсутствие вредоносных программ и компьютерных вирусов.
Обязательному антивирусному контролю подлежит любая информация (исполняемые файлы, текстовые файлы любых форматов, файлы данных), получаемая пользователем по сети или загружаемая со съемных носителей (магнитных дисков, оптических дисков, флеш-накопителей и т. п.). Контроль информации должен проводиться антивирусными средствами в процессе или сразу после ее загрузки на рабочую станцию пользователя. Файлы, помещаемые в электронный архив, должны в обязательном порядке проходить антивирусный контроль.
Устанавливаемое (изменяемое) на серверы программное обеспечение должно быть предварительно проверено администратором системы на отсутствие компьютерных вирусов и вредоносных программ.
На серверах систем, обрабатывающих персональные данные, необходимо применять специальное антивирусное программное обеспечение, позволяющее:
— осуществлять антивирусную проверку файлов в момент попытки записи файла на сервер;
— проверять каталоги и файлы по расписанию с учетом нагрузки на сервер.
При обнаружении зараженных вирусом файлов администратор системы должен выполнить следующие действия:
— отключить от компьютерной сети рабочие станции, представляющие вирусную опасность, до полного выяснения каналов проникновения вирусов и их уничтожения;
— немедленно сообщить о факте обнаружения вирусов непосредственному начальнику с указанием предположительного источника (отправителя, владельца и т. д.) зараженного файла, типа зараженного файла, характера содержащейся в файле информации, типа вируса и выполненных антивирусных мероприятий.
Если администратор системы подозревает или получил сообщение о том, что его система подвергается атаке или уже была скомпрометирована, то он должен установить:
— факт попытки несанкционированного доступа (НСД);
— продолжается ли НСД в настоящий момент;
— кто является источником НСД;
— что является объектом НСД;
— когда происходила попытка НСД;
— как и при каких обстоятельствах была предпринята попытка НСД;
— точка входа нарушителя в систему;
— была ли попытка НСД успешной;
— определить системные ресурсы, безопасность которых была нарушена;
Для выявления попытки НСД необходимо:
— установить, какие пользователи в настоящее время работают в системе, на каких рабочих станциях;
— выявить подозрительную активность пользователей;
— проверить, что все пользователи вошли в систему со своих рабочих мест, и никто из них не работает в системе необычно долго;
— проверить, что никто из пользователей не выполняет подозрительных программ и программ, не относящихся к его области деятельности.
При анализе системных журналов администратору необходимо произвести следующие действия:
— проверить наличие подозрительных записей системных журналов, сделанных в период предполагаемой попытки НСД, включая вход в систему пользователей, которые должны бы были отсутствовать в этот период времени, входы в систему из неожиданных мест, в необычное время и на короткий период времени;
— проверить, не уничтожен ли системный журнал и нет ли в нем пробелов;
— выявить наличие неудачных попыток входа в систему.
Для обнаружения в системе следов, оставленных злоумышленником, в виде файлов, вирусов, троянских программ, изменения системной конфигурации необходимо:
— составить базовую схему того, как обычно выглядит система;
— провести поиск подозрительных файлов, скрытые файлы, имена файлов и каталогов, которые обычно используются злоумышленниками;
— проверить содержимое системных файлов, которые обычно изменяются злоумышленниками;
— проверить целостность системных программ;
— проверить систему аутентификации и авторизации.
6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
6.1. ОАО «ТАСК» обязано сообщить в порядке, предусмотренном статьей 14 Федерального закона от 27.07.2006г. N 152-ФЗ «О персональных данных», субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
6.2. ОАО «ТАСК» обязано предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, ОАО «ТАСК» обязано внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, ОАО «ТАСК» обязано уничтожить такие персональные данные. ОАО «ТАСК» обязано уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
6.3. В случае подтверждения факта неточности персональных данных ОАО «ТАСК» на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязано уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению ОАО «ТАСК») в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
6.4. ОАО «ТАСК» обязано прекратить обработку персональных данных или обеспечить прекращение обработки персональных данных лицом, действующим по поручению оператора:
— в случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, в срок, не превышающий трех рабочих дней с даты этого выявления;
— в случае отзыва субъектом персональных данных согласия на обработку его персональных данных;
— в случае достижения цели обработки персональных данных и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока ОАО «ТАСК» осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
