Политика обработки персональных данных

1. Общие положения

Настоящая Политика разработана в соответствии со статьями 86-90 ТК РФ, Федеральным Законом от 27.07.2006 № 152-ФЗ "О персональных данных", Постановлением Правительства РФ от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", Постановлением Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Постановлением Правительства РФ от 06.05.2011 №354, Постановлением Правительства РФ от 04.05.2012 №442, а также приказами и методическими документами ФСТЭК России, ФСБ и Мининформсвязи России и иными нормативно- правовыми актами, определяющими правила обработки персональных данных.

1.2. Настоящая Политика определяет:

  • категории субъектов персональных данных, категории персональных данных;

  • цели, принципы и условия обработки персональных данных;

  • права и обязанности АО "Татэнергосбыт" (далее - Общество) и субъекта персональных данных;

  • правовые, организационные, технические и иные меры, принимаемые в АО "Татэнергосбыт" для обеспечения защиты персональных данных.

1.3. Настоящая Политика имеет целью обеспечить соблюдение законных прав и интересов субъектов персональных данных и Общества в связи с необходимостью обработки персональных данных.

1.4. Действие настоящей Политики не распространяется на отношения, возникающие при:

  • организации хранения, комплектования, учета и использования содержащих персональные данные архивных документов Общества в соответствии с законодательством об архивном деле в Российской Федерации;

  • обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

1.5. Выполнение требований данной Политики является обязательным для всех работников Общества.

2. Основные понятия

Персональные данные (далее — ПД) - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Конфиденциальность персональных данных - обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или иного законного основания.

Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц, к которым предоставлен с согласия субъекта персональных данных, или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Информация - сведения (сообщения, данные) независимо от формы их представления.

Потребители - граждане, использующие на праве собственности или ином законном основании жилые и нежилые помещения, земельные участки, приобретающие электрическую энергию (мощность) в целях потребления на коммунально-бытовые нужды и/или для осуществления коммерческой (предпринимательской) деятельности.

3. Категории субъектов персональных данных, категории обрабатываемых персональных данных

3.1. В Обществе осуществляется обработка персональных данных следующих категории субъектов ПД:

  • физические лица, являющиеся соискателями;

  • физические лица, являющиеся кандидатами в работники Общества;

  • физические лица, являющиеся работниками Общества;

  • физические лица, являющиеся бывшими работниками Общества;

  • физические лица, являющиеся родственниками работников Общества;

  • физические лица, являющиеся Потребителями, а также руководителями, участниками (акционерами) или сотрудниками юридического лица, являющегося Потребителем;

  • физические лица, являющиеся Контрагентами, а также руководителями, участниками (акционерами) или сотрудниками юридического лица, являющегося Контрагентом Общества;

  • физические лица, являющиеся аффилированными лицами или руководителями, участниками (акционерами) или сотрудниками юридического лица, являющегося аффилированным лицом по отношению к Обществу;

  • физические лица, ПД которых сделаны ими общедоступными, а их обработка не нарушает их прав и соответствует требованиям, установленным законодательством о персональных данных;

  • иные физические лица, выразившие согласие на обработку Обществом их ПД или физические лица, обработка ПД которых необходима.

Обществу для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей.

3.2. В Обществе обрабатываются следующие категории персональных данных работников: фамилия, имя, отчество, число, месяц, год рождения, место рождения, пол, гражданство, паспортные данные (серия, номер, наименование выдавшего органа, дата выдачи, код подразделения), адрес и дата регистрации по месту жительства, адрес фактического проживания, домашний и рабочий телефоны (в том числе мобильный), адрес электронной почты, ИНН, СНИЛС, военно-учетные данные, номер полиса добровольного медицинского страхования, сведения об образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность), сведения о профессиональной переподготовке, повышении квалификации, ученая степень, ученое звание, информация о владении иностранными языками, степень владения, сведения о трудовой деятельности, информация о наличии/отсутствии судимости, семейное положение, состав семьи, номер ИПС в ННПФ, размер страховых взносов в ННПФ, размер страховых взносов на накопительную часть трудовой пенсии, заключение предварительного/периодического медицинского осмотра (обследования), сведения об инвалидности, результаты психофизиологического обследования и психологического тестирования, фотография, видеозаписи систем видеонаблюдения, занимаемая должность, подразделение, даты приема, перевода, увольнения, табельный номер, оплата труда, размеры премии и доплат, материальной помощи, сведения о наградах и почетных званиях, номера банковских счетов с реквизитами банков, номера пластиковых карточек, данные по аттестации и тестированию.

К общедоступным ПД работников Общества относятся следующие ПД: фамилия, имя, отчество, место работы, должность, подразделение, номер рабочего телефона, адрес корпоративной электронной почты, фотография.

3.3. В Обществе обрабатываются следующие категории персональных данных потребителей и иных лиц: фамилия, имя, отчество, число, месяц, год рождения, паспортные данные (серия, номер, наименование выдавшего органа, дата выдачи, код подразделения), адрес доставки платежного документа, адрес объекта энергоснабжения, адрес электронной почты, контактный телефон, ИНН и другие ПД, обрабатываемые Обществом в соответствии с законодательством РФ, в том числе локальными нормативными актами Общества, с учетом целей обработки ПД, обозначенных в п.4.1. настоящей Политики.

3.4. Перечень ПД, обрабатываемых в Обществе, определяется в соответствии с законодательством Российской Федерации, в том числе локальными нормативными актами Общества, с учетом целей обработки ПД.

3.5. Обработка специальных категорий ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Обществе не осуществляется.

3.6. Персональные данные относятся к сведениям, имеющим конфиденциальный характер (составляющих охраняемую законом тайну Общества). Режим конфиденциальности в отношении ПД снимается:

  • в случае их обезличивания;

  • в случае общедоступных ПД;

  • в иных случаях, предусмотренных действующим законодательством.

4. Цели, принципы и условия обработки персональных данных

4.1. Общество осуществляет обработку персональных данных в следующих целях:

  • заключения, исполнения и прекращения трудовых договоров, организации кадрового учета, исполнения обязательств по трудовым договорам, ведения кадрового делопроизводства, обучения и продвижения по службе, пользования различного вида льготами, контроля количества и качества выполняемой работы, обеспечения соблюдения законов о труде;

  • заключения и исполнения требований налогового законодательства, пенсионного законодательства, страхового законодательства, заполнения первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ и другими нормативными документами;

  • содействия в трудоустройстве, проверки достоверности ПД, контроля результатов прохождения медицинского освидетельствования;

  • предоставления работникам Общества и членам их семей дополнительных гарантий и компенсаций, в том числе негосударственного пенсионного обеспечения, добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;

  • подготовки, заключения, исполнения и прекращения гражданско-правовых договоров;

  • обеспечения пропускного и внутриобъектового режимов на объектах Общества;

  • формирования справочных материалов для внутреннего информационного обеспечения деятельности Общества;

  • проведения мероприятий по взысканию дебиторской задолженности, защита интересов Общества в судебных спорах, выявление и определение круга лиц, являющихся надлежащими должниками/ответчиками при предъявлении требований о взыскании дебиторской задолженности;

  • формирования и обработки расчетных документов для частных лиц и организаций, заключивших договоры с Обществом; ведение в электронном виде базы по лицевым счетам клиентов физических лиц и по договорам юридических лиц; поддержание контактов с субъектом ПД или его законными представителями;

  • содействия членам органов управления в осуществлении ими своих функций; ведение списка аффилированных лиц; выявление заинтересованности указанных лиц в совершаемых Обществом сделках; обеспечение соответствия деятельности Общества в сфере корпоративного управления требованиям правовых норм;

  • проведения Обществом конкурсов, акций, опросов, исследований;

  • улучшения качества услуг, оказываемых Обществом;

  • выявления случаев мошенничества, иных противоправных действий, предотвращения таких противоправных действий в дальнейшем и локализации последствий таких действий;

  • а также для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей;

  • в иных законных целях.

4.2. Обработка персональных данных Обществом осуществляется на основе принципов:

  • законности и справедливости целей и способов обработки ПД;

  • соответствия целей обработки ПД целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Общества;

  • соответствия объема и характера обрабатываемых ПД, способов обработки ПД целям обработки ПД;

  • достоверности ПД, их достаточности для целей обработки, недопустимости обработки ПД, избыточных по отношению к целям, заявленным при сборе ПД;

  • недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих ПД;

  • хранения ПД в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели их обработки;

  • уничтожения по достижении целей обработки ПД или в случае утраты необходимости в их достижении.

4.3. Обработка ПД в Обществе осуществляется на основании условий, определенных законодательством Российской Федерации.

4.4. Обработка ПД в Обществе осуществляется с согласия субъекта персональных данных на обработку его ПД, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.

4.5. Общество без согласия субъекта ПД не раскрывает третьим лицам и не распространяет ПД, если иное не предусмотрено федеральным законом.

4.6. Общество вправе поручить обработку ПД другому лицу с согласия субъекта ПД на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку ПД, цели обработки, обязанность такого лица соблюдать конфиденциальность ПД и обеспечивать безопасность ПД при их обработке, а также требования к защите обрабатываемых ПД в соответствии со статьей 19 Федерального закона «О персональных данных».

4.7. Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

4.8. Обработка ПД в Обществе осуществляется следующими способами:

  • неавтоматизированная обработка ПД;

  • автоматизированная обработка ПД с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

  • смешанная обработка ПД.

4.9. Сроки обработки персональных данных определяются условиями заключаемых договоров, Приказом Минкультуры РФ от 25.08.2010 No558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения» и иными документами.

5. Права и обязанности

5.1. Обработка ПД в Обществе осуществляется на основании:

Конституции Российской Федерации, ст. 86-90 Трудового кодекса Российской Федерации, Федерального закона от 02.05.2006 No 59-ФЗ, «О порядке рассмотрения обращений граждан Российской Федерации», Устава Акционерного Общества «Татэнергосбыт», Постановления Правительства РФ от 06.05.2011 No354, Постановления Правительства РФ от 04.05.2012 No442, согласия соискателя на обработку ПД, согласия посетителя сайта на обработку ПД, согласия работника на обработку ПД, договоров и иными документами, определяющими правила обработки персональных данных.

5.2. Общество имеет право:

  • обрабатывать ПД субъекта персональных данных в соответствии с заявленной целью;

  • требовать от субъекта персональных данных предоставления достоверных ПД, необходимых для исполнения договора, оказания услуги, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных законодательством о персональных данных;

  • ограничить доступ субъекта персональных данных к его персональным данным в случае, если Обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц, а также в иных случаях, предусмотренных законодательством Российской Федерации;

  • обрабатывать общедоступные ПД физических лиц;

  • осуществлять обработку ПД, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации;

  • поручить обработку ПД другому лицу с согласия субъекта персональных данных;

  • предоставлять ПД субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);

  • отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;

  • обрабатывать ПД субъекта без его согласия, в случаях, предусмотренных законодательством.

5.3. Общество при обработке персональных данных обязано соблюдать следующие требования:

  • при определении объема и содержания обрабатываемых ПД Общество должно руководствоваться принципом достаточности по отношению к целям обработки ПД при исполнении своих обязательств перед субъектами персональных данных;

  • Общество не имеет права обрабатывать ПД о членстве в общественных объединениях или профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами;

  • при принятии решений, затрагивающих интересы субъекта персональных данных, Общество не имеет права основываться на информации, полученной исключительно в результате автоматизированной обработки;

  • защита ПД от неправомерного их использования или утраты должна быть обеспечена Обществом за счет его средств в порядке, установленном федеральным законом;

  • Общество несет ответственность за нарушение норм, регулирующих обработку и защиту ПД в соответствии с законодательством.

5.4. Субъект персональных данных имеет право:

  • на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей ПД, за исключением случаев, предусмотренных законодательством РФ.

  • требовать уточнения своих ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

  • требовать перечень своих ПД, обрабатываемых Обществом и источник их получения;

  • получать информацию о сроках обработки своих ПД, в том числе о сроках их хранения;

  • требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его ПД, обо всех произведенных в них исключениях, исправлениях или дополнениях;

  • обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;

  • на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;

  • отозвать свое согласие на обработку ПД.

5.5. Обязанности субъекта персональных данных:

  • передавать Обществу или его представителю комплекс достоверных документированных персональных данных, перечень которых установлен законодательными актами Российской Федерации;

    -

  • своевременно сообщать Обществу об изменении своих ПД.

6. Обеспечение защиты персональных данных

6.1. Общество предпринимает необходимые организационные и технические меры для обеспечения безопасности ПД от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

6.2. Обработка ПД осуществляется с соблюдением конфиденциальности, под которой понимается обязанность не раскрывать третьим лицам и не распространять ПД без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

6.3. Общество обеспечивает конфиденциальность ПД субъекта персональных данных, а также обеспечивает использование ПД исключительно в целях, соответствующих закону, договору или иному соглашению, заключенному с субъектом персональных данных.

6.4. Для защиты персональных данных Общество обязуется соблюдать меры безопасности, в том числе:

  • ограничивать и регламентировать состав работников Общества, функциональные обязанности которых требуют доступа к персональным данным;

  • хранение материальных носителей ПД осуществлять с соблюдением условий, обеспечивающих сохранность ПД и исключающих несанкционированный доступ к ним;

  • выявлять нарушения правил обработки персональных данных.

6.5. Общество осуществляет передачу ПД государственным органам в рамках их полномочий в соответствии с законодательством Российской Федерации.

6.6. Общество несет ответственность перед субъектом персональных данных за действия лиц, которым Общество поручает обработку ПД субъекта персональных данных.

7. Заключительные положения

7.1. Настоящая Политика является общедоступной и подлежит размещению на официальном сайте Общества.

7.2. Настоящая Политика подлежит изменению при изменении действующего законодательства и в иных случаях.

7.3. Контроль исполнения требований настоящей Политики осуществляется директором Общества.

7.4. Ответственность должностных лиц Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту ПД, определяется в соответствии с законодательством Российской Федерации.

7.5. Общество, а также его должностные лица и работники несут гражданско-правовую, административную и иную ответственность за несоблюдение принципов и условий обработки ПД физических лиц, а также за разглашение или незаконное использование ПД в соответствии с законодательством Российской Федерации.