Соглашение на обработку персональных данных
Последнее обновление: 30 ноября 2020 г.
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1 Целью настоящей Политики является защита персональных данных клиентов и контрагентов Акционерного общества «Энергоресурс» (далее – «Компании») от несанкционированного доступа, неправомерного их использования или утраты.
1.2 Настоящее Положение разработано в соответствии с Конституцией РФ, Федеральным законом от 27.07.2006 № 152 — ФЗ «О персональных данных», Федеральным законом № 115 — ФЗ, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информатизации, информационных технологиях и о защите информации», Постановлениями Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», иными нормативными актами, действующими на территории Российской Федерации.
1.3 В настоящем Положении используются следующие термины и определения:
Оператор – АО «Энергоресурс», вступившее в договорные отношения с клиентом или контрагентом, или оказывающее услуги физическому лицу, юридическому лицу или индивидуальному предпринимателю.
Клиент – физическое лицо, юридическое лицо в лице уполномоченного представителя, индивидуальный предприниматель либо его уполномоченный представитель, вступившие в договорные отношения с Компанией.
Контрагент – физическое лицо, юридическое лицо в лице уполномоченного представителя, индивидуальный предприниматель либо его уполномоченный представитель, вступившие в договорные отношения с Компанией по вопросам хозяйственной деятельности.
Персональные данные Клиента – информация, необходимая Оператору в связи с договорными отношениями и касающаяся конкретного Клиента, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, паспортные данные, социальное положение, имущественное положение, образование, профессия, специальность, занимаемая должность, доходы, ИНН, сведения ВУС, СНИЛС, сведения о трудовом и общем стаже, адрес электронной почты, телефон, место работы или учебы членов семьи и родственников, состав декларируемых сведений о наличии материальных ценностей, содержание декларации, подаваемой в налоговую инспекцию, налоговый статус (резидент/нерезидент), иные сведения указанные заявителем.
Персональные данные Контрагента – информация, необходимая Оператору в связи с договорными отношениями и касающаяся конкретного Контрагента, в том числе фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, паспортные данные, социальное положение, имущественное положение, образование, профессия, специальность, занимаемая должность, доходы, ИНН, сведения ВУС, СНИЛС, сведения о трудовом и общем стаже, адрес электронной почты, телефон, место работы или учебы членов семьи и родственников, состав декларируемых сведений о наличии материальных ценностей, содержание декларации, подаваемой в налоговую инспекцию, налоговый статус (резидент/нерезидент), иные сведения указанные заявителем.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Субъект персональных данных – Клиент, Контрагент.
Защита персональных данных Клиента, Контрагента – деятельность Компании по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно– технических мер конфиденциальности информации.
Конфиденциальность персональных данных – обязательное для соблюдения лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.4 Действие настоящей Политики распространяется на всех Клиентов и Контрагентов Компании.
2. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1 В целях обеспечения прав и свобод человека и гражданина, Компанией и (или) ее представителями при обработке персональных данных должны соблюдаться следующие общие требования:
2.1.1 Обработка персональных данных должна осуществляться на законной и справедливой основе, исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия выполнения договорных обязательств в соответствии с законодательством РФ;
2.1.2 Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.1.3 Получение Компанией персональных данных может осуществляться как путем представления их самим клиентом, путем заполнения форм на сайте Компании, так и путем получения их из иных источников.
2.1.4 Персональные данные получаются Компанией непосредственно у самого клиента, контрагента. Компания должна сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.
2.1.5 Компания не имеет права получать и обрабатывать персональные данные клиента, контрагента о его политических, религиозных и иных убеждениях и частной жизни.
2.1.6 Компания не имеет право получать и обрабатывать персональные данные клиента, контрагента о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.
2.2 Использование персональных данных возможно только в соответствии с целями, определившими их получение. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено действующим законодательством Российской Федерации.
2.3 При идентификации клиента или контрагента Компания может затребовать предъявление документов, удостоверяющих личность и подтверждающих полномочия представителя.
2.4 При заключении договора, как и в ходе выполнения договора может возникнуть необходимость в предоставлении клиентом или контрагентом иных документов, содержащих информацию о нем нормативных правовых актов, содействия выполнения договорных обязательств в соответствии с законодательством РФ;
2.5 После принятия решения о заключении договора или представления документов, подтверждающих полномочия представителя, а так же впоследствии, в процессе выполнения договора, содержащего персональные данные клиента или контрагента, так же будут относиться:
— договоры;
— служебные записки;
— приказы о допуске представителей клиента, контрагента;
— разовые или временные пропуска;
— другие документы, где включение персональных данных клиента или контрагента необходимо.
2.6 Передача персональных данных возможна только с согласия клиента, контрагента или в случаях, прямо предусмотренных законодательством Российской Федерации.
2.6.1 При передаче персональных данных Компания должна соблюдать следующие требования:
— не сообщать персональные данные третьей стороне без письменного согласия клиента, контрагента за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью клиента, контрагента, а также в случаях, установленных законодательством Российской Федерации;
— не сообщать персональные данные в коммерческих целях без письменного согласия клиента;
— предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
— Лица, получающие персональные данные, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными в порядке, установленном законодательством Российской Федерации;
— разрешать доступ к персональным данным только специально уполномоченным лицам, определенным приказом руководителя Компании, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций.
2.6.2 Передача персональных данных от Компании и (или) ее представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
2.6.3 При передаче персональных данных внешним потребителям (в том числе и в коммерческих целях) Компания не должна сообщать эти данные третьей стороне без письменного согласия клиента или контрагента за исключением случаев, установленных законодательством Российской Федерации.
2.7 Все меры конфиденциальности при сборе, обработке и хранении персональных данных распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
2.8 Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.
2.9 Хранение персональных данных осуществляется в порядке, исключающем их утрату или их неправомерное использование.
2.10 Период хранения и обработки персональных данных определяется в соответствии с Законом «О персональных данных». Обработка персональных данных начинается с момента поступления персональных данных в информационные системы персональных данных и прекращается:
— в случае выявления неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с даты такого выявления, Компания устраняет допущенные нарушения. В случае невозможности устранения допущенных нарушений, Компания в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, уничтожает персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Компания уведомляет субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, Компания уведомляет также указанный орган;
— в случае достижения цели обработки персональных данных Компания незамедлительно прекращает обработку персональных данных и уничтожает соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, и уведомляет об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных;
— в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Компания прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва. Об уничтожении персональных данных Компания уведомляет субъекта персональных данных.
2.11 Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее – поручение оператора).
2.12 Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
2.13 В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
3. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
3.1 Список лиц, допущенных к обработке персональных данных (далее «Список») и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение правил обработки персональных данных, определяется и утверждается руководителем Компании.
3.2 Работники Компании выполняют действия по обработке персональных данных в соответствии с возложенными на работников функциями.
3.3 Доступ к персональным данным предоставляется только лицам, указанным в Списке Компании (штатном расписании АО «Энергоресурс» ).
3.4 Работники имеют доступ на ввод и коррекцию персональных данных в пределах, определенных должностными обязанностями.
3.5 Лица, получившие доступ к персональным данным, должны хранить в тайне известные им сведения конфиденциального характера и информировать Подразделение ИБ об утечке персональных данных, о фактах нарушения порядка обращения с ними, о попытках несанкционированного доступа к персональным данным.
3.6 Лица, получившие доступ к персональным данным, должны использовать эти данные лишь в целях, для которых они сообщены, обязаны соблюдать режим конфиденциальности и дать Обязательство о неразглашении персональных данных.
4. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1 Все работники, имеющие доступ к персональным данным, обязаны подписать соглашение о неразглашении персональных данных.
4.2 Защита персональных данных от неправомерного их использования или утраты обеспечивается Оператором в порядке, установленном законодательством РФ.
4.3 Клиенты или контрагенты до предоставления своих персональных данных должны иметь возможность ознакомиться с настоящей Политикой.
4.4 Защите подлежит:
— информация о персональных данных субъекта;
— документы, содержащие персональные данные субъекта;
— персональные данные, содержащиеся на электронных носителях.
4.5 Оператор назначает ответственного за организацию обработки персональных данных.
4.6 Оператор принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 года №152-ФЗ «О персональных данных»
4.7 Оператор осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных, согласно Федеральному закону от 27.07.2006 года №152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора.
4.8 По возможности персональные данные должны быть обезличены.
4.9 Порядок уничтожения персональных данных. Ответственным за уничтожение персональных данных является уполномоченное лицо, назначаемое приказом директора. Уполномоченное лицо является председателем комиссии Компании по уничтожению персональных данных. Назначение комиссии по уничтожению персональных данных производится приказом директора.
5. ПРАВА И ОБЯЗАННОСТИ КЛИЕНТОВ И КОНТРАГЕНТОВ
5.1 В целях обеспечения защиты персональных данных, хранящихся у Оператора, клиенты и контрагенты имеют право на:
5.1.1 Полную информацию о составе персональных данных и их обработке, в частности клиент или контрагент имеет право знать, кто и в каких целях использует или использовал информацию о его персональных данных.
5.1.2 Свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные клиента или контрагента, за исключением случаев, предусмотренных законодательством РФ.
5.1.3 Определение своих представителей для защиты своих персональных данных.
5.1.4 Требование об исключении или исправлении неверных, или неполных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для Оператора персональных данных. При отказе Оператора исключить или исправить персональные данные клиента или контрагента он имеет право заявить в письменной форме Оператору о своем несогласии с соответствующим обоснованием такого несогласия.
5.1.5 Требование об извещении Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные клиента или контрагента, обо всех произведенных в них исключениях, исправлениях или дополнениях.
5.1.6 Обжалование в суд любых неправомерных действий или бездействия Оператора при обработке и защите его персональных данных.
5.2. В целях обеспечения достоверности персональных данных, клиент и контрагент обязан:
5.2.1 При заключении договора предоставить Оператору полные и достоверные данные о себе;
5.2.2 В случае изменения сведений, составляющих персональные данные клиента или контрагента, незамедлительно, но не позднее пяти рабочих дней, предоставить данную информацию Оператору.
6. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ, СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
6.1 Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
6.2 Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.
6.3 Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.