Юридическая информация

Политика АО «Апатит» в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных

1. Общие положения

1.1.  «Политика АО «Апатит» в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных» (далее – Политика) определяет общие принципы и порядок обработки персональных данных и меры по обеспечению их безопасности в АО «Апатит» (далее – Общество).
Целью Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, четкое и неукоснительное соблюдение требований российского законодательства в области персональных данных.
1.2.  Политика разработана в соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», другими законодательными и нормативными правовыми актами, определяющими порядок работы с персональными данными и требования к обеспечению их безопасности.
1.3.  В Политике используются следующие термины и определения:
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Дата-центр – специализированная организация, предоставляющая услуги по размещению серверного и сетевого оборудования, сдаче серверов (в том числе виртуальных) в аренду, а также подключению к сети Интернет.
Доступ к персональным данным – ознакомление определенных лиц (в том числе работников) с персональными данными субъектов, обрабатываемыми при условии сохранения конфиденциальности этих сведений.
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Контрагент – сторона договора с АО «Апатит».
Конфиденциальность персональных данных – обязанность лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен на основании законодательства субъектом персональных данных либо по его просьбе, в том числе данные, которые подлежат обязательному раскрытию или опубликованию.
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Субъект персональных данных – физическое лицо, к которому относятся персональные данные.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.  Общие требования к обработке персональных данных

2.1.     Статус Общества и категории субъектов, чьи персональные данные обрабатываются Обществом
2.1.1.  Общество является оператором ПДн в отношении ПДн следующих физических лиц:
2.1.1.1.      Работников Общества, с которыми были заключены трудовые договоры, в том числе тех, с которыми трудовые договоры уже расторгнуты (далее – Работники);
2.1.1.2.      Физических лиц, выполняющих работы в интересах Общества в соответствии с заключенными с ними гражданско-правовыми договорами, в том числе тех, с которыми гражданско-правовые договоры уже расторгнуты (далее – Подрядчики);
2.1.1.3.      Близких родственников Работников Общества, обработка ПДн которых предусмотрена законодательством, а также выполняется Обществом (как работодателем) в соответствии с требованиями органов государственного статистического учета (далее – Родственники работников);
2.1.1.4.      Акционеров Общества - физических лиц, чьи ПДн обрабатываются Обществом в соответствии с требованиями законодательства об акционерных обществах, государственной регистрации юридических лиц и законодательством о рынке ценных бумаг (далее - Акционеры);
2.1.1.5.      Лиц, аффилированных с Обществом, чьи ПДн обрабатываются в соответствии с требованиями законодательства о рынке ценных бумаг (далее – Аффилированные лица);
2.1.1.6.      Соискателей вакантных должностей Общества (кандидатов для приема на работу Обществом), представивших лично или через специализированные организации по подбору персонала (кадровые агентства) и специализированные сайты в сети Интернет свои резюме или анкеты, в том числе участников программы привлечения талантливых выпускников и кандидатов на прохождение производственной практики в Обществе (далее – Соискатели);
2.1.1.7.      Представителей контрагентов Общества, с которыми у Общества существуют договорные отношения, с которыми Общество намерено вступить в договорные отношения или которые намерены вступить в договорные отношения с Обществом (далее – Представители контрагентов);
2.1.1.8.      Представителей субъектов ПДн, не являющихся работниками Общества, обращающихся в Общество по поручению и от имени субъектов ПДн (далее – Представители субъектов);
2.1.1.9.      Посетителей охраняемых помещений Общества и его филиалов, обособленных подразделений, которым необходимо оформление разового пропуска для входа на охраняемую территорию (далее – Посетители).
2.1.2.  Общество является лицом, организующим обработку ПДн по поручению других операторов, к которым относятся (не ограничиваясь ими):
2.1.2.1.      Органы власти и государственные внебюджетные фонды, в которые перечисляются средства Работников или средства для зачисления на счета Работников (инспекции Федеральной налоговой службы, территориальные отделения Пенсионного фонда Российской Федерации, Федерального фонда обязательного медицинского страхования, Фонда социального страхования Российской Федерации и др.); 
2.1.2.2.      Военные комиссариаты, профсоюзные органы, которым ПДн предоставляются (передаются) в случаях, предусмотренных законодательством;
2.1.2.3.      Общества, входящие в одну группу лиц с АО «Апатит» в отношении Работников которых (далее – Работники иных обществ, входящих в одну группу лиц с АО «Апатит») Общество ведет кадровый и бухгалтерский учет, оказывает услуги по предоставлению доступа к информационным системам, используемым Работниками этих компаний, организует эксплуатацию системы контроля и управления доступом на охраняемую территорию, обеспечивает функционирование единого телефонного справочника обществ, входящих в одну группу лиц с АО «Апатит», а также выполняет иные действия с их ПДн в соответствии с договорами, заключенными Обществом с этими компаниями, и/или внутренними правилами обществ, входящих в одну группу лиц с АО «Апатит».
Органам власти и государственным внебюджетным фондам, военным комиссариатам и профсоюзным органам ПДн предоставляются (передаются) в объеме, определенном законодательством, соответствующими органами власти и государственными внебюджетными фондами в пределах их полномочий. Специального согласия субъектов на такую передачу ПДн не требуется.
Общества, входящие в одну группу лиц с АО «Апатит», получают согласие в письменной форме на передачу ПДн их работников Обществу для последующей обработки. Общество самостоятельно таких согласий не получает и не предоставляет соответствующую информацию о такой обработке до начала обработки ПДн Работников обществ, входящих в одну группу лиц с АО «Апатит», полагая, что это сделано их работодателями.

2.2. Принципы и цели обработки персональных данных
Обработка ПДн Обществом осуществляется в соответствии со следующими принципами и целями:
2.2.1.      Законность и справедливая основа обработки ПДн. Общество принимает все необходимые меры по выполнению требований законодательства, не обрабатывает ПДн в случаях, когда это не допускается законодательством, не использует ПДн во вред субъектам;
2.2.2.      Ограничение обработки ПДн достижением конкретных, заранее определённых и законных целей. Целями обработки ПДн Обществом являются:
2.2.2.1.      В отношении Работников – соблюдение законов и иных нормативных правовых актов, содействие Работникам в трудоустройстве, получении образования и продвижении по службе, обеспечение личной безопасности Работников, контроль количества и качества выполняемой работы и обеспечения сохранности имущества, расчет и выплата заработной платы, иных вознаграждений, расчет и перечисление налогов и страховых взносов; выполнение требований нормативных правовых актов органов государственного статистического учета, «антикоррупционной» цели, которая соответствует целям, указанным в уведомлении Регулятору: «в целях обеспечения сохранности имущества Общества и своевременного выявления и урегулирования конфликтов интересов в деятельности работников Общества»;
2.2.2.2.      В отношении Подрядчиков - выполнение норм Гражданского кодекса Российской Федерации (далее – РФ), регулирующих договорную работу, и исполнение договоров с Подрядчиками;
2.2.2.3.      В отношении Родственников работников – предоставление Работникам льгот и гарантий, предусмотренных федеральным законодательствам для лиц, имеющих (усыновивших) детей, лиц с семейными обязанностями; выполнение требований нормативных правовых актов органов государственного статистического учета;
2.2.2.4.      В отношении Акционеров - ведение реестра акционеров;
2.2.2.5.      В отношении Аффилированных лиц – ведение учета аффилированных лиц Общества и подготовка списков аффилированных лиц;
2.2.2.6.      В отношении Соискателей – принятие решения о возможности замещения вакантных должностей Соискателями, наиболее полно соответствующими требованиям Общества, привлечение талантливых выпускников и кандидатов на прохождение производственной практики в Обществе;
2.2.2.7.      В отношении Представителей контрагентов – выполнение норм Гражданского кодекса РФ, регулирующих договорную работу, и исполнение договоров с контрагентами;
2.2.2.8.      В отношении Представителей субъектов – выполнение Обществом действий по поручению Представителей субъектов ПДн;
2.2.2.9.      В отношении Посетителей – обеспечение возможности прохода на территорию Общества, его филиалов, обособленных подразделений, в охраняемые помещения лиц, не имеющих постоянных пропусков;
2.2.2.10.      В отношении Работников иных обществ, входящих в одну группу лиц с АО «Апатит» – выполнение поручений обществ, входящих в одну группу лиц с АО «Апатит», об обработке ПДн их Работников в целях ведения кадрового и бухгалтерского учета, оказания услуг по предоставлению доступа к информационным системам, используемым Работниками этих компаний, эксплуатация системы контроля и управления доступом на охраняемую территорию, обеспечение функционирования единого телефонного справочника обществ, входящих в одну группу лиц с АО «Апатит», а также выполнение иных действий с их ПДн в соответствии с договорами, заключенными Обществом с этими компаниями, и/или внутренними правилами обществ, входящих в одну группу лиц с АО «Апатит».
2.2.3.      Обработка только тех ПДн, которые отвечают заранее объявленным целям их обработки. Соответствие содержания и объёма обрабатываемых ПДн заявленным целям обработки. Недопущение обработки ПДн, не совместимой с целями сбора ПДн, а также избыточных по отношению к заявленным целям их обработки ПДн. Общество не собирает и не обрабатывает ПДн, не требующиеся для достижения целей, указанных в п. 2.1.2 Политики, не использует ПДн субъектов в каких-либо целях, отличных от указанных выше.
2.2.4.      Недопущение объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, не совместимых между собой.
2.2.5.      Обеспечение точности, достаточности и актуальности ПДн по отношению к целям обработки ПДн. Общество принимает все разумные меры по поддержанию актуальности обрабатываемых ПДн, включая, но не ограничиваясь, реализацией права каждого субъекта получать для ознакомления свои ПДн и требовать от Общества их уточнения, блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных выше целей обработки.
2.2.6.      Хранение ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен законодательством, договором, стороной которого является субъект ПДн.
2.2.7.      Уничтожение либо обезличивание ПДн по достижении заявленных целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Обществом допущенных нарушений установленного законодательством порядка обработки ПДн, отзыве субъектом согласия на обработку его ПДн, если иное не предусмотрено законодательством или договорами с субъектами.

2.3.  Условия обработки персональных данных
2.3.1.       Обработка ПДн Обществом допускается в следующих случаях:
2.3.1.1.      При наличии согласия субъекта ПДн на обработку его ПДн. Порядок получения Обществом согласия субъекта ПДн определен в разделе 2.5 Политики;
2.3.1.2.      Если обработка ПДн необходима для осуществления и выполнения возложенных законодательством на Общество функций, полномочий и обязанностей. К таким случаям, в том числе, относится, не исчерпывая их, обработка специальных категорий ПДн Работников и Работников иных обществ, входящих в одну группу лиц с АО «Апатит» для достижения целей, предусмотренных трудовым и пенсионным законодательством;
2.3.1.3.      Для исполнения договора, стороной которого является субъект ПДн, для заключения договора по инициативе субъекта ПДн. Такими договорами, не ограничиваясь ими, являются трудовые договоры с Работниками Общества и гражданско-правовые договоры с Подрядчиками; преддоговорной работой является работа по подбору персонала, при которой согласие субъекта на обработку ПДн подтверждается собственноручно заполненной анкетой Соискателя или анкетой (резюме), переданной им Обществу, в специализированную организацию по подбору персонала или размещенной Соискателем на специализированных сайтах в сети Интернет, или присланной Соискателем Обществу по электронной почте;
2.3.1.4.      Если обработка ПДн необходима для осуществления прав и законных интересов Общества или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъектов ПДн;
2.3.1.5.      Если обработка ПДн осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания ПДн;
2.3.1.6.      Если доступ неограниченного круга лиц к ПДн предоставлен субъектом ПДн либо по его просьбе;
2.3.1.7.      Если ПДн подлежат опубликованию или обязательному раскрытию в соответствии с законодательством.
2.3.2.       Общество не раскрывает третьим лицам и не распространяет ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством или договором с субъектом ПДн.
2.3.3.       Общество не обрабатывает ПДн, относящиеся к специальным категориям и касающиеся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья (за исключением сведений, относящихся к вопросу о возможности выполнения Работником трудовой функции и Подрядчиком своих обязанностей по договору), интимной жизни, о членстве Работников и Подрядчиков в общественных объединениях или их профсоюзной деятельности, за исключением случаев, прямо предусмотренных законодательством.
2.3.4.       Обработка ПДн о судимости может осуществляться Обществом исключительно в случаях и в порядке, установленных законодательством.
2.3.5.       Общество обрабатывает биометрические ПДн в целях организации прохода на охраняемую территорию и в охраняемые здания, реализации пропускного и внутриобъектового режимов.
2.3.6.       В случае необходимости передачи ПДн за пределы Российской Федерации такая передача должна осуществляться в соответствии с законодательством Российской Федерации. До начала осуществления трансграничной передачи ПДн необходимо убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу ПДн, обеспечивается адекватная защита прав субъектов ПДн. Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватную защиту прав субъектов ПДн, может осуществляться в случаях:
- наличия согласия в письменной форме субъекта ПДн на такую передачу;
        - предусмотренных международными договорами и законодательством Российской Федерации;
- исполнения договора, стороной которого является субъект ПДн;
- защиты жизни, здоровья, иных жизненно важных интересов субъекта ПДн или других лиц при невозможности получения согласия в письменной форме субъекта ПДн.
2.3.7.       Общество не принимает решения, порождающие юридические последствия в отношении субъекта ПДн или иным образом затрагивающие права и законные интересы субъекта, на основании исключительно автоматизированной обработки ПДн. Данные, имеющие юридические последствия или затрагивающие права и законные интересы субъекта, подлежат перед их использованием проверке со стороны уполномоченных работников Общества.

2.4.  Конфиденциальность персональных данных
2.4.1.   Работниками Общества, получившими доступ к ПДн, должна быть обеспечена конфиденциальность таких данных.
Обеспечение конфиденциальности не требуется в отношении:
- ПДн после их обезличивания;
- общедоступных ПДн.
2.4.2.   Общество вправе с согласия субъекта поручить обработку его ПДн другому лицу, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора, содержащего в качестве существенного условия обязанность лица, осуществляющего обработку ПДн по поручению Общества, соблюдать принципы и правила обработки ПДн, предусмотренные законодательством. Объем передаваемых другому лицу для обработки ПДн и количество используемых этим лицом способов обработки должны быть минимально необходимыми для выполнения им своих обязанностей перед Обществом. В поручении Общества должны быть определены перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
2.4.3.   Общество вправе разместить свои ИСПДн в дата-центре, принадлежащем иному лицу. Если договором с дата-центром доступ персонала дата-центра к ИСПДн Общества не допускается, данное размещение не рассматривается Обществом как поручение дата-центру по обработке ПДн и не требует согласия субъектов.
2.4.4.   В случае, если Общество поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Общество. Лицо, осуществляющее обработку ПДн по поручению Общества, несет ответственность перед Обществом.

2.5.  Согласие субъекта персональных данных на обработку своих персональных данных
2.5.1.  Субъект ПДн принимает решение о предоставлении его ПДн Обществу и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн должно быть конкретным, информированным и сознательным и может предоставляться субъектом в любой позволяющей подтвердить факт его получения форме, если иное не установлено законодательством.
2.5.2.  В случае получения согласия на обработку ПДн от Представителя субъекта полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются Обществом.
2.5.3.  В случае получения Обществом ПДн от контрагента на основании заключенного между ними договора ответственность за правомерность и достоверность ПДн, а также за получение согласия субъектов (их представителей) на передачу их ПДн Обществу несет контрагент, передающий ПДн.
2.5.4.  Общество, получившее ПДн от контрагента, не принимает на себя обязательства по информированию субъектов (их представителей), чьи ПДн ему переданы, о начале обработки ПДн, полагая, что они проинформированы об этом передавшим ПДн контрагентом при заключении договора с субъектом ПДн и/или при получении согласия на такую передачу. Данная обязанность контрагента включается в договор между ним и Обществом.
2.5.5.  Специально выраженного согласия Работника на обработку его ПДн не требуется, т.к. обработка необходима для исполнения трудового договора, стороной которого является Работник-субъект ПДн, за исключением случаев, когда необходимо получение согласия Работника в письменной форме для конкретных случаев обработки ПДн. К случаям, требующим согласия Работника в письменной форме, относятся (не исчерпывая их):
2.5.5.1.      Включение ПДн Работника в общедоступные источники персональных данных, в том числе размещение ПДн Работника на сайте (сайтах) Общества в сети Интернет, если такое размещение прямо не предусмотрено законодательством;
2.5.5.2.      Обработка специальных категорий ПДн, в том числе обработка сведений о состоянии здоровья Работника, не связанных с возможностью выполнения Работником трудовой функции;
2.5.5.3.      Обработка биометрических ПДн Работника;
2.5.5.4.      Получение ПДн Работников у третьих лиц, в том числе – с целью их проверки, а также в случаях, когда данные нельзя получить у самого Работника;
2.5.5.5.      Передача ПДн Работника какой-либо третьей стороне, в том числе передача его ПДн при направлении в служебные командировки, на обучение и повышение квалификации, предоставление ПДн другим обществам, входящим в одну группу лиц с АО «Апатит» и т.п.;
2.5.5.6.      Сообщение ПДн Работника третьим лицам в коммерческих целях, в том числе банкам, открывающим и обслуживающим платежные карты для начисления заработной платы и иных доходов Работника, страховым компаниям, осуществляющим добровольное страхование Работников за счет Общества, как работодателя, удостоверяющим центрам, предоставляющим Работникам сертификаты электронной подписи, используемой в служебных целях и т.п.
Согласие Работника в письменной форме на обработку ПДн, определенную выше в данном пункте Политики, может даваться не в виде отдельного документа, а закрепляться трудовым договором (дополнительным соглашением к нему) при условии включения в него сведений, установленных ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
2.5.6.  Специально выраженного согласия Подрядчика на обработку его ПДн не требуется, т.к. обработка необходима для исполнения гражданско-правового договора, стороной которого является Подрядчик-субъект ПДн, за исключением случаев, когда необходимо получение согласия Подрядчика в письменной форме для конкретных случаев обработки ПДн. К случаям, требующим согласия Подрядчика в письменной форме, относятся случаи, перечисленные в п. 2.5.5 Политики для Работника.
2.5.7.  Специально выраженного согласия Родственников работников не требуется, если обработка их ПДн осуществляется на основании федеральных законов (для получения алиментов, оформления социальных выплат, предоставления льгот и гарантий и пр.), а также выполняется Обществом, как работодателем, в соответствии с требованиями органов государственного статистического учета. Во всех остальных случаях необходимо получение доказываемого (подтверждаемого) согласия Родственников работников на обработку их ПДн Обществом.
2.5.8.  Специально выраженного согласия Акционеров и Аффилированных лиц Общества на обработку их ПДн не требуется, т.к. их обработка в целях, указанных в п. 2.2.2 Политики, необходима для осуществления и выполнения возложенных законодательством на Общество полномочий и обязанностей.
2.5.9.  Специально выраженного согласия Соискателей на обработку их ПДн не требуется, т.к. обработка необходима в целях заключения трудового договора по инициативе Соискателя-субъекта ПДн, за исключением случаев, когда необходимо получение согласия Соискателя в письменной форме для конкретных случаев обработки ПДн.
2.5.10.  ПДн лиц, подписавших договоры с Обществом, содержащиеся в единых государственных реестрах юридических лиц и индивидуальных предпринимателей, являются открытыми и общедоступными, за исключением сведений о номере, дате выдачи и органе, выдавшем документ, удостоверяющий личность физического лица. Охраны их конфиденциальности и согласия субъектов на обработку таких данных не требуется.
Во всех остальных случаях необходимо получение согласия субъектов ПДн, являющихся Представителями контрагентов, за исключением лиц, подписавших договоры с Обществом, предоставивших доверенности на право действовать от имени и по поручению контрагентов Общества и тем самым совершивших конклюдентные действия, подтверждающие их согласие с обработкой ПДн, указанных в тексте договора и (или) доверенности. Согласие у своего работника на передачу его ПДн Обществу и обработку им этих ПДн может получить контрагент. В этом случае получения Обществом согласия субъекта на обработку его ПДн не требуется.
2.5.11.  Согласие Представителя субъекта на обработку его ПДн дается в форме конклюдентных действий, выразившихся в предоставлении доверенности на право действовать от имени и по поручению субъектов ПДн и документа, удостоверяющего его личность.
2.5.12.  Согласие Посетителей на обработку их ПДн дается в форме конклюдентных действий, выражающихся либо в предоставлении своих ПДн, необходимых для входа на охраняемую территорию Общества, либо в форме передачи документа, удостоверяющего личность, работникам службы охраны.
2.5.13.  Работники иных обществ, входящих в одну группу лиц с АО «Апатит», дают своим работодателям согласие на передачу их ПДн Обществу для обработки в целях, указанных в п. 2.2 Политики, в письменной форме порядком, предусмотренным ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
2.5.14.  Согласие субъектов на предоставление их ПДн не требуется при получении Обществом в рамках установленных полномочий мотивированных запросов от органов прокуратуры, правоохранительных органов, органов следствия и дознания, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию в соответствии с компетенцией, предусмотренной законодательством.
Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.
2.5.15.  В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, Общество обязано получить согласие в любой доказываемой форме от субъекта, не являющегося Работником Общества, на предоставление его ПДн и предупредить лиц, получающих ПДн, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.
2.5.16.  Согласие на обработку ПДн, обработка которых не установлена требованиями законодательства или не требуется для исполнения договора с Обществом, стороной которого является субъект ПДн, может быть отозвано субъектом ПДн.
2.5.17.  Во всех случаях обязанность предоставить доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия оснований, указанных в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных», возлагается на Общество.

3.  Права субъекта персональных данных

3.1.      Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн. Субъект ПДн вправе требовать от Общества уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3.2.      Если субъект ПДн считает, что Общество осуществляет обработку его ПДн с нарушением требований законодательства или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов ПДн (Роскомнадзор) или в судебном порядке.
3.3.      Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

4.  Сведения о реализуемых требованиях к защите персональных данных

4.1.       Защита ПДн, обрабатываемых Обществом, обеспечивается реализацией правовых, организационных и технических мер, необходимых и достаточных для обеспечения требований законодательства в области защиты ПДн.
4.2.       Правовые меры включают:
4.2.1. Разработку локальных нормативных актов Общества, реализующих требования законодательства, в том числе Политики Общества в отношении обработки ПДн;
4.2.2. Отказ от любых способов обработки ПДн, не соответствующих целям, заранее предопределенным Обществом.
4.3.       Организационные меры включают:
4.3.1.       Назначение лица, ответственного за организацию обработки ПДн;
4.3.2.       Назначение лица, ответственного за обеспечение безопасности ПДн в ИСПДн;
4.3.3.       Ограничение состава Работников Общества, имеющих доступ к ПДн, и организацию разрешительной системы доступа к ним;
4.3.4.       Ознакомление Работников Общества, непосредственно осуществляющих обработку ПДн, с положениями законодательства о ПДн, в том числе с требованиями к защите ПДн, с Политикой, другими локальными нормативными актами Общества по вопросам обработки ПДн;
4.3.5.       Обучение всех категорий Работников, непосредственно осуществляющих обработку ПДн, правилам работы с ними и обеспечения безопасности обрабатываемых данных;
4.3.6.       Определение в должностных инструкциях Работников Общества обязанностей по обеспечению безопасности обработки ПДн и ответственности за нарушение установленного порядка;
4.3.7.       Регламентацию процессов обработки ПДн;
4.3.8.       Организацию учёта материальных носителей ПДн и их хранения, обеспечивающих предотвращение хищения, подмены, несанкционированного копирования и уничтожения;
4.3.9.       Определение типа угроз безопасности ПДн, актуальных для ИСПДн, с учетом оценки возможного вреда субъектам ПДн, который может быть причинен в случае нарушения требований безопасности, определение уровня защищенности ПДн;
4.3.10.       Определение угроз безопасности ПДн при их обработке в ИСПДн, формирование на их основе модели (моделей) угроз ПДн;
4.3.11.       Размещение технических средств обработки ПДн в пределах охраняемой территории;
4.3.12.       Ограничение допуска посторонних лиц в помещения Общества, недопущение их нахождения в помещениях, где ведется работа с ПДн и размещаются технические средства их обработки, без контроля со стороны работников Общества.
4.4.       Технические меры включают:
4.4.1.      Реализацию требований к защите ПДн при их обработке в ИСПДн, исполнение которых обеспечивает установленные уровни защищенности ПДн;
4.4.2.      Разработку на основе модели угроз системы защиты ПДн для установленных Правительством Российской Федерации уровней защищенности ПДн при их обработке в информационных системах;
4.4.3.      Использование для нейтрализации актуальных угроз средств защиты информации (далее - СЗИ), прошедших процедуру оценки соответствия;
4.4.4.      Оценку эффективности принимаемых мер по обеспечению безопасности ПДн;
4.4.5.      Реализацию разрешительной системы доступа работников к ПДн, обрабатываемым в ИСПДн, и программно-аппаратным и программным СЗИ;
4.4.6.      Регистрацию и учёт действий c ПДН пользователей ИСПДн;
4.4.7.      Выявление вредоносного программного обеспечения (применение антивирусных программ) на всех узлах информационных систем Общества, имеющих соответствующую техническую возможность;
4.4.8.      Безопасное межсетевое взаимодействие (применение межсетевого экранирования);
4.4.9.      Обнаружение вторжений в информационные системы Общества, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности ПДн;
4.4.10.      Шифрование ПДн, передаваемых по незащищенным каналам связи, в том числе через сеть Интернет;
4.4.11.      Восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (систему резервного копирования и восстановления ПДн);
4.4.12.      Периодическое проведение мониторинга действий пользователей, разбирательств по фактам нарушения требований безопасности ПДн;
4.4.13.      Контроль за выполнением настоящих требований (самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации) не реже 1 раза в 3 года.

5.  Заключительные положения

5.1. Иные обязанности и права Общества как оператора ПДн и лица, организующего их обработку по поручению других операторов, определяются законодательством Российской Федерации в области персональных данных.
5.2. Должностные лица и работники Общества, виновные в нарушении норм, регулирующих обработку и защиту ПДн, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством.
 

Мы используем cookie-файлы и иные технологии чтобы повысить удобство работы и предоставлять содержимое сайта в зависимости от ваших предпочтений и собираем статистику, чтобы сделать наш сайт лучше. Чтобы узнать об этом больше, прочтите нашу политику в отношении cookie-файлов.