ПОЛИТИКА АО «ПОЛЮС АЛДАН» в отношении обработки персональных данных

ПОЛИТИКА АО «ПОЛЮС АЛДАН» в отношении обработки персональных данных

02.03.2020 Выкл. Автор Редактор

1. Назначение и область применения

  • В соответствии с подпунктом 2 статьи 3 Федерального закона от 27 июля 2006г. №152-ФЗ «О персональных данных» АО «Полюс Алдан» (далее – Компания) является оператором, то есть юридическим лицом, самостоятельно организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Компания также осуществляет обработку персональных данных по поручению других операторов.
  • Важным условием реализации целей деятельности Компании является обеспечение защиты прав и свобод человека и гражданина – субъекта персональных данных при обработке его персональных данных.
  • В Компании разработаны и введены в действие локальные нормативные акты и документы, устанавливающие порядок обработки и обеспечения безопасности персональных данных, которые обеспечивают соответствие требованиям Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов.
  • Политика Компании в отношении обработки персональных данных (далее – Политика) определяет порядок обработки персональных данных и излагает систему основных принципов, применяемых в отношении обработки персональных данных в Компании.
  • Действие настоящей Политики распространяется на все операции, совершаемые в Компании с персональными данными с использованием средств автоматизации или без их использования.
  • Настоящая Политика обязательна для ознакомления и исполнения всеми лицами, допущенными к обработке персональных данных в Компании, и лицами, участвующими в организации процессов обработки и обеспечения безопасности персональных данных в Компании.
  • Обеспечение неограниченного доступа к настоящей Политике реализуется путем ее публикации на сайте Компании в сети Интернет либо иным способом.

 

2. Термины и сокращения

  • Термины

Термин

Определение

Автоматизированная обработка персональных данных

обработка персональных данных с помощью средств вычислительной техники

Биометрические персональные данные

сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных

Блокирование персональных данных

временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)

Информационная система персональных данных

совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств

Компания

Акционерное общество «Полюс Алдан»

Обработка персональных данных

любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

Общедоступные персональные данные

персональные данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта ПДн или на которые в соответствии с федеральными законами РФ не распространяются требования соблюдения конфиденциальности

Оператор

государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными

Персональные данные

любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Предоставление персональных данных

действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц

Распространение персональных данных

действия, направленные на раскрытие персональных данных неопределенному кругу лиц

Регуляторы

уполномоченный орган по защите прав субъектов ПДн (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, Роскомнадзор), федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности (Федеральная служба безопасности Российской Федерации), федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации (Федеральная служба по техническому и экспортному контролю Российской Федерации)

Специальные категории персональных данных

данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни

Субъект персональных данных

физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных

Трансграничная передача персональных данных

передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу

Уничтожение персональных данных

действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных

  • Сокращения

Сокращение

 

Расшифровка

АО «Полюс Алдан»

 

Акционерное общество «Полюс Алдан»

ИСПДн

 

информационная система персональных данных

ПДн

 

персональные данные

РФ

 

Российская Федерация

ФЗ

 

Федеральный закон

3. Принципы и условия обработки персональных данных в Компании

  • Компания, являясь оператором, осуществляет обработку персональных данных следующих субъектов:
  • соискателей на замещение вакантных должностей (кандидатов) – в составе и сроком, необходимыми для принятия Компанией решения о приеме либо отказе в приеме на работу, а также содействия в трудоустройстве с согласия субъекта персональных данных;
  • работников Компании – в составе и сроком, необходимыми для достижения целей, предусмотренных законодательством РФ, осуществления и выполнения возложенных законодательством РФ на Компанию функций, полномочий и обязанностей (в том числе осуществления кадрового, бухгалтерского, пенсионного, налогового учета, обязательного социального страхования работников), для заключения, исполнения, изменения и расторжения трудового договора, стороной которого является субъект ПДн, а также для предоставления работникам дополнительных гарантий, компенсаций и льгот с согласия субъекта персональных данных;
  • родственников работников Компании – в составе и сроком, необходимыми для достижения целей, предусмотренных законодательством РФ, осуществления и выполнения возложенных законодательством РФ на Компанию функций, полномочий и обязанностей, а также для предоставления работникам Компании дополнительных гарантий, компенсаций и льгот с согласия субъекта персональных данных;
  • иностранных граждан, привлекаемых на работу в РФ – в составе и сроком, необходимыми для оформления въездных документов, оформления документов, необходимых для работы иностранных граждан на территории РФ, правового обеспечения деятельности, связанной с отношениями, осложненными иностранным элементом с согласия субъектов персональных данных;
  • представителей потенциальных и существующих контрагентов Компании – в составе и сроком, необходимыми для заключения, исполнения, изменения и расторжения договоров, ведения коммерческих, финансовых, юридических переговоров, направленных на заключение, исполнение, изменение или расторжение любых не запрещенных действующим законодательством договоров, вне зависимости от результатов таких переговоров, в том числе подготовки, направления, изменения коммерческих предложений, проявления должной степени заботливости и осмотрительности при выборе контрагента, а также для достижения целей, предусмотренных законодательством РФ, осуществления и выполнения возложенных законодательством РФ на Компанию функций, полномочий и обязанностей;
  • посетителей офиса Компании – в составе и сроком, необходимыми для организации прохода посетителей в офис и соблюдения внутриобъектового и пропускного режима на объектах охраны Компании с согласия субъектов персональных данных;
  • пользователей сайтов Компании – в составе и сроком, необходимыми для осуществления информационного обеспечения и предоставления услуг посредством сети Интернет.
    • Сроки обработки персональных данных определены с учетом:
  • установленных целей обработки персональных данных;
  • сроков, указанных в договорах с субъектами персональных данных и в согласиях субъектов персональных данных на обработку их персональных данных;
  • сроков, определенных Приказом Минкультуры РФ от 25 августа 2010г. №558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», а также иными нормативными правовыми актами РФ;
  • сроков хранения документации, установленных внутренними нормативными актами Компании.
    • Компания осуществляет обработку персональных данных на законной и справедливой основе.
    • При обработке персональных данных обеспечиваются их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
    • Компания не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных (если иное не предусмотрено федеральным законом РФ).
    • В Компании не создаются общедоступные источники персональных данных.
    • Компания осуществляет обработку специальных категорий персональных данных. При этом Компания выполняет все требования к обработке специальных категорий персональных данных, предусмотренные Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных».
    • Компания осуществляет обработку биометрических персональных данных. При этом Компания выполняет все требования к обработке биометрических персональных данных, предусмотренные Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных»
    • Компания не осуществляет трансграничную передачу персональных данных.
    • Компания не осуществляет обработку персональных данных в целях продвижения товаров, работ и услуг Компании на рынке.
    • В Компании не осуществляется принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных.
    • Компания поручает обработку персональных данных другим лицам. При этом Компания выполняет все требования к поручению обработки персональных данных, предусмотренные Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных».
    • Компания осуществляет обработку персональных данных с использованием средств автоматизации и без их использования. При этом Компания выполняет все требования к автоматизированной и неавтоматизированной обработке персональных данных, предусмотренные Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

4. Права субъектов персональных данных, обрабатываемых в Компании

  • Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных. Для получения указанной информации субъект персональных данных может отправить письменный запрос по месту нахождения Компании в порядке, установленном ст.14 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных».
  • Субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Для реализации указанных требований субъект персональных данных может отправить письменный запрос по месту нахождения Компании в порядке, установленном ст.21 Федерального закона от 27 июля 2006г. №152-ФЗ «О персональных данных».

5. Исполнение обязанностей оператора Компанией

  • Компания получает персональные данные от субъектов персональных данных и от третьих лиц (лиц, не являющихся субъектами персональных данных). При этом Компания выполняет обязанности, предусмотренные Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных» при сборе персональных данных.
  • Компания прекращает обработку персональных данных в следующих случаях:
  • по достижении целей их обработки, либо в случае утраты необходимости в достижении этих целей;
  • по требованию субъекта персональных данных, если обрабатываемые в Компании персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • в случае выявления неправомерной обработки персональных данных, если обеспечить правомерность обработки персональных данных невозможно;
  • в случае отзыва субъектом персональных данных согласия на обработку его персональных данных (если персональные данные обрабатываются Компанией на основании согласия субъекта персональных данных);
  • устранены причины, вследствие которых осуществлялась обработка персональных данных, если иное не установлено федеральным законом;
  • в случае ликвидации Компании.
    • В Компании для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, приняты следующие меры:
  • назначен Ответственный за организацию обработки персональных данных;
  • изданы локальные акты по вопросам обработки и обеспечения безопасности персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений:
    • Положение об обработке персональных данных;
    • Положение об организации и обеспечении защиты персональных данных
    • другие локальные акты по вопросам обработки и обеспечения безопасности персональных данных.
  • применены правовые, организационные и технические меры по обеспечению безопасности персональных данных;
  • осуществляется внутренний контроль соответствия обработки персональных данных требованиям Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, настоящей Политики, локальных актов Компании;
  • проведена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований федерального законодательства о персональных данных, произведено соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных требованиями Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов;
  • работники Компании, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, настоящей Политики и локальных актов Компании по вопросам обработки персональных данных, а также обязуются не разглашать обрабатываемые персональные данные путем подписания соответствующего обязательства.
    • В Компании реализуются следующие требования к защите персональных данных:
  • определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
  • применены организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
  • используются средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, если использование таких средств необходимо для нейтрализации актуальных угроз
  • проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • осуществляется учет машинных носителей персональных данных;
  • осуществляется обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;
  • осуществляется восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установлены правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечены регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  • осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
  • реализованы требования, установленные Постановлением Правительства РФ от 15 сентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

6. Нормативные ссылки

Настоящий документ разработан в соответствии с:

  • Конвенцией Совета Европы №108 о защите личности в связи с автоматической обработкой персональных данных;
  • Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных».

7. Порядок внесения изменений

Настоящая Политика подлежит актуализации в случаях:

  • изменения законодательства РФ о персональных данных;
  • выявления несоответствий, затрагивающих обработку и (или) защиту ПДн, по результатам контроля выполнения требований по обработке и (или) защите ПДн;
  • по решению руководства Компании.

8. Список приложений

 

Номер приложения

Наименование приложения

Примечание

1.      

Лист ознакомления

Включено в настоящий документ

 

 

 

Приложение №1

к Политике АО «Полюс Алдан» в отношении обработки персональных данных

 

Лист ознакомления

 

С приказом ознакомлены:

Работники, допущенные к обработке ПДн

Лица, участвующие в организации процессов обработки ПДн

 

 

 

 

(ФИО)

(Дата)

(Подпись)

 

 

 

(ФИО)

(Дата)

(Подпись)

 

 

 

(ФИО)

(Дата)

(Подпись)

 

(ФИО)

(Дата)

(Подпись)

 

 

 

(ФИО)

(Дата)

(Подпись)

 

 

 

(ФИО)

(Дата)

(Подпись)

 

(ФИО)

(Дата)

(Подпись)

 

 

 

(ФИО)

(Дата)

(Подпись)

 

 

 

(ФИО)

(Дата)

(Подпись)