1. Назначение и область применения
1.1. Политика ПАО НПО «Наука» в отношении обработки персональных данных (далее — Политика) разработана в целях реализации требований пункта 2 части 1 статьи 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (в редакции от 31.12.2017) и действует в отношении всех персональных данных, которые ПАО НПО «Наука» (далее — Общество) получает от субъектов персональных данных.
1.2. Политика распространяется на отношения по обработке персональных данных, возникшие в Обществе и в Производственно-испытательном комплексе — филиале ПАО НПО «Наука» (далее — Филиал), как до, так и после утверждения настоящей Политики.
1.3. Общество публикует Политику в свободном доступе, размещая ее на своем официальном сайте в информационно-телекоммуникационной сети «Интернет».
1.4. Контроль за исполнением требований Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных в Обществе.
2. Состав обрабатываемых персональных данных и категории субъектов, персональные данные которых обрабатываются
2.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (далее — субъект персональных данных).
2.2. Категории субъектов персональных данных, персональные данные которых обрабатываются в Обществе:
2.2.1. работники и бывшие работники Общества и Филиала и их близкие родственники;
2.2.2. кандидаты на замещение вакантных должностей в Обществе и Филиале и их близкие родственники;
2.2.3. клиенты и контрагенты Общества и Филиала (физические лица);
2.2.4. представители/работники клиентов и контрагентов Общества и Филиала (юридических лиц).
3. Правовые основания обработки персональных данных
Общество осуществляет обработку персональных данных субъектов персональных данных, руководствуясь:
3.1. Конституцией Российской Федерации;
3.2. Трудовым кодексом Российской Федерации;
3.3. утверждаемой Политикой;
3.4. локальными нормативными актами Общества, разработанными в развитие утверждаемой Политики;
3.5. договорами, заключаемыми между Обществом и субъектами персональных данных;
3.6. согласиями на обработку персональных данных.
4. Цели обработки персональных данных
В Обществе обрабатываются персональные данные субъектов персональных данных, в целях выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей.
5. Принципы и условия обработки персональных данных
5.1. Обработка персональных данных в Обществе осуществляется на основе принципов:
5.1.1. законности и справедливости целей и способов обработки персональных данных, соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
5.1.2. соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
5.1.3. достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных избыточных по отношению к целям, заявленным при сборе персональных данных;
5.1.4. недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
5.1.5. хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
5.1.6. уничтожение персональных данных либо обезличивание осуществляется по достижении целей их обработки или в случае утраты необходимости в их достижении, если срок хранения персональных данных не установлен законодательством Российской Федерации, другими документами, определяющими такой срок.5.2. Условия обработки персональных данных в Обществе:
5.2.1. доступ к персональным данным имеют работники Общества, которым это необходимо для исполнения должностных обязанностей. Перечень лиц, имеющих доступ к персональным данным, утверждается приказом Генерального директора Общества;
5.2.3. помещения, в которых обрабатываются персональные данные, оборудуются замковыми устройствами;
5.2.4. для приема посетителей выделяются зоны ожидания, исключающие несанкционированный доступ к обрабатываемым персональным данным.
6. Права и обязанности
6.1. Обязанности Общества в качестве оператора персональных данных:
6.1.2. организовывать обработку персональных данных в Обществе в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» в действующей редакции (далее — Федеральный закон о персональных данных);
6.1.3. обеспечивать защиту персональных данных, обрабатываемых в Обществе, от их неправомерного использования или утраты;
6.1.4. получать персональные данные только у субъекта персональных данных. В случаях, когда персональные данные можно получить только у третьих лиц, делать это исключительно с письменного согласия субъекта персональных данных;
6.1.5. своевременно и в соответствии с требованиями законодательства Российской Федерации реагировать на обращения и запросы субъектов персональных данных, и их законных представителей, а именно:
6.1.5.1 . сообщать субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными;
6.1.5.2 . в случае отказа, при обращении субъекта персональных данных или его представителя, в предоставлении субъекту персональных данных его персональных данных или информации о наличии в Обществе его персональных данных, давать в письменной форме мотивированный ответ, содержащий ссылку на положение федерального закона, являющееся основанием для такого отказа;
6.1.5.3 . предоставлять безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, а также по требованию субъекта персональных данных или его представителя вносить в них необходимые изменения и уничтожать, если они не являются необходимыми для заявленной цели обработки, и принимать разумные меры для уведомления третьих лиц об изменениях в персональных данных, которым, персональные данные этого субъекта были переданы;
6.1.5.4 . сообщать в уполномоченный орган по защите прав субъекта персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с момента получения такого запроса;
6.1.5.5 . устранять нарушения законодательства, допущенные при обработке персональных данных;
6.1.5.6 . уточнять, блокировать и уничтожать персональные данные в случаях, предусмотренных частями 2 - 6 статьи 21 Федерального закона о персональных данных в действующей редакции.6.2. Права Общества в качестве оператора персональных данных:
6.2.1. принимать локальные нормативные акты в развитие утверждаемой Политики;
6.2.3. предлагать субъекту персональных данных оформить персональное письменное согласие на обработку/передачу персональных данных;
6.2.4. отказывать в предоставлении персональных данных в случаях, предусмотренных частью 6 статьи 14 и частью 2 статьи 20 Федерального закона о персональных данных;
6.2.5. привлекать к дисциплинарной ответственности работников Общества, к должностным обязанностям которых относится обработка персональных данных, за нарушение требований к защите персональных данных.6.3. Права субъекта персональных данных:
6.3.1. получать информацию, касающуюся обработки его персональных данных в Обществе, в том числе и об источниках их получения;
6.3.2. требовать блокирования или уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, незаконно полученными или не являются необходимыми для заявленной цели обработки;
6.3.3. требовать извещения всех лиц, которым ранее были сообщены недостоверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
6.3.4. обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Обществе в качестве оператора персональных данных при обработке его персональных данных;
6.3.5. отозвать свое согласие на обработку персональных данных;
6.3.6. на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
7. Порядок обработки персональных данных
7.1. Обработка персональных данных в Обществе производится в соответствии с требованиями законодательства Российской Федерации и локальных нормативных актов Общества работниками структурных подразделений Общества и Филиала.
7.2. Обработка персональных данных в Обществе включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
7.3. Обработка персональных данных субъектов персональных данных осуществляется как на бумажных носителях, так и с использованием средств автоматизации (с помощью средств вычислительной техники) путем:
7.3.1. получения оригиналов необходимых документов;
7.3.2. копирования оригиналов документов;
7.3.3. внесения сведений в учетные формы на бумажных и электронных носителях);
7.3.4. формирования персональных данных в ходе кадровой работы;
7.3.5. внесения персональных данных в информационные системы.7.4. Сбор, запись, систематизация, накопление (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных, а в рамках выполнения требований законодательства о противодействии коррупции — путем получения справок о доходах и обязательствах имущественного характера, в соответствии с установленным в Обществе порядком, определенным локальными нормативными актами Общества.
7.5. Обращения граждан рассматриваются в Обществе в соответствии с законодательством о порядке рассмотрения обращений граждан Российской Федерации и принятыми в соответствие с ним локальными нормативными актами Общества.
7.6. Общество имеет право создавать в качестве источников персональных данных информационные системы, обрабатывающие персональные данные.
7.7. В Обществе используются следующие информационные системы, обрабатывающие персональные данные субъектов персональных данных:
7.7.1. корпоративная электронная почта;
7.7.2. система электронного документооборота;
7.7.3. система согласования проектной документации;
7.7.4. система поддержки рабочего места пользователя;
7.7.5. система нормативно-справочной информации;
7.7.6. система управления закупочной деятельностью;
7.7.7. система управления персоналом;
7.7.8. система контроля удаленным доступом;
7.7.9. корпоративные сайты и информационные порталы.7.8. При передаче персональных данных субъекта персональных данных, работники Общества, осуществляющие обработку персональных данных, должны соблюдать следующие требования:
7.8.1. не сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных федеральным законом;
7.8.2. не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;
7.8.3. предупредить лиц, получающих персональные данные субъекта персональных данных о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что правило соблюдено. Лица, получающие персональные данные субъекта персональных данных, обязаны соблюдать режим конфиденциальности;
7.8.4. разрешать доступ к персональным данным субъекта персональных данных только лицам, определенным приказом Общества, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;
7.8.5. не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключение тех сведений, которые относятся к вопросу о возможности выполнения работников трудовой функции;
7.8.6. передавать персональные данные субъекта персональных данных представителям субъекта персональных данных в порядке, установленном Трудовым кодексом Российской Федерации, и ограничить эту информацию только теми персональными данными субъекта персональных данных, которые необходимы для выполнения указанными представителями их функций;
7.8.7. передача Обществом персональных данных третьим лицам может допускаться только в случаях, установленных федеральным законом.7.9. Общество при обращении или по запросу субъекта персональных данных либо его представителя, а также по запросу Роскомнадзора, инициирует блокировку неправомерно обрабатываемых персональных данных этого субъекта с момента обращения или получения запроса на период проверки. В случае выявления неправомерной обработки персональных данных в Обществе или лицом, действующим по поручению Общества, в срок, не превышающий трех рабочих дней с момента этого выявления, в Обществе прекращают неправомерную обработку персональных данных или обеспечивают прекращение неправомерной обработки. В случае если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий десяти рабочих дней с момента выявления неправомерной обработки персональных данных, такие персональные данные уничтожаются в Обществе.
7.10. Общество на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений.
7.11. По достижении цели обработки персональных данных в Обществе обработка персональных данных прекращается и эти персональные данные уничтожаются.
Исключения:
7.11.1. персональные данные должны храниться длительное время в силу требований нормативных правовых актов;
7.11.2. лицо, направившее резюме для рассмотрения себя в качестве кандидатуры для замещения вакантных должностей в Обществе, желает остаться в кадровом резерве Общества.7.12. В случае отзыва субъектом персональных данных своего согласия на обработку персональных данных в Обществе прекращают их обработку в срок, не превышающий тридцати дней с момента поступления отзыва.
7.14. В Обществе по запросу субъекта персональных данных или его представителя сообщают информацию о наличии персональных данных, относящихся к субъекту. По запросу субъекта персональных данных или его представителя в Обществе знакомят субъекта персональных данных или его представителя с этими персональными данными в течение тридцати дней с момента получения запроса.
7.15. При сборе, обработке и хранении персональных данных хранение и защита персональных данных, как на бумажных, так и на электронных (автоматизированных) носителях информации, осуществляется в порядке, исключающем их утрату или их неправомерное использование.
7.16. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону, факсу, электронной почте.
8. Обеспечение безопасности персональных данных
8.1. При обработке персональных данных в Обществе принимают необходимые правовые, организационные и технические меры или обеспечивают их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных.
8.2. В Обществе назначается лицо, ответственное за организацию обработки персональных данных.
9. Заключительные положения
9.1. Политика является общедоступным документом Общества.
9.2. Политика подлежит изменению в случае принятия нормативных актов, устанавливающих новые требования по обработке и защите персональных данных или внесения изменений в действующие нормативные правовые акты.
9.3. Персональные данные относятся к конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.
9.4. Политика утверждается и вводится в действие приказом Генерального директора Общества и является обязательной для исполнения всеми работниками, имеющими доступ к персональным данным работников.
9.5. Лица, виновные в нарушении правил обработки персональных данных и требований к защите персональных данных работника, установленных действующим законодательством Российской Федерации и Политикой, несут ответственность, предусмотренную законодательством Российской Федерации.