Политика в отношении обработки персональных данных

1. Назначение и область применения

1.1. Политика ПАО НПО «Наука» в отношении обработки персональных данных (далее — Политика) разработана в целях реализации требований пункта 2 части 1 статьи 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (в редакции от 31.12.2017) и действует в отношении всех персональных данных, которые ПАО НПО «Наука» (далее — Общество) получает от субъектов персональных данных.

1.2. Политика распространяется на отношения по обработке персональных данных, возникшие в Обществе и в Производственно-испытательном комплексе — филиале ПАО НПО «Наука» (далее — Филиал), как до, так и после утверждения настоящей Политики.

1.3. Общество публикует Политику в свободном доступе, размещая ее на своем официальном сайте в информационно-телекоммуникационной сети «Интернет».

1.4. Контроль за исполнением требований Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных в Обществе.

2. Состав обрабатываемых персональных данных и категории субъектов, персональные данные которых обрабатываются

2.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (далее — субъект персональных данных).

2.2. Категории субъектов персональных данных, персональные данные которых обрабатываются в Обществе:

2.2.1. работники и бывшие работники Общества и Филиала и их близкие родственники;

2.2.2. кандидаты на замещение вакантных должностей в Обществе и Филиале и их близкие родственники;

2.2.3. клиенты и контрагенты Общества и Филиала (физические лица);

2.2.4. представители/работники клиентов и контрагентов Общества и Филиала (юридических лиц).

3. Правовые основания обработки персональных данных

Общество осуществляет обработку персональных данных субъектов персональных данных, руководствуясь:

3.1. Конституцией Российской Федерации;

3.2. Трудовым кодексом Российской Федерации;

3.3. утверждаемой Политикой;

3.4. локальными нормативными актами Общества, разработанными в развитие утверждаемой Политики;

3.5. договорами, заключаемыми между Обществом и субъектами персональных данных;

3.6. согласиями на обработку персональных данных.

4. Цели обработки персональных данных

В Обществе обрабатываются персональные данные субъектов персональных данных, в целях выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей.

5. Принципы и условия обработки персональных данных

5.1. Обработка персональных данных в Обществе осуществляется на основе принципов:

5.1.1. законности и справедливости целей и способов обработки персональных данных, соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;

5.1.2. соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

5.1.3. достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных избыточных по отношению к целям, заявленным при сборе персональных данных;

5.1.4. недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;

5.1.5. хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;

5.1.6. уничтожение персональных данных либо обезличивание осуществляется по достижении целей их обработки или в случае утраты необходимости в их достижении, если срок хранения персональных данных не установлен законодательством Российской Федерации, другими документами, определяющими такой срок.

5.2. Условия обработки персональных данных в Обществе:

5.2.1. доступ к персональным данным имеют работники Общества, которым это необходимо для исполнения должностных обязанностей. Перечень лиц, имеющих доступ к персональным данным, утверждается приказом Генерального директора Общества;

5.2.3. помещения, в которых обрабатываются персональные данные, оборудуются замковыми устройствами;

5.2.4. для приема посетителей выделяются зоны ожидания, исключающие несанкционированный доступ к обрабатываемым персональным данным.

6. Права и обязанности

6.1. Обязанности Общества в качестве оператора персональных данных:

6.1.2. организовывать обработку персональных данных в Обществе в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» в действующей редакции (далее — Федеральный закон о персональных данных);

6.1.3. обеспечивать защиту персональных данных, обрабатываемых в Обществе, от их неправомерного использования или утраты;

6.1.4. получать персональные данные только у субъекта персональных данных. В случаях, когда персональные данные можно получить только у третьих лиц, делать это исключительно с письменного согласия субъекта персональных данных;

6.1.5. своевременно и в соответствии с требованиями законодательства Российской Федерации реагировать на обращения и запросы субъектов персональных данных, и их законных представителей, а именно:

6.1.5.1. сообщать субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными;

6.1.5.2. в случае отказа, при обращении субъекта персональных данных или его представителя, в предоставлении субъекту персональных данных его персональных данных или информации о наличии в Обществе его персональных данных, давать в письменной форме мотивированный ответ, содержащий ссылку на положение федерального закона, являющееся основанием для такого отказа;

6.1.5.3. предоставлять безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, а также по требованию субъекта персональных данных или его представителя вносить в них необходимые изменения и уничтожать, если они не являются необходимыми для заявленной цели обработки, и принимать разумные меры для уведомления третьих лиц об изменениях в персональных данных, которым, персональные данные этого субъекта были переданы;

6.1.5.4. сообщать в уполномоченный орган по защите прав субъекта персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с момента получения такого запроса;

6.1.5.5. устранять нарушения законодательства, допущенные при обработке персональных данных;

6.1.5.6. уточнять, блокировать и уничтожать персональные данные в случаях, предусмотренных частями 2 - 6 статьи 21 Федерального закона о персональных данных в действующей редакции.

6.2. Права Общества в качестве оператора персональных данных:

6.2.1. принимать локальные нормативные акты в развитие утверждаемой Политики;

6.2.3. предлагать субъекту персональных данных оформить персональное письменное согласие на обработку/передачу персональных данных;

6.2.4. отказывать в предоставлении персональных данных в случаях, предусмотренных частью 6 статьи 14 и частью 2 статьи 20 Федерального закона о персональных данных;

6.2.5. привлекать к дисциплинарной ответственности работников Общества, к должностным обязанностям которых относится обработка персональных данных, за нарушение требований к защите персональных данных.

6.3. Права субъекта персональных данных:

6.3.1. получать информацию, касающуюся обработки его персональных данных в Обществе, в том числе и об источниках их получения;

6.3.2. требовать блокирования или уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, незаконно полученными или не являются необходимыми для заявленной цели обработки;

6.3.3. требовать извещения всех лиц, которым ранее были сообщены недостоверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

6.3.4. обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Обществе в качестве оператора персональных данных при обработке его персональных данных;

6.3.5. отозвать свое согласие на обработку персональных данных;

6.3.6. на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

7. Порядок обработки персональных данных

7.1. Обработка персональных данных в Обществе производится в соответствии с требованиями законодательства Российской Федерации и локальных нормативных актов Общества работниками структурных подразделений Общества и Филиала.

7.2. Обработка персональных данных в Обществе включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

7.3. Обработка персональных данных субъектов персональных данных осуществляется как на бумажных носителях, так и с использованием средств автоматизации (с помощью средств вычислительной техники) путем:

7.3.1. получения оригиналов необходимых документов;

7.3.2. копирования оригиналов документов;

7.3.3. внесения сведений в учетные формы на бумажных и электронных носителях);

7.3.4. формирования персональных данных в ходе кадровой работы;

7.3.5. внесения персональных данных в информационные системы.

7.4. Сбор, запись, систематизация, накопление (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных, а в рамках выполнения требований законодательства о противодействии коррупции — путем получения справок о доходах и обязательствах имущественного характера, в соответствии с установленным в Обществе порядком, определенным локальными нормативными актами Общества.

7.5. Обращения граждан рассматриваются в Обществе в соответствии с законодательством о порядке рассмотрения обращений граждан Российской Федерации и принятыми в соответствие с ним локальными нормативными актами Общества.

7.6. Общество имеет право создавать в качестве источников персональных данных информационные системы, обрабатывающие персональные данные.

7.7. В Обществе используются следующие информационные системы, обрабатывающие персональные данные субъектов персональных данных:

7.7.1. корпоративная электронная почта;

7.7.2. система электронного документооборота;

7.7.3. система согласования проектной документации;

7.7.4. система поддержки рабочего места пользователя;

7.7.5. система нормативно-справочной информации;

7.7.6. система управления закупочной деятельностью;

7.7.7. система управления персоналом;

7.7.8. система контроля удаленным доступом;

7.7.9. корпоративные сайты и информационные порталы.

7.8. При передаче персональных данных субъекта персональных данных, работники Общества, осуществляющие обработку персональных данных, должны соблюдать следующие требования:

7.8.1. не сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных федеральным законом;

7.8.2. не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;

7.8.3. предупредить лиц, получающих персональные данные субъекта персональных данных о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что правило соблюдено. Лица, получающие персональные данные субъекта персональных данных, обязаны соблюдать режим конфиденциальности;

7.8.4. разрешать доступ к персональным данным субъекта персональных данных только лицам, определенным приказом Общества, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;

7.8.5. не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключение тех сведений, которые относятся к вопросу о возможности выполнения работников трудовой функции;

7.8.6. передавать персональные данные субъекта персональных данных представителям субъекта персональных данных в порядке, установленном Трудовым кодексом Российской Федерации, и ограничить эту информацию только теми персональными данными субъекта персональных данных, которые необходимы для выполнения указанными представителями их функций;

7.8.7. передача Обществом персональных данных третьим лицам может допускаться только в случаях, установленных федеральным законом.

7.9. Общество при обращении или по запросу субъекта персональных данных либо его представителя, а также по запросу Роскомнадзора, инициирует блокировку неправомерно обрабатываемых персональных данных этого субъекта с момента обращения или получения запроса на период проверки. В случае выявления неправомерной обработки персональных данных в Обществе или лицом, действующим по поручению Общества, в срок, не превышающий трех рабочих дней с момента этого выявления, в Обществе прекращают неправомерную обработку персональных данных или обеспечивают прекращение неправомерной обработки. В случае если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий десяти рабочих дней с момента выявления неправомерной обработки персональных данных, такие персональные данные уничтожаются в Обществе.

7.10. Общество на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений.

7.11. По достижении цели обработки персональных данных в Обществе обработка персональных данных прекращается и эти персональные данные уничтожаются.

Исключения:

7.11.1. персональные данные должны храниться длительное время в силу требований нормативных правовых актов;

7.11.2. лицо, направившее резюме для рассмотрения себя в качестве кандидатуры для замещения вакантных должностей в Обществе, желает остаться в кадровом резерве Общества.

7.12. В случае отзыва субъектом персональных данных своего согласия на обработку персональных данных в Обществе прекращают их обработку в срок, не превышающий тридцати дней с момента поступления отзыва.

7.14. В Обществе по запросу субъекта персональных данных или его представителя сообщают информацию о наличии персональных данных, относящихся к субъекту. По запросу субъекта персональных данных или его представителя в Обществе знакомят субъекта персональных данных или его представителя с этими персональными данными в течение тридцати дней с момента получения запроса.

7.15. При сборе, обработке и хранении персональных данных хранение и защита персональных данных, как на бумажных, так и на электронных (автоматизированных) носителях информации, осуществляется в порядке, исключающем их утрату или их неправомерное использование.

7.16. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону, факсу, электронной почте.

8. Обеспечение безопасности персональных данных

8.1. При обработке персональных данных в Обществе принимают необходимые правовые, организационные и технические меры или обеспечивают их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных.

8.2. В Обществе назначается лицо, ответственное за организацию обработки персональных данных.

9. Заключительные положения

9.1. Политика является общедоступным документом Общества.

9.2. Политика подлежит изменению в случае принятия нормативных актов, устанавливающих новые требования по обработке и защите персональных данных или внесения изменений в действующие нормативные правовые акты.

9.3. Персональные данные относятся к конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.

9.4. Политика утверждается и вводится в действие приказом Генерального директора Общества и является обязательной для исполнения всеми работниками, имеющими доступ к персональным данным работников.

9.5. Лица, виновные в нарушении правил обработки персональных данных и требований к защите персональных данных работника, установленных действующим законодательством Российской Федерации и Политикой, несут ответственность, предусмотренную законодательством Российской Федерации.