Политика обработки персональных данных

Акционерное общество
«Кукморский завод Металлопосуды»

Общие положения

Настоящая Политика обработки персональных данных (далее — Политика) является документом, определяющим политику в АО «Кукморский завод Металлопосуды» (далее — Оператор) в отношении обработки персональных данных.

Политика разработана в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) и другими нормативно-правовыми актами в целях обеспечения защиты прав и свобод Субъектов персональных данных при обработке Оператором их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Основные понятия, используемые в Политике:

• Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту персональных данных);
• Персональные данные, разрешенные Субъектом персональных данных для распространения — персональные данные, доступ неограниченного круга лиц к которым предоставлен Субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных им для распространения в порядке, предусмотренном Законом о персональных данных;
• Оператор – АО «Кукморский завод Металлопосуды»;
• Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
• Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
• Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных);
• Уничтожение персональных данных — действия, в результате которых становится невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
• Обезличивание персональных данных — действия, в результате которых становится невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному Субъекту персональных данных;
• Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
• Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Права и обязанности Субъекта персональных данных

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

• подтверждение факта обработки персональных данных Оператором;
• правовые основания и цели обработки персональных данных;
• цели и применяемые Оператором способы обработки персональных данных;
• наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему Субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления Субъектом персональных данных прав, предусмотренных Законом о персональных данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
• информацию о способах исполнения Оператором обязанностей, установленных ст. 18.1 Закона о персональных данных;
• иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами.

Указанные сведения должны быть предоставлены Субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим Субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Право Субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе в случаях, указанных в ч. 8 ст. 14 Закона о персональных данных.

Если Субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Закона о персональных данных или иным образом нарушает его права и свободы, то он вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Субъект персональных данных также обладает иными правами, предусмотренными Законом о персональных данных и иными нормативно-правовыми актами.

Субъекты персональных данных обязаны исполнять обязанности, предусмотренные Законом о персональных данных и иными нормативно-правовыми актами.

Права Оператора

Оператор вправе:

• самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено этим законом или другими федеральными законами;
• в порядке, установленном ч. 3 ст. 6 Закона о персональных данных, поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом. Лицо, осуществляющее обработку персональных данных по поручению Оператора, не обязано получать согласие Субъекта персональных данных на такую обработку;
• в случае отзыва Субъектом персональных данных согласия на обработку персональных данных продолжить такую обработку без согласия Субъекта при наличии оснований, указанных в п. 2 - 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона о персональных данных.

Оператор обладает иными правами, предусмотренными Законом о персональных данных и иными нормативно-правовыми актами.

Обязанности Оператора

При сборе персональных данных Оператор обязан:

• предоставить Субъекту персональных данных по его просьбе информацию, предусмотренную ч. 7 ст. 14 Закона о персональных данных;
• разъяснить Субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку, если в соответствии с федеральным законом предоставление персональных данных и (или) получение Оператором согласия на их обработку являются обязательными;
• до начала обработки персональных данных, полученных не от Субъекта персональных данных, предоставить последнему следующую информацию: наименование либо фамилия, имя, отчество и адрес Оператора или его представителя; цель обработки персональных данных и ее правовое основание; перечень персональных данных; предполагаемые пользователи персональных данных; установленные Законом о персональных данных права Субъекта персональных данных; источник получения персональных данных. Оператор освобождается от обязанности предоставить Субъекту персональных данных указанные сведения в случаях, предусмотренных ч. 4 ст. 18 Закона о персональных данных;
• обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в п. 2, 3, 4, 8 ч. 1 ст. 6 Закона о персональных данных.

Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Политикой, Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами.

Оператор обязан ознакомить своих работников, непосредственно осуществляющих обработку персональных данных, с Политикой и локальными актами по вопросам обработки персональных данных.

Оператор обязан также исполнять иные обязанности, предусмотренные Законом о персональных данных и иными нормативно-правовыми актами.

Цели обработки персональных данных

Обработка персональных данных, в том числе их сбор, осуществляется Оператором в целях:

• осуществления трудовых и иных непосредственно связанных с трудовыми отношений Оператора с его работниками и соискателями, в том числе ведения кадрового и бухгалтерского учета, содействия в трудоустройстве (подбор персонала), соблюдения трудового законодательства;
• заполнения и передачи в уполномоченные органы требуемых форм отчетности, соблюдения налогового законодательства;
• осуществления хозяйственной деятельности Оператора, в том числе заключения, исполнения и прекращения договоров с контрагентами Оператора;
• обеспечения пропускного режима.

Правовые основания обработки персональных данных

Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет такую обработку. К ним относятся:

• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете";
• Федеральный закон от 15.12.2001 N 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации";
• Федеральный закон от 26.12.1995 N 208-ФЗ "Об акционерных обществах";
• иные федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора;
• устав Оператора;
• договоры, заключаемые между Оператором и Субъектами персональных данных;
• согласие Субъекта персональных данных на обработку его персональных данных.

Объем и категории обрабатываемых персональных данных. Категории субъектов персональных данных

К Субъектам персональных данных, на которых распространяется действие настоящей Политики, относятся:

• работники Оператора;
• их родственники (члены их семей);
• соискатели (кандидаты для приема на работу к Оператору);
• бывшие работники Оператора;
• клиенты и контрагенты Оператора (физические лица);
• представители клиентов и контрагентов Оператора (юридических лиц).

Состав (объем) персональных данных по категориям Субъектов персональных данных

К персональным данным работников, включая бывших работников:

• фамилия, имя, отчество, дата и место рождения, пол, сведения о гражданстве;
• место постоянной и временной регистрации, место фактического проживания;
• вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование выдавшего его органа;
• ИНН;
• номер СНИЛС;
• сведения о семейном положении, составе семьи, реквизиты свидетельства о регистрации брака, свидетельства о рождении ребенка;
• реквизиты полиса ОМС;
• сведения о трудовой деятельности;
• сведения о воинской обязанности, реквизиты военного билета;
• сведения об образовании, включая реквизиты документов об образовании;
• номер телефона, адрес электронной почты;
• специальные категории персональных данных — сведения о состоянии здоровья;
• биометрические персональные данные — фотографическое изображение Субъекта персональных данных.

К персональным данным соискателя:

• фамилия, имя, отчество, дата и место рождения, пол, сведения о гражданстве;
• место постоянной и временной регистрации, место фактического проживания;
• вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование выдавшего его органа;
• сведения о трудовой деятельности;
• сведения об образовании;
• номер телефона, адрес электронной почты;
• специальные категории персональных данных — сведения о состоянии здоровья;
• биометрические персональные данные — фотографическое изображение Субъекта персональных данных.

К персональным данным родственников работников:

• фамилия, имя, отчество, дата и место рождения, пол, сведения о гражданстве;
• место регистрации и проживания;
• реквизиты свидетельства о браке (для супруга/супруги), свидетельства о рождении (для ребенка);
• СНИЛС (для супруга/супруги, ребенка);
• номер телефона.

К персональным данным клиентов и контрагентов (физических лиц) и их представителей:

• фамилия, имя, отчество, дата и место рождения, пол, сведения о гражданстве;
• место регистрации и проживания;
• документ, удостоверяющий личность;
• реквизиты документа, удостоверяющего полномочия действовать от имени клиента или контрагента;
• номер телефона, адрес электронной почты;
• биометрические персональные данные — фотографическое изображение Субъекта персональных данных, видеопрезентация с участием Субъекта персональных данных.

Порядок и условия обработки персональных данных

Обработка персональных данных должна осуществляться с соблюдением следующих принципов:

• персональные данные должны обрабатываться на законной и справедливой основе;
• обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей;
• обеспечивается точность, достаточность и актуальность персональных данных;
• хранение персональных данных — не дольше, чем этого требуют цели обработки или закон.

Не допускается:

• обработка персональных данных, несовместимая с целями их сбора;
• объединение баз данных с несовместимыми целями обработки;
• избыточность обрабатываемых данных.

Обработка осуществляется с согласия Субъекта, за исключением случаев, установленных законодательством. Согласие должно быть конкретным, информированным и однозначным. Специальные и биометрические данные обрабатываются только с письменного согласия.

Персональные данные обрабатываются как с использованием средств автоматизации, так и без них.

Данные размещаются в следующих информационных системах:

• 1С: ЗУП — для работников;
• «1С: Комплексная автоматизация» — для клиентов и контрагентов;
• «СБИС Контур» — для контрагентов и представителей;
• отдельные системы для соискателей и иных лиц.

Оператор осуществляет следующие действия с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.

Передача третьим лицам — только с письменного согласия Субъекта либо по требованию уполномоченных органов в соответствии с законом.

Трансграничная передача персональных данных не осуществляется.

Персональные данные граждан РФ хранятся только на территории РФ.

Хранение персональных данных

Персональные данные хранятся в течение срока, установленного законодательством РФ.

Данные, обрабатываемые без автоматизации, обособляются от иной информации, фиксируются на отдельных носителях.

Используются отдельные носители для разных категорий персональных данных.

Оператор обеспечивает раздельное хранение и защиту от несанкционированного доступа.

Соблюдение конфиденциальности и меры по защите персональных данных

Оператор не раскрывает и не распространяет персональные данные без согласия Субъекта, если иное не предусмотрено законом.

Принимаются правовые, организационные и технические меры защиты, включая:

• определение угроз безопасности;
• применение сертифицированных средств защиты;
• ведение учета носителей;
• обнаружение и ликвидация последствий несанкционированного доступа;
• обеспечение восстановления данных;
• установление правил доступа и ведение журналов;
• контроль за мерами защиты.

Соблюдаются требования Постановления Правительства РФ от 01.11.2012 №1119 и Приказа ФСТЭК России от 18.02.2013 №21.

При неавтоматизированной обработке соблюдаются требования Постановления Правительства РФ от 15.09.2008 №687.

Актуализация (уточнение), удаление и уничтожение персональных данных. Ответы на запросы субъектов на доступ к персональным данным

Актуализация: в течение 7 рабочих дней после подтверждения неточности.

Блокирование: в случае обращения Субъекта или выявления неточностей — до устранения причин.

Прекращение обработки: в течение 3–10 рабочих дней в зависимости от основания.

Уничтожение: в течение 7–30 рабочих дней в зависимости от обстоятельств.

Подтверждение уничтожения: Акт об уничтожении персональных данных и/или выгрузка из журнала. Документы хранятся 3 года.

Ответы на запросы и обращения Субъектов персональных данных

Субъекты вправе направлять запросы на:

• получение сведений по ст. 14 Закона о ПД;
• ознакомление с имеющимися ПД;
• уточнение, блокирование или уничтожение ПД;
• прекращение обработки.

Оператор отвечает в течение 10 рабочих дней (с возможностью продления на 5 дней).

Запрос должен содержать:

• данные документа, удостоверяющего личность;
• сведения, подтверждающие участие в отношениях с Оператором;
• подпись.

Запрос может быть подан в электронной форме с ЭП.

В случае отказа — мотивированный письменный ответ с ссылкой на закон.

Заключительные положения

Политика вступает в силу с момента подписания и применяется к отношениям, возникшим после её введения.

Оператор вправе принимать локальные нормативные акты и вносить изменения в настоящую Политику.