Утверждена
приказом АО «ЯрЭСК»
от 31.12.2021 № 445
Политика АО «ЯрЭСК» в отношении обработки персональных данных
1. Общие положения
1.1. Настоящая Политика АО «ЯрЭСК» в отношении обработки персональных данных (далее - Политика) определяет основные принципы и цели обработки персональных данных.
1.2. Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» с учетом требований иных законодательных и нормативных правовых актов Российской Федерации в области персональных данных.
1.3. Настоящая Политика действует в отношении всех персональных данных, которые АО «ЯрЭСК» может получить от субъектов персональных данных.
1.4. Настоящая Политика распространяется на персональные данные, полученные как до, так и после утверждения настоящей Политики.
1.5. Для целей реализации настоящей Политики используются следующие основные термины и определения:
1.5.1. Блокирование персональных данных - временное прекращение обработки персональных данных.
1.5.2. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.5.3. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
1.5.4. Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
1.5.5. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
1.5.6. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
1.5.7. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2. Правовые основания обработки персональных данных
АО «ЯрЭСК» осуществляет обработку персональных данных субъектов, руководствуясь Конституцией Российской Федерации, статьями 86-90 Трудового кодекса Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», иными нормативными правовыми актами в области персональных данных.
3. Цели обработки персональных данных
АО «ЯрЭСК» обрабатывает персональные данные субъектов персональных данных в следующих целях:
- осуществление функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на АО «ЯрЭСК», в том числе по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, и в иные государственные органы;
- осуществление функций работодателя, регулирования трудовых отношений с работниками АО «ЯрЭСК»;
- предоставление работникам АО «ЯрЭСК» и членам их семей дополнительных гарантий и компенсаций, в том числе негосударственного пенсионного обеспечения, добровольного медицинского страхования и других видов социального обеспечения;
- защита жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
- заключение, исполнение и прекращение гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами в случаях, предусмотренных законодательством Российской Федерации и Уставом АО «ЯрЭСК»;
-
формирование справочных материалов для внутреннего информационного обеспечения деятельности
структурных и обособленных подразделений
АО «ЯрЭСК»;
- исполнение судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- осуществление прав и законных интересов АО «ЯрЭСК» в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами АО «ЯрЭСК», или третьих лиц либо достижения общественно значимых целей, в том числе при заключении договоров на технологические присоединения к сетям и при участии в закупочной деятельности Общества;
- в иных законных целях.
4. Состав обрабатываемых персональных данных и категории субъектов персональных данных
4.1. Перечень персональных данных, обрабатываемых в АО «ЯрЭСК», определяется в соответствии с законодательством Российской Федерации и Положением о порядке обработки персональных данных работников АО «ЯрЭСК», с учетом целей обработки персональных данных, указанных в п. 3 настоящей Политики.
4.2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в АО «ЯрЭСК» не осуществляется, за исключением случаев, предусмотренных законодательством Российской Федерации.
4.3. АО «ЯрЭСК» обрабатывает персональные данные следующих категорий субъектов персональных данных:
- работников АО «ЯрЭСК», в том числе бывших работников АО «ЯрЭСК»;
- близких родственников работников АО «ЯрЭСК»;
- кандидатов на замещение вакантных должностей в АО «ЯрЭСК»;
- физических лиц (посетителей), обратившихся в АО «ЯрЭСК»;
- представителей и работников контрагентов АО «ЯрЭСК»;
- иных субъектов персональных данных (для обеспечения реализации целей обработки, указанных в п. 3 настоящей Политики).
5. Права и обязанности
5.1. Права и обязанности АО «ЯрЭСК»:
5.1.1. АО «ЯрЭСК» имеет право:
- предоставлять персональные данные субъектов третьим лицам, если это предусмотрено законодательством Российской Федерации (налоговые, правоохранительные органы и др.);
- отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством Российской Федерации;
- использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством Российской Федерации;
- на осуществление иных прав, предусмотренных федеральными законами и иными нормативными правовыми актами в области персональных данных.
5.1.2. АО «ЯрЭСК» обязано принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006№ 152-ФЗ «О персональных данных» и иными нормативными правовыми актами Российской Федерации в области персональных данных.
5.2. Права субъекта персональных данных.
Субъект персональных данных имеет право:
- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- требовать перечень своих персональных данных, обрабатываемых АО «ЯрЭСК», и информацию об источнике(ах) их получения;
- получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
- обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
- на осуществление иных прав, предусмотренных законодательством Российской Федерации в области персональных данных.
6. Принципы и условия обработки персональных данных
6.1. Обработка персональных данных в АО «ЯрЭСК» осуществляется на основе принципов:
- законности и справедливости целей и способов обработки персональных данных, соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям АО «ЯрЭСК»;
- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели их обработки;
- уничтожения по достижении целей обработки персональных данных и в случае утраты необходимости в их достижении;
- иных принципов, предусмотренных законодательством Российской Федерации.
6.2. Обработка персональных данных в АО «ЯрЭСК» осуществляется на следующих условиях:
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных;
- без согласия субъекта персональных данных персональные данные третьим лицам не раскрываются и не распространяются, если иное не предусмотрено федеральным законом;
- АО «ЯрЭСК» вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора;
- в целях внутреннего информационного обеспечения АО «ЯрЭСК» может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных, которые могут идентифицировать человека;
- на иных условиях, предусмотренных законодательством Российской Федерации.
7. Обеспечение безопасности персональных данных
7.1. Оператор при обработке персональных данных принимает необходимые и достаточные организационные и технические меры или обеспечивает их принятие, предусмотренные законодательством в области защиты персональных данных, для защиты персональных данных, требующих обеспечения конфиденциальности, от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней третьих лиц.
7.2. Меры по обеспечению безопасности персональных данных при их обработке, применяемые Оператором, планируются и реализуются в целях обеспечения соответствия требованиям законодательства в области персональных данных и принятым в соответствии с ним нормативным правовым актам.
7.3. Обеспечение безопасности персональных данных достигается, в частности:
- назначением ответственных за организацию обработки персональных данных;
- разработкой и внедрением локальных нормативных правовых актов по вопросам обработки персональных данных;
- определением угроз безопасности персональных данных при их обработке в информационных системах;
- применением организационных и технических мер по обеспечению безопасности персональных данных;
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- учетом машинных носителей информации;
- установление правил доступа к персональным данным;
- ограничение доступа в помещения, где размещены технические средства, осуществляющие обработку персональных данных, а также хранятся носители информации;
- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
- внесением персональных данных, не являющихся общедоступными (требующими соблюдения конфиденциальности) в перечень конфиденциальной информации Оператора;
- получением обязательства о неразглашении сведений конфиденциального характера, в том числе персональных данных, со всех работников Оператора, непосредственно участвующих в обработке персональных данных;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, локальными нормативными правовыми актами по вопросам обработки персональных данных;
- контролем за принимаемыми мерами по обеспечению безопасности персональных данных.
7.4. Внутренний контроль за соответствием обработки персональных данных законодательству и принятым в соответствии с ним нормативным правовым актам осуществляется в порядке, установленном постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
7.5. Базы данных Оператора находятся на территории Российской Федерации.
8. Заключительные положения
8.1. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов Российской Федерации, в том числе специальных нормативных актов по обработке и защите персональных данных.
8.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, установленных законодательством Российской Федерации несут ответственность, предусмотренную законодательством Российской Федерации.
