Приложение № 5 к Стандарту обработки и защиты
персональных данных АО «Новосибирскэнергосбыт»
ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
АО «Новосибирскэнергосбыт»
1. Термины и определения
Информационная система персональных данных (ИСПДн) |
Информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без их использования. |
Конфиденциальность персональных данных |
Обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания. |
Несанкционированный доступ к информации (НСД) |
Доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами. |
Обработка персональных данных |
Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. |
Оператор персональных данных |
Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. |
Персональные данные |
Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). |
Уничтожение персональных данных |
Действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных. |
2. Общие положения
2.1 Настоящая Политика в отношении обработки персональных данных (далее – Политика) является локальным нормативным актом АО «Новосибирскэнергосбыт» и составлена в соответствии с п. 2 ст. 18.1 Федерального закона РФ «О персональных данных» от 27 июля 2006 года №152-ФЗ и действует в отношении всех персональных данных, обрабатываемых АО «Новосибирскэнергосбыт» (далее – Оператор).
2.2 Целью настоящей Политики является:
- соблюдение законодательства РФ о персональных данных;
- создание нормативной основы для регулирования процессов обработки персональных данных Оператором.
2.3 В качестве субъектов персональных данных выступают Клиенты, являющиеся стороной по гражданско-правовому договору с Оператором, либо физические лица, персональные данные которых передаются Оператору с целью обеспечения приёма платежей поставщиками услуг по договорам об оказании услуг по информационно- технологическому взаимодействию, а также физические лица, состоящие с Оператором в регулируемых трудовым законодательством отношениях.
2.4 Политика распространяется на персональные данные полученные как до, так и после утверждения настоящей Политики.
2.5 Каждый работник Оператора, осуществляющий обработку персональных данных, должен быть ознакомлен с настоящей Политикой, что должно быть подтверждено собственноручной подписью работника в листе ознакомления.
3. Персональные данные, обрабатываемые Оператором
3.1 Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
3.2 Персональные данные являются информацией особой важности, которая подлежит защите, как Оператором, так и его контрагентами, которым эти данные передаются.
3.3 Собственником информационных ресурсов (персональных данных) является субъект персональных данных, в полном объеме реализующий полномочия владения, пользования, распоряжения этими ресурсами.
3.4 Оператор осуществляет обработку персональных данных работников, состоящих в трудовых отношениях с Оператором, физических лиц, состоящих в договорных и иных гражданско-правовых отношениях с Оператором и пользующихся услугами Оператора, и иных физических лиц в соответствии с нормативно-правовыми актами, являющимися основанием обработки персональных данных.
3.5 Правовым основанием обработки персональных данных являются:
- ст. 23, 24 Конституция РФ;
- ст.85-89, гл. 39 Трудового кодекса Российской Федерации;
- гл. 19, ст. 382, 539 – 548, 523 Гражданского кодекса РФ;
- Федеральный закон РФ «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ;
- Федеральный закон РФ «О персональных данных» от 27.07.2006 № 152-ФЗ;
- ст. 37, 39 Федерального закона «Об электроэнергетике» от 26.03.2003 № 35-ФЗ;
- Федеральный закон «Об акционерных обществах» от 26.12.1995 № 208-ФЗ;
- Федеральный закон «О бухгалтерском учете» от 21.11.1996 №129;
- п. 19, 69 Постановления Правительства РФ «О предоставлении коммунальных услуг собственникам и пользователям помещений в многоквартирных домах и жилых домов» от 06.05.2011 № 354;
- Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера» от 06.03.1997 № 188;
- Правила недискриминационного доступа к услугам по передаче электрической энергии и оказания этих услуг, Правила недискриминационного доступа к услугам по оперативно-диспетчерскому управлению в электроэнергетике и оказания этих услуг, Правила недискриминационного доступа к услугам администратора торговой системы оптового рынка и оказания этих услуг и Правила технологического присоединения энергопринимающих устройств потребителей электрической энергии, объектов по производству электрической энергии, а также объектов электросетевого хозяйства, принадлежащих сетевым организациям и иным лицам, к электрическим сетям, утвержденными постановлением Правительства Российской Федерации от 27.12.2004 №861;
- Приказ Министерства Финансов Российской Федерации от 02.07.2010 №124н «О внесении изменений в формы бухгалтерской отчетности организаций»;
- пункты 71, 73, 129, 167 Основных положений функционирования розничных рынков электрической энергии, утвержденных постановлением Правительства от 4 мая 2012 г. № 442;
- Постановление Федеральной комиссии по рынку ценных бумаг «Об утверждении положения о порядке и сроках хранения документов акционерных обществ» от 16.07.2003 № 03-33/ПС;
- Приказ Министерства здравоохранения и социального развития «Об утверждении перечней вредных и (или) опасных производственных факторов и работ, при выполнении которых проводятся обязательные предварительные и периодические медицинские осмотры (обследования), и Порядка проведения обязательных предварительных и периодических медицинских осмотров (обследований) работников, занятых на тяжелых работах и на работах с вредными и (или) опасными условиями труда» от 12.04.2012 №302н;
- Приказ Министерства энергетики Российской Федерации «Об утверждении требований к энергетическому паспорту, составленному по результатам обязательного энергетического обследования, и энергетическому паспорту, составленному на основании проектной документации, и правил направления копии энергетического паспорта, составленного по результатам обязательного энергетического обследования» от 19.04.2010 №182;
- Постановление Правительства Российской Федерации «Об утверждении положения о воинском учете» от 27.11.2006 №719;
- Приказ Министерства энергетики Российской Федерации «О ведомственных наградах Министерства энергетики Российской Федерации» от 14.07.2008 №11 (с изменениями от 02.12.2008);
- cт. 324.1. Положения о бухгалтерском учете, утвержденного приказом Минфина России от 13.12.2010 г. № 167н;
- ст. 230 Налогового кодекса РФ;
- Регламент ведения договоров электроснабжения АО «Новосибирскэнергосбыт», утверждённый приказом №1685 от 07.11.2012;
- Порядок обучения по охране труда и проверке знаний требований охраны труда работников организации, утвержденным постановлением Министерства труда и социального развития Российской Федерации от 13.01.2003г №1/29;
- Правила работы с персоналом в организациях электроэнергетики РФ от 2005г (утв. Федеральной службой по экологическому, технологическому и атомному надзору);
- Приказ Министерства культуры Российской Федерации «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения» от 25.08.2010г. №558;
- Устав Общества;
- Положение о персонале АО «Новосибирскэнергосбыт»;
- договоры оказания услуг по передаче электроэнергии. Договоры купли-продажи электрической энергии для целей компенсации потерь в сетях;
- Коллективный договор АО «Новосибирскэнергосбыт»;
- Положение о пропускном и внутриобъектовом режимах на объектах АО «Новосибирскэнергосбыт» (здания Орджоникидзе, 32, Некрасова, 54);
- договоры об оказании услуг по информационно-технологическому взаимодействию с поставщиками услуг;
- договоры на оказание услуг по использованию расчётного комплекса «Сирена ЕЕ».
- иные договоры заключенные между Оператором и субъектом персональных данных;
- иные правовые акты РФ.
Оператор производит обработку персональных данных следующих субъектов персональных данных:
1) работников Оператора состоящих в трудовых отношениях с Оператором;
2) субъектов, персональные данные которых получены Оператором в связи с заключением договора, стороной которого является субъект персональных данных;
3) акционеров Оператора;
4) субъектов, однократно проходящим на территорию, на которой находится Оператор, в целях обеспечения пропускного и внутриобъектового режимов в административном здании Оператора;
5) субъектов (руководителей, иных представителей) юридических лиц;
6) субъектов-кандидатов на трудоустройство;
7) представителей юридических лиц, на объектах которых осуществляются работы по энергетическому аудиту;
8) субъектов, персональные данные которых получены Оператором в связи с заключением договоров об оказании услуг по информационно-технологическому взаимодействию (проведением платежей).
9) субъектов, персональные данные которых получены Оператором в связи с заключением договоров об оказании услуг по использованию расчётного комплекса «Сирена ЕЕ».
3.6 К персональным данным относятся:
- все биографические сведения (фамилия, имя, отчество, дата рождения, место рождения);
- пол;
- телефонный номер;
- адрес регистрации/местожительства;
- паспортные данные (серия, номер, дата выдачи, кем выдан);
- место работы и занимаемая должность;
- иные сведения, позволяющие по совокупности определить, идентифицировать субъекта персональных данных.
3.7 Для субъектов персональных данных, состоящих с Оператором в трудовых отношениях, на основании трудового кодекса, Оператор обрабатывает следующие сведения:
- все биографические сведения (фамилия, имя, отчество, дата рождения, место рождения);
- пол;
- телефонный номер;
- адрес регистрации/места жительства;
- паспортные данные (серия, номер, дата выдачи, кем выдан);
- место работы и занимаемая должность;
- контактные номера телефонов;
- номер страхового свидетельства государственного пенсионного страхования;
- величину пенсионных отчислений;
- данные по отчислениям в ПФР;
- сведения о доходах;
- данные о расчетных ведомостях по работнику;
- ИНН;
- сведения о налогах;
- сведения по страхованию работников Оператора, в том числе суммы страхования и размер страховых премий, перечисленных Оператором в страховую организацию;
- информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);
- информация о трудовом стаже (место работы, должность, период работы, причины увольнения);
- семейное положение и состав семьи (муж/жена, дети);
- информация о знании иностранных языков;
- сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);
- данные об аттестации работников;
- данные о повышении квалификации;
- данные о наградах, медалях, поощрениях, почетных званиях;
- информация о приеме на работу, перемещении по должности, увольнении;
- информация об отпусках;
- информация о беременности;
- сведения о социальных льготах;
- реквизиты (серия, номер) документов, подтверждающих наличие социальных льгот;
- группа инвалидности;
- причина инвалидности;
- степень ограничений трудовой деятельности;
- срок действия инвалидности;
- иные сведения, позволяющие по совокупности определить, идентифицировать субъекта персональных данных;
- информация о сумме потребления услуг Столовой.
3.8 К персональным данным субъектов, имеющих с Оператором договорные отношения, стороной которого является субъект персональных данных относятся:
- ФИО;
- дата рождения;
- адрес регистрации
- дата регистрации;
- адрес объекта предоставления услуги энергоснабжения;
- паспортные данные (серия, номер, кем и когда выдан);
- номер и дату выдачи правоустанавливающих документов на объект недвижимости;
- площадь квартиры;
- количество комнат;
- информация по задолженности;
- номер лицевого счета (текущие показания, сумма начислений и оплат);
- количество проживающих;
- контактный номер телефона;
- адрес объекта энергоснабжения;
- данные свидетельства о регистрации индивидуального предпринимателя.
3.9 К персональным данным субъектов акционеров Оператора
- ФИО;
- паспортные данные (серия, номер, кем и когда выдан);
- дата рождения;
- адрес регистрации;
- адрес проживания;
- почтовый адрес;
- начисление дивидендов;
- выдача дивидендов;
- ИНН;
3.10 К персональным данным субъектов Юридических лиц-потребителей:
- ФИО;
- должность;
- паспортные данные (номер, кем и когда выдан);
- адрес регистрации.
3.11 К персональным данным субъектов-кандидатов на трудоустройство:
- ФИО;
- контактные телефоны;
- адрес проживания;
- образование;
- семейное положение;
- адрес электронной почты.
- гражданство
3.12 К персональным данным представителей юридических лиц, на объектах которого осуществляются работы по энергетическому аудиту:
- ФИО;
- должность;
- номера телефонов;
- номера факсов;
- пройденное обучение;
- документ об образовании;
- сведения об аттестации;
3.13 К персональным данным субъектов, однократно посещающих территорию Оператора относятся:
- фамилия;
- инициалы.
3.14 К персональным данным плательщиков относятся:
- ФИО;
- паспортные данные;
- дата и время проведения платежа;
- уникальный код абонента (лицевой счет, штрих-код, ИНН);
- номер чека или квитанции.
3.15 К персональным данным лиц, которым оказываются дополнительные услуги, относятся:
- ФИО;
- паспортные данные;
- контактные телефоны;
- адрес регистрации;
- адрес электронной почты;
- СНИЛС.
3.16 К документам, содержащим персональные данные, относятся:
- паспорт или иной документ, удостоверяющий личность;
- трудовая книжка;
- страховое свидетельство государственного пенсионного страхования;
- свидетельство о постановке на учёт в налоговый орган и присвоения ИНН;
- документы воинского учёта;
- документы об образовании, о квалификации или наличии специальных знаний или специальной подготовки;
- личные данные работников Оператора (унифицированная форма №Т-2 (утверждена Постановлением Госкомстата России от 05.01.2004 № 1);
- анкета;
- автобиография;
- медицинское заключение о состоянии здоровья;
- листки нетрудоспособности;
- справки о беременности;
- документы, содержащие сведения о заработной плате, доплатах и надбавках;
- приказы о приеме лица на работу, об увольнении, а также о переводе лица на другую должность;
- договоры с потребителями;
- другие документы, содержащие сведения, предназначенные для использования в служебных целях.
3.17 Срок обработки персональных данных определяется целью сбора персональных данных.
3.18 В случае получения согласия субъекта персональных данных на обработку его персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи, персональные данные хранятся в течение 10 лет.
4. Цели сбора и обработки персональных данных
4.1 Оператор осуществляет сбор и обработку персональных данных необходимых для оказания услуг, определенных соглашением и/или договором с субъектом персональных данных.
4.2 Оператор может использовать персональные данные в следующих целях:
- соблюдение требований трудового законодательства и работа с персоналом;
- организация воинского учета;
- формирование кадрового резерва;
- обеспечение пропускного режима;
- соблюдение законодательства регламентирующего деятельность акционерных обществ;
- исполнение договорных обязательств;
- взаимодействие с потребителями;
- противодействие легализации (отмывания) доходов, полученных преступным путем, и финансирование терроризма;
- взаимодействие с контрагентами по хозяйственным договорам;
- хранение оригиналов и копий документов, архивное хранение;
- обеспечение приёма платежей и расчётов, направленных на исполнение денежных обязательств перед поставщиком услуг.
4.3 Оператор собирает и хранит персональные данные работника, необходимые для исполнения условий трудового договора и осуществления прав и обязанностей в соответствии с трудовым, налоговым и гражданским законодательством.
5. Принципы и условия обработки персональных данных, передача персональных данных третьим лицам
5.1 Обработка персональных данных должна осуществляться на основе следующих принципов:
5.1.1 При обработке персональных данных работника Оператор руководствуется Трудовым кодексом Российской Федерации, Федеральным законом РФ «О персональных данных» от 27 июля 2006 года №152-ФЗ и настоящей Политикой.
5.1.2 Обработка персональных данных должна осуществляться на законной и справедливой основе.
5.1.3 Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
5.1.4 Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
5.1.5 При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
5.1.6 Обработка персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни не допускается, за исключением случая получения согласия в письменной форме субъекта персональных данных, и иных случаев, предусмотренных ч.2 ст.10 Федерального закона РФ «О персональных данных» от 27 июля 2006 года №152-ФЗ.
5.1.7 Обработкой персональных данных занимаются только те сотрудники, которые имеют соответствующий допуск к работе, а также обработка предусмотрена их должностными обязанностями.
5.1.8 Доступ к информационным системам, содержащим персональные данные, защищен паролями и иными мерами предусмотренными Федеральным законом РФ «О персональных данных» от 27 июля 2006 года №152-ФЗ.
5.1.9 Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи осуществляется только при условии получения предварительного письменного согласия субъекта персональных данных.
5.1.10 Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
5.1.11 При изменении персональных данных субъект персональных данных уведомляет оператора о таких изменениях в 10-дневный срок.
5.1.12 Все персональные данные получаются непосредственно от субъекта персональных данных, либо иных лиц предусмотренных законодательством Российской Федерации. Субъект персональных данных самостоятельно принимает решение о предоставление своих персональных данных и дает письменное согласие на их обработку
Оператором.
5.1.13 Если персональные данные возможно получить только у третьей стороны, Субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие передающей стороной.
5.1.14 В случаях, когда Оператор осуществляет обработку персональных данных по поручению третьей стороны, Оператор не обязан получать согласие субъекта персональных данных на обработку его персональных данных.
5.2 Оператор вправе передать персональные данные третьим лицам в следующих случаях:
- субъект персональных данных явно выразил свое согласие на такие действия;
- передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры;
- в случае если Оператор персональных данных на основании договора с другим лицом поручает ему обработку персональных данных1, существенным условием договора является обязанность соблюдения принципов и правил обработки персональных данных, предусмотренных Законом. При этом ответственность за действия третьего лица несет Оператор, а третье лицо несет ответственность перед Оператором.
6. Хранение персональных данных
6.1 Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, приказом Министерства культуры Российской Федерации «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения» от 25.08.2010г. №558, договором, стороной на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта, которого выгодоприобретателем или поручителем по которому является субъект персональных данных.
6.2 Персональные данные на бумажных носителях, обрабатываемые без использования средств автоматизации, хранятся Оператором в запираемых помещениях в соответствии с требованием законодательства РФ.
6.3 Персональные данные, содержащиеся на электронных носителях информации, хранятся у ответственных сотрудников Оператора с соблюдением установленных требований информационной безопасности.
6.4 Персональные данные, содержащиеся на бумажных носителях, по истечении текущей востребованности сдаются в архив и хранятся там, в соответствии с установленными сроками хранения.
7. Уничтожение персональных данных
7.1 Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
7.2 Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.
8. Права субъектов персональных данных
8.1 Субъект персональных данных имеет право на:
- получение сведений об Операторе, о месте его нахождения, о наличии у Оператора персональных данных, относящихся к этому субъекту;
- свободный бесплатный доступ к своим персональным данным, включая право на получение выдержки из любой записи, в части, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством РФ;
- исключение, исправление, блокирование или уничтожение неверных или неполных персональных данных, а также данных, обработанных с нарушением требований законом РФ «О персональных данных» от 27 июля 2006 года №152-ФЗ;
- обжалование действия или бездействия Оператора в случаях, если он считает, что Оператор осуществляет обработку персональных данных с нарушение требований Закона или иным образом нарушает его права и свободы.
8.2 Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если предоставление персональных данных нарушает конституционные права и свободы других лиц.
8.3 Субъект персональных данных имеет право на защиту своих прав и законных интересов, в т.ч. на возмещение убытков.
9. Меры, применяемые для защиты персональных данных
9.1 Оператор принимает необходимые и достаточные меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней со стороны третьих лиц.
10. Изменение Политики. Применимое законодательство
10.1 Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте Оператора, если иное не предусмотрено новой редакцией Политики.
11. Ответственность за разглашение персональных данных
11.1 Персональная ответственность – одно из главных требований к организации функционирования системы защиты информации о персональных данных, являющееся обязательным условием обеспечения эффективности данной системы.
11.2 Каждый работник Оператора, получающий доступ к персональным данным, несет единоличную ответственность за разглашение этой информации.
11.3 Лица, виновные в нарушении требований закона РФ «О персональных данных» от 27 июля 2006 года №152-ФЗ, несут дисциплинарную, гражданскую, административную, уголовную и иную предусмотренную законодательством Российской Федерации ответственность.