Политика обработки персональных данных
1. Общие положения
1.1. Настоящая Политика разработана в целях определения правовых оснований, целей и способов обработки персональных данных в ООО «Газпром межрегионгаз Орёл» (далее – Общество), категорий и перечня обрабатываемых персональных данных и содержит иные положения, связанные с обработкой и защитой персональных данных, в соответствии с действующим законодательством Российской Федерации.
1.2. Для целей настоящей Политики используются понятия, установленные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Закон № 152-ФЗ).
1.3. В целях реализации настоящей Политики в Обществе
разрабатываются локальные нормативные акты, конкретизирующие вопросы
обработки и защиты персональных данных.
1.4. Настоящая Политика является основой для разработки и актуализации Обществом локальных нормативных актов, определяющих политику обработки в них персональных данных.
2. Принципы и правовые основания обработки персональных данных
2.1. Обработка персональных данных в Обществе осуществляется
в соответствии с принципами, установленными статьей 5 Закона № 152-ФЗ.
2.2. Правовыми основаниями обработки персональных данных
в Обществе являются:
положения нормативных правовых актов, во исполнение и в соответствии с которыми Общество осуществляет обработку персональных данных, включая Конституцию Российской Федерации, Трудовой кодекс Российской Федерации, Гражданский кодекс Российской Федерации, Гражданский процессуальный кодекс Российской Федерации, Налоговый кодекс Российской Федерации, Арбитражный процессуальный кодекс Российской Федерации, Кодекс Российской Федерации об административных правонарушениях, Федеральный закон от 26 декабря 1995 г. № 208-ФЗ «Об акционерных обществах», Федеральный закон от 08 февраля 1998 г. № 14-ФЗ «Об обществах с ограниченной ответственностью», Федеральный закон от 06 декабря 2011 г. № 402-ФЗ «О бухгалтерском учете», Федеральный закон от 01 апреля 1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системах обязательного пенсионного страхования и обязательного социального страхования», Федеральный закон от 28 декабря 2013 г. № 400-ФЗ «О страховых пенсиях», Федеральный закон от 22 апреля 1996 г. № 39-ФЗ «О рынке ценных бумаг», Закон № 152-ФЗ, Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
иные нормативные правовые акты Российской Федерации и уполномоченных органов государственной власти;
Устав Общества и локальные нормативные акты Общества,
ООО «Газпром межрегионгаз», ПАО «Газпром»;
договоры, заключаемые между Обществом и субъектом персональных данных либо третьим лицом, по которым субъект персональных данных является выгодоприобретателем или поручителем;
согласия субъектов персональных данных на обработку персональных данных, оформленные с учетом требований законодательства Российской Федерации для соответствующей категории персональных данных.
3. Цели обработки персональных данных в Обществе, категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных
3.1. Обработка персональных данных субъектов персональных данных осуществляется в Обществе в следующих целях:
осуществление Обществом функций, полномочий и обязанностей, предусмотренных законодательством Российской Федерации и Уставом Общества;
регулирование трудовых и иных непосредственно связанных с ними отношений с работниками;
подбор персонала для замещения должностей в Обществе, формирование кадрового резерва в Обществе;
предоставление дополнительных гарантий и компенсаций работникам Общества и членам их семей, а также другим субъектам персональных данных, имеющим право на социальное обеспечение в соответствии с локальными нормативными актами Общества;
подготовка, заключение, исполнение и прекращение гражданско-правового договора, стороной которого является Общество;
защита прав и законных интересов Общества в административном и судебном порядке;
рассмотрение обращений граждан Российской Федерации и иных физических лиц;
обеспечение пропускного и внутриобъектового режимов на объектах Общества;
организация социально значимых и корпоративных мероприятий Обществом;
осуществление спонсорской и благотворительной деятельности Обществом;
освещение деятельности Общества на сайте Общества, в информационно-телекоммуникационной сети «Интернет»;
формирование справочных материалов для внутреннего информационного обеспечения деятельности Общества.
3.2. В структурных подразделениях Общества разрабатываются
регламенты обработки персональных данных (далее - Регламенты структурных
подразделений), в которых в зависимости от задач и функций, выполняемых
указанными структурными подразделениями Общества, могут быть
конкретизированы определенные Обществом цели обработки персональных данных, а также указана дополнительная информация, определяющая особенности обработки персональных данных в структурных подразделениях Общества в рамках определенных настоящей Политикой целей.
3.3. К категориям субъектов, персональные данные которых обрабатываются в Обществе для обеспечения реализации целей обработки персональных данных, указанных в пункте 3.1 настоящей Политики, относятся:
работники Общества;
члены семей и близкие родственники работников Общества, в том числе застрахованные (подлежащие страхованию) по договорам добровольного медицинского страхования, заключаемым Обществом;
кандидаты на замещение должностей в Обществе;
члены семей и близкие родственники кандидатов на замещение должностей в Обществе;
пенсионеры Общества;
члены семей пенсионеров Общества, застрахованные (подлежащие страхованию) по договорам добровольного медицинского страхования, заключаемым Обществом;
бывшие работники Общества;
физические лица, представляемые к поощрению корпоративными наградами Общества;
контрагенты Общества (физические лица);
представители контрагентов Общества (юридических лиц);
физические лица в цепочке собственников контрагентов Общества, включая бенефициаров;
кандидаты на выдвижение для избрания в органы управления и контроля Общества;
лица, являющиеся акционерами и (или) участниками объектов долгосрочных финансовых вложений Общества, его дочерних обществ и организаций;
лица, входящие в состав органов управления Общества и органов контроля за финансово-хозяйственной деятельностью Общества;
физические лица, являющиеся участниками закупок товаров, работ, услуг, проводимых Обществом;
физические лица, участвующие в судебных и арбитражных делах, касающихся защиты прав и законных интересов Общества (лица, участвующие в деле, их представители, защитники, обвиняемые, потерпевшие, свидетели, эксперты и другие лица, а также должностные лица органов государственной власти, уполномоченные рассматривать дела об административных правонарушениях);
посетители, пропускаемые на объекты Общества;
физические лица, направляющие обращения в Общество;
пользователи сайта Общества в информационно-телекоммуникационной сети «Интернет»;
иные физические лица, предоставившие свои персональные данные в целях их обработки, предусмотренных пунктом 3.1 настоящей Политики.
3.4. Категории и перечень персональных данных, обрабатываемых в Обществе по каждой из категорий субъектов персональных данных, указанных в пункте 3.3 настоящей Политики, определяются в соответствии с законодательством Российской Федерации и международными договорами Российской Федерации, локальными нормативными актами Общества, ООО «Газпром межрегионгаз», ПАО «Газпром» с учетом целей обработки персональных данных, указанных в пункте 3.1 настоящей Политики, и включают:
фамилию, имя, отчество (при наличии) (в том числе прежние фамилии, имена и (или) отчества (при наличии) в случае их изменения); дату и место рождения; дату смерти; сведения, содержащиеся в документах, удостоверяющих личность; пол; гражданство (в том числе гражданство иностранного государства, подданство); адрес регистрации; адрес фактического проживания; идентификационный номер налогоплательщика; страховой номер индивидуального лицевого счета; сведения, содержащиеся в документах воинского учета; сведения, содержащиеся в документах об образовании, квалификации; место работы; сведения о занимаемой должности; адрес выполнения трудовой функции дистанционно (удаленно); данные о трудовой деятельности; сведения о доходах; сведения о включении в резерв кадров; сведения об отнесении к категории ветеранов в соответствии с Федеральным законом «О ветеранах»; сведения об участии в органах управления юридических лиц; сведения о семейном положении; сведения о составе семьи; данные о допуске к сведениям, составляющим государственную тайну; сведения, содержащиеся в документах о наградах; сведения о социальных льготах, которые предоставляются в соответствии с законодательством Российской Федерации, а также коллективными договорами и локальными нормативными актами Общества; сведения о владении иностранными языками; сведения о наличии ученой степени, ученого звания; сведения о научных трудах и изобретениях; информацию о членстве в выборных органах; сведения о результатах аттестации; сведения о дисциплинарных взысканиях; сведения, содержащиеся в трудовом договоре; сведения о государственной или муниципальной службе; сведения о пребывании за границей; иные сведения, указанные в автобиографии; телефонный абонентский номер (служебный, личный); адрес электронной почты; сведения об иждивенцах; номер лицевого счета банковской карты; фотографию; данные, которые образуются при посещении сайта Общества (файлы сооИез); иные сведения, которые отвечают целям обработки персональных данных, указанным в пункте 3.1 настоящей Политики, и предоставлены субъектом персональных данных;
персональные данные, входящие в категорию «специальные категории персональных данных», - сведения о наличии или отсутствии судимости; сведения о состоянии здоровья в случаях, предусмотренных законодательством Российской Федерации.
Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Обществе не осуществляется.
Обработка биометрических персональных данных в Обществе допускается только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации.
Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется в Обществе на основании согласия субъекта персональных данных на распространение с соблюдением установленных субъектом персональных данных запретов и условий на обработку персональных данных.
3.5. Для каждой цели обработки персональных данных, указанной в пункте 3.1 настоящей Политики, используется один из способов обработки персональных данных - автоматизированный, неавтоматизированный
или смешанный:
автоматизированный - с применением средств вычислительной техники и специальных сетевых каталогов, предназначенных для работы с конфиденциальной информацией и (или) в информационных системах персональных данных;
неавтоматизированный - путем ведения журналов, дел в соответствии с номенклатурой дел и фиксации персональных данных на иных бумажных носителях в соответствии с приложениями к Регламентам структурных подразделений;
смешанный - совокупность указанных способов.
3.6. Сроки обработки и хранения персональных данных категорий субъектов персональных данных, указанных в пункте 3.3 настоящей Политики, определяются в соответствии с требованиями законодательства Российской Федерации и локальных нормативных актов Общества, регламентирующих данные вопросы, а также положениями договора, стороной, выгодоприобретателем или поручителем по которому выступает субъект персональных данных, а при их отсутствии - согласием субъекта персональных данных на обработку персональных данных.
При этом обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если иное не установлено законодательством Российской Федерации.
3.7. В Обществе осуществляется контроль за сроками обработки и хранения персональных данных.
Документы и (или) иные материальные носители, содержащие персональные данные, а также персональные данные, содержащиеся в информационных системах персональных данных, файловых сетевых каталогах или на внешних перезаписываемых электронных носителях, уничтожаются по достижении целей обработки или при наступлении иных законных оснований:
в случае утраты необходимости в достижении цели обработки персональных данных, если иное не установлено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, и (или) иными применимыми нормативными правовыми актами Российской Федерации;
при выявлении факта неправомерной обработки персональных данных;
в случае отзыва субъектом персональных данных согласия на обработку персональных данных, если иное не предусмотрено законодательством Российской Федерации;
по истечении срока обработки персональных данных, установленного при сборе персональных данных;
в случае обращения субъекта персональных данных с требованием о прекращении обработки персональных данных, за исключением случаев, установленных Законом № 152-ФЗ.
Порядок и способы уничтожения персональных данных определяются локальными нормативными актами Общества в области персональных данных и конфиденциального делопроизводства в зависимости от способов обработки персональных данных и материальных носителей персональных данных, на которых осуществляются запись и хранение персональных данных.
4. Условия и порядок обработки персональных данных в Обществе
4.1. Обработка персональных данных в Обществе допускается в случаях, установленных статьей 6 Закона № 152-ФЗ.
4.2. Общество без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено Законом № 152-ФЗ.
4.3. Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора в соответствии с требованиями части 3 статьи 6 Закона № 152-ФЗ.
4.4. В целях внутреннего информационного обеспечения Обществом могут создаваться справочники и другие источники, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его персональные данные.
4.5. Доступ к обрабатываемым в Обществе персональным данным разрешается только работникам Общества, занимающим должности, включенные в перечень должностей структурных подразделений Общества, замещение которых предусматривает осуществление обработки персональных данных (далее – Перечень).
4.6. Передача персональных данных работников Общества и других субъектов, персональные данные которых обрабатываются в Обществе, третьим лицам допускается с письменного согласия указанных субъектов персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, предусмотренных Трудовым кодексом Российской Федерации, иными федеральными законами.
4.7. Общество не осуществляет трансграничную передачу персональных данных в соответствии с требованиями Закона № 152-ФЗ и международных договоров Российской Федерации.
5. Права субъектов персональных данных
Права субъектов персональных данных определены действующим законодательством Российской Федерации и включают право на:
получение информации об их персональных данных, обрабатываемых в Обществе в объеме сведений, предусмотренных статьей 14 Закона № 152-ФЗ. Субъект персональных данных может направить обращение в Общество в письменной форме по почтовому адресу, опубликованному на странице «Контактная информация» официального сайта Общества в информационно-телекоммуникационной сети «Интернет», либо по адресу электронной почты mrg57@orel.ru в порядке, предусмотренном Законом № 152-ФЗ;
доступ к своим персональным данным, обработка которых осуществляется в Обществе, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных Законом № 152-ФЗ;
уточнение своих персональных данных, обработка которых осуществляется в Обществе, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
отзыв согласия на обработку персональных данных, предоставленного Обществу;
принятие предусмотренных законом мер по защите своих прав;
обжалование действия или бездействия Общества, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;
направление требования в Общество о прекращении передачи (распространения, предоставления, доступа) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения;
осуществление иных предусмотренных законодательством Российской Федерации прав.
6. Меры, принимаемые Обществом для обеспечения выполнения обязанностей оператора при обработке персональных данных
6.1. Общество принимает необходимые и достаточные меры, направленные на обеспечение выполнения обязанностей оператора, предусмотренных законодательством Российской Федерации в области персональных данных, которые включают:
назначение лица, ответственного за организацию обработки персональных данных в Обществе;
издание локальных нормативных актов в области обработки и защиты персональных данных;
опубликование настоящей Политики на сайте Общества в информационно-телекоммуникационной сети «Интернет», в том числе на страницах сайта Общества, с использованием которых осуществляется сбор персональных данных;
получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
предоставление субъектам персональных данных или их представителям информации о наличии персональных данных, относящихся к соответствующим субъектам, предоставление возможности ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации;
осуществление внутреннего контроля соответствия обработки персональных данных положениям Закона № 152-ФЗ и принятых в соответствии с ним нормативных правовых актов, требованиям к защите персональных данных, настоящей Политике, локальным нормативным актам Общества;
проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации о персональных данных, а также соотношения указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных;
организацию обучения и проведение методической работы с работниками Общества, занимающими должности, включенные в Перечень;
обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков);
обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных;
обеспечение безопасности персональных данных при их передаче по открытым каналам связи;
хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
прекращение обработки и уничтожение персональных данных в случаях, предусмотренных законодательством Российской Федерации в области персональных данных;
иные меры, предусмотренные законодательством Российской Федерации в области персональных данных.
6.2. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными нормативными актами Общества, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Общества.
7. Внутренний контроль соответствия обработки персональных данных положениям Закона № 152-ФЗ и принятых в соответствии с ним нормативных правовых актов, требованиям к защите персональных данных, настоящей Политике и локальным нормативным актам Общества
7.1. Внутренний контроль соответствия обработки персональных данных положениям Закона № 152-ФЗ и принятых в соответствии с ним нормативных правовых актов, требованиям к защите персональных данных, настоящей Политике и локальным нормативным актам Общества осуществляется лицом, ответственным за организацию обработки персональных данных в Обществе, в порядке, определенном локальными нормативными актами Общества в области персональных данных.
7.2. Лица, виновные в нарушении положений законодательства Российской Федерации и локальных нормативных актов Общества в области персональных данных, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с законодательством Российской Федерации.