Общие положения

Обеспечение конфиденциальности и безопасности обработки персональных данных в АО «Крымэнерго» является одной из приоритетных задач организации.

В АО «Крымэнерго» для этих целей введен в действие комплект организационно-распорядительной документации, обязательный к исполнению всеми сотрудниками АО «Крымэнерго», допущенными к обработке персональных данных.

Обработка, хранение и обеспечение конфиденциальности и безопасности персональных данных осуществляется в соответствии с действующим законодательством РФ в сфере защиты персональных данных, и в соответствии с локальными актами АО «Крымэнерго».

Настоящая Политика определяет принципы, порядок и условия обработки персональных данных работников, соискателей и контрагентов АО «Крымэнерго» и иных лиц, чьи персональные данные обрабатываются АО «Крымэнерго», с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность должностных лиц АО «Крымэнерго», имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

Поскольку к настоящей Политике в соответствии с ч. 2 ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных» необходимо обеспечить неограниченный доступ, в ней не публикуется детальная информация о принятых мерах по защите персональных данных в АО «Крымэнерго», а также иная информация, использование которой неограниченным кругом лиц может нанести ущерб АО «Крымэнерго» или субъектам персональных данных.

Основные понятия, используемые в политике:

  • персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
  • оператор персональных данных (оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:
  • сбор;
  • запись;
  • систематизацию;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передачу (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение.
  • автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
  • распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
  • предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
  • обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
  • информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Понятие и состав персональных данных

Сведениями, составляющими персональные данные, в АО «Крымэнерго» является любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Перечень персональных данных, подлежащих защите, в АО «Крымэнерго» определятся целями их обработки, Федеральным законом № 152-ФЗ «О персональных данных», Трудовым кодексом Российской Федерации и другими нормативно-правовыми актами.

В АО «Крымэнерго» утвержден перечень персональных данных, подлежащих защите.

АО «Крымэнерго» может обрабатывать персональные данные следующих категорий субъектов персональных данных.

Кандидаты для приема на работу в АО «Крымэнерго» — для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений:

  • фамилия, имя, отчество;
  • пол;
  • гражданство;
  • дата и место рождения;
  • контактные данные;
  • сведения об образовании, опыте работы, квалификации;
  • иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.

Работники и бывшие работники АО «Крымэнерго» — для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, осуществления пропускного режима:

  • фамилия, имя, отчество;
  • пол;
  • гражданство;
  • дата и место рождения;
  • изображение (фотография);
  • паспортные данные;
  • адрес регистрации по месту жительства;
  • адрес фактического проживания;
  • контактные данные;
  • индивидуальный номер налогоплательщика;
  • страховой номер индивидуального лицевого счета (СНИЛС);

сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;

  • семейное положение, наличие детей, родственные связи;
  • сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
  • данные о регистрации брака;
  • сведения о воинском учете;
  • сведения об инвалидности;
  • сведения об удержании алиментов;
  • сведения о доходе с предыдущего места работы;
  • иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

Члены семьи работников АО «Крымэнерго» — для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений:

  • фамилия, имя, отчество;
  • степень родства;
  • год рождения;
  • иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

Клиенты и контрагенты АО «Крымэнерго» — для целей осуществления своей деятельности в соответствии с уставом АО «Крымэнерго»»:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • паспортные данные;
  • адрес регистрации по месту жительства;
  • контактные данные;
  • замещаемая должность;
  • индивидуальный номер налогоплательщика;
  • номер расчетного счета;

иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.

Цели сбора персональных данных

АО «Крымэнерго» осуществляет обработку персональных данных в следующих целях:

  • организация кадрового учета компании, обеспечение соблюдения законов и иных нормативно-правовых актов; ведение кадрового делопроизводства; исполнение требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнение первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных» и других нормативно­правовых актов;
  • подбор кандидатов на вакантные должности в АО «Крымэнерго»;
  • осуществление своей деятельности в соответствии с уставом АО «Крымэнерго», в том числе заключение и исполнение договоров с контрагентами.

Правовые основания обработки персональных данных

Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:

  • Конституция Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • Трудовой кодекс Российской Федерации;
  • Налоговый кодекс Российской Федерации;
  • Федеральный закон от 06.12.2011 N 402-ФЗ «О бухгалтерском учете»;
  • Федеральный закон от 15.12.2001 N 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
  • иные нормативные правовые акты.

Правовым основанием обработки персональных данных также являются:

  • устав АО «Крымэнерго»;
  • договоры, заключаемые между АО «Крымэнерго» и субъектами персональных данных;
  • согласие субъектов персональных данных на обработку их персональных данных.

Сроки обработки персональных данных

Сроки обработки персональных данных определяются в соответствии со сроком действия договора (соглашением) с субъектом персональных данных, Федеральным законом от 22.10.2014 №125-ФЗ « Об архивном деле в Российской Федерации», Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденных Приказом Росархива от 20.12.2019 № 236, сроком исковой давности, а также иными требованиями законодательства РФ.

В АО «Крымэнерго» создаются и хранятся документы, содержащие сведения о субъектах персональных данных. Требования к использованию в АО «Крымэнерго» данных типовых форм документов установлены Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Права и обязанности

АО «Крымэнерго» как оператор персональных данных вправе: отстаивать свои интересы в суде;

предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);

отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;

  • использовать персональные данные субъекта без его согласия, в случаях, предусмотренных законодательством.

АО «Крымэнерго» как оператор персональных данных обязан:

  • обеспечить каждому субъекту персональных данных возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законом;

внести необходимые изменения, уничтожить или блокировать персональные данные в случае предоставления субъектом неполных, устаревших, недостоверных или незаконно полученных персональных данных, а также уведомить о своих действиях субъекта персональных данных;

выполнять требования законодательства Российской Федерации.

Субъект персональных данных имеет право:

  • требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

— требовать перечень своих персональных данных, обрабатываемых АО «Крымэнерго», и источник их получения;

  • получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
  • требовать извещения всех лиц, которым ранее сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.

Субъект персональных данных обязан:

передавать достоверные, необходимые для достижения целей обработки, персональные данные, а также подтверждать достоверность персональных данных предъявлением оригиналов документов;

— в случае изменения персональных данных, необходимых для достижения целей обработки, сообщить АО «Крымэнерго» уточненные персональные данные и подтвердить изменения оригиналами документов;

— выполнять требования законодательства Российской Федерации.

Порядок и условия обработки персональных данных

Обработка персональных данных осуществляется АО «Крымэнерго» в соответствии с требованиями законодательства Российской Федерации.

Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

АО «Крымэнерго» осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.

Персональные данные не передаются третьим лицам, за исключением случаев, предусмотренных законодательством Российской Федерации.

Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

Обработка персональных данных в АО «Крымэнерго» производится на основе соблюдения принципов:

  • законности целей и способов обработки персональных данных;
  • соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
  • соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
  • достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
  • недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
  • хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
  • уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.

Отказ контрагента или работника АО «Крымэнерго» от предоставления согласия на обработку его персональных данных влечет за собой невозможность достижения целей обработки, и ведет к обезличиванию персональных данных в соответствии с законодательством Российской Федерации.

Обеспечение безопасности персональных данных

АО «Крымэнерго» предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

В АО «Крымэнерго» для обеспечения безопасности персональных данных приняты следующие меры:

назначено лицо, ответственное за организацию обработки персональных данных;

назначен администратор безопасности информационной системы персональных данных;

утверждены документы, определяющие политику АО «Крымэнерго» в отношении обработки персональных данных и устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства. К таким документам в частности относятся: план мероприятий по обеспечению безопасности персональных данных в ИСПДн; перечень персональных данных, подлежащих защите; положение о разграничении прав доступа к персональным данным; приказ об утверждении перечня лиц, допущенных к обработке персональных данных; положение о защите и обработке персональных данных; политика в отношении обработки персональных данных; правила обработки персональных данных без использования средств автоматизации; приказ об утверждении мест хранения персональных данных и лицах, ответственных за соблюдение конфиденциальности персональных данных при их хранении, инструкция администратора безопасности ИСПДн, инструкция пользователя ИСПДн, инструкция ответственного за организацию обработки персональных данных;

  • устранение последствий нарушений законодательства РФ производится в соответствии с действующим законодательством РФ, в соответствии с положением об обработке и защите персональных данных, а также в соответствии с инструкцией администратору безопасности персональных данных;

внутренний контроль соответствия обработки персональных данных законодательству РФ в данной сфере производится в соответствии с планом внутренних проверок, инструкцией администратора безопасности и положением об обработке и защите персональных данных;

  • для информационной системы персональных данных разработана модель угроз безопасности персональных данных, в которой при определении опасности угроз проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства;
  • для информационной системы персональных данных разработано техническое задание на создание системы защиты информации;
  • проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;

правила доступа к персональным данным утверждены в соответствующем положении, технически реализуются с помощью средств защиты информации;

  • сотрудники, допущенные к обработке персональных данных, проходят инструктажи по информационной безопасности, подписывают соглашение о неразглашении персональных данных, знакомятся с документами по защите персональных данных под роспись.

Заключительные положения

К настоящей Политике обеспечивается неограниченный доступ.

Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.

Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных АО «Крымэнерго».

Ответственность должностных лиц АО «Крымэнерго», имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами АО «Крымэнерго».

Скачать документ в PDF: Приказ №110 от 18.09.2023