- Защита прав и законных интересов субъектов персональных данных
- Выполнение АО «РТК» требований законодательства в области персональных данных
Политика «Обработка персональных данных в АО „РТК“ (далее — Политика) определяет принципы, порядок и условия обработки персональных данных клиентов, работников АО „РТК“ и иных лиц, чьи персональные данные обрабатываются АО „РТК“, лицами по поручению АО „РТК“, а также в случаях обработки АО „РТК“ ПДн по поручению
Настоящий документ регламентирует деятельность следующих подразделений и должностных лиц, включая исполняющих роли:
Любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)
Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных
Действия, направленные на раскрытие персональных данных неопределённому кругу лиц
Действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц
Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)
Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных
Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных
Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств
Деятельность АО «РТК» в соответствии с настоящей политикой обеспечивает защиту прав и свобод человека и гражданина при обработке его ПДн, в том числе защиту прав на неприкосновенность частной жизни, личную и семейную тайну.
Настоящая Политика разработана в соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных») и действует в отношении всех ПДн, обрабатываемых в АО «РТК». Политика распространяется на ПДн, полученные как до, так и после ввода в действие настоящей Политики.
ПДн являются информацией ограниченного доступа (конфиденциального характера) в соответствии с законодательством РФ, если иное не установлено законом. ПДн могут обрабатываться самостоятельно или в составе другой информации конфиденциального характера, порядок обработки которой устанавливается отраслевыми федеральными законами, в частности, о коммерческой тайне (коммерческая тайна), о связи (сведения об абоненте), о банках (банковская тайна), об архивном деле и другими (далее — отраслевое законодательство). Порядок обработки ПДн в АО «РТК» регулируется настоящей Политикой в соответствии с требованиями действующего законодательства РФ в области ПДн и отраслевого законодательства РФ, если в нем установлен порядок обработки информации конфиденциального характера.
Организация хранения, учёта и использования ПДн в АО «РТК» осуществляется в соответствии с ФЗ «О персональных данных» и нормативными документами АО «РТК».
В соответствии с п. 2 ч. 2 ст. 1 ФЗ «О персональных данных» обращение с документами, переданными на хранение в соответствии с архивным законодательством, не регулируется настоящей Политикой.
Настоящая Политика распространяется на все процессы АО «РТК», связанные с обработкой ПДн субъектов, и обязательна для применения всеми работниками АО «РТК», осуществляющими обработку ПДн в силу своих должностных обязанностей.
Во всех случаях, не урегулированных настоящей Политикой, необходимо руководствоваться действующим законодательством РФ.
Если международным договором РФ установлены иные правила чем те, которые предусмотрены ФЗ «О персональных данных», то АО «РТК» применяет правила международного договора.
АО «РТК» и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом
АО «РТК» является оператором ПДн, самостоятельно обрабатывает ПДн, и определяет цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн, или обрабатывает ПДн по поручению других Операторов
Обработка ПДн субъектов ПДн осуществляется в АО «РТК» в следующих целях:
— Обеспечение трудовых и производственных процессов, включая исполнение законодательства РФ, связанного с трудовыми отношениями, содействия работникам в трудоустройстве, получения образования и продвижения по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы, обеспечения сохранности имущества, рассмотрение кандидатур соискателей на вакантные должности АО «РТК»
— Ведение бухгалтерского учёта и составление налоговой отчётности
— Выполнение законодательства РФ об акционерных обществах
— Учёт и регистрация посетителей офисов АО «РТК», осуществление пропускного режима
— Предоставление коммерческих услуг клиентам-физическим лицам (проведение акций, купля-продажа товара, выполнение работ/оказание услуг, предоставление обратной связи клиентам и др., в том числе, посредством интернет технологий)
— Проведение рекламных и маркетинговых активностей и акций, в том числе, рекламных и маркетинговых активностей и акций третьих лиц в качестве партнёра акции
— Осуществление обработки персональных данных по поручениям операторов персональных данных, являющихся контрагентами АО «РТК»
— Выполнение и обеспечение соблюдения требований законов и иных нормативных правовых актов РФ
— Осуществление гражданско-правовых отношений с любыми контрагентами (обработка ПДн контрагентов и/или их представителей)
Обработка ПДн должна осуществляться на законной и справедливой основе. Обработке подлежат только ПДн, которые отвечают целям их обработки. Обработка ПДн должна ограничиваться достижением конкретных, заранее определённых и законных целей. не допускается обработка ПДн, не совместимая с целями сбора ПДн. Содержание и объём обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки. не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
При обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. в АО «РТК» должны приниматься необходимые меры по удалению или уточнению неполных, или неточных данных. Ответственность за своевременное предоставление в АО «РТК» сведений об изменении ПДн, обрабатываемых в АО «РТК», возлагается на субъектов ПДн, которым они принадлежат.
Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если иной срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Обработка в АО «РТК» специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается только в случаях, предусмотренных федеральным законодательством. Обработка указанных специальных категорий ПДн должна быть
незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась их обработка, если иное не установлено федеральным законом.Биометрические ПДн, которые используются АО «РТК» для установления личности субъекта ПДн, могут обрабатываться в АО «РТК» только при наличии согласия в письменной форме субъекта ПДн, за исключением случаев, предусмотренных ч. 2 ст. 11 ФЗ «О персональных данных»
Обработка ПДн в АО «РТК» может осуществляться:
- Работниками АО «РТК»
- Другими лицами, осуществляющими обработку ПДн по поручению АО «РТК»
Обработка ПДн другими лицами может осуществляться на основании соответствующего договора с АО «РТК», в котором содержится поручение на обработку ПДн. в поручении должны быть определены перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со станьёй 19 ФЗ «О персональных данных»Обработка ПДн в АО «РТК» может осуществляться как с использованием, так и без использования средств автоматизации.
Автоматизированная обработка ПДн должна осуществляться в ИСПДн АО «РТК» в строгом соответствии с настоящей политикой.
В АО «РТК» запрещается принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных законодательством РФ.
Неавтоматизированная обработка ПДн должна осуществляться таким образом, чтобы ПДн обособлялись от иной информации, в частности путём фиксации их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм (бланков) и иным способом.
Лица, осуществляющие обработку ПДн без использования средств автоматизации (работники АО «РТК» и другие лица, осуществляющие обработку ПДн по поручению АО «РТК»), должны быть проинформированы о факте обработки ими ПДн, обработка которых осуществляется АО «РТК» без использования средств автоматизации, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также нормативными документами АО «РТК».
При неавтоматизированной обработке ПДн, предполагающей использование типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее — типовая форма), необходимо выполнять следующие условия:
a) При неавтоматизированной обработке ПДн, предполагающей использование типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее — типовая форма), необходимо выполнять следующие условия:
- Cведения о цели обработки ПДн, осуществляемой без использования средств автоматизации
- Реквизиты АО «РТК» (наименование и адрес)
- Фамилию, имя, отчество и адрес субъекта ПДн
- Источник получения ПДн, сроки обработки ПДн
- Перечень действий с ПДн, которые будут совершаться в процессе их обработки
- Общее описание используемых оператором способов обработки ПДн
б) Типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своём согласии на обработку ПДн, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку ПДн
в) Типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПДн, содержащихся в документе, имел возможность ознакомиться со своими ПДн, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПДн
г) Типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы
При сохранении ПДн на материальных носителях при не автоматизированной обработке ПДн, не допускается сохранение на одном материальном носителе ПДн, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДн следует использоваться отдельный материальный носитель.
Субъект ПДн принимает решение о предоставлении его ПДн и даёт согласие на их обработку свободно, своей волей и в своём интересе. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
Обязанность предоставить доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия оснований, указанных в ФЗ «О персональных данных», возлагается на АО «РТК», либо на лицо, по поручению которого АО «РТК» обрабатывает ПДн.
Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, если такое право не ограничено в соответствии с федеральными законами. Субъект ПДн вправе требовать от АО «РТК» уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Получение ПДн в АО «РТК» организуется таким способом, чтобы не нарушить конфиденциальность собираемых ПДн.
Перечень случаев, когда необходимо получить письменное согласие субъекта ПДн на обработку его ПДн, а также порядок и форма получения согласия определяются нормативными документами АО «РТК» в соответствии с положениями ФЗ «О персональных данных».
В случае недееспособности субъекта ПДн письменное согласие на обработку его ПДн получается от его законного представителя.
ПДн могут быть получены АО «РТК» от лица, не являющегося субъектом ПДн, при условии предоставления оператору подтверждения наличия оснований, указанных в пп. 2–11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 ФЗ «О персональных данных».
При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети «Интернет», запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации должны осуществляться в АО «РТК» с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных ФЗ «О персональных данных».
Порядок получения ПДн определяется нормативными документами АО «РТК».
Порядок хранения ПДн, обрабатываемых в АО «РТК», определяется нормативными документами АО «РТК» в соответствии с положениями ФЗ «О персональных данных».
Сроки обработки (хранения) ПДн определяются в соответствии со сроком действия договора с субъектом ПДн, приказом Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», сроками исковой давности, а также иными сроками, установленными законодательством РФ и нормативными документами АО «РТК».
ПДн, срок обработки (хранения) которых истёк, должны быть уничтожены, если иное не предусмотрено федеральным законом или нормативными документами АО «РТК». Хранение ПДн после истечения срока хранения допускается только после их обезличивания.
Уточнение ПДн, обрабатываемых в АО «РТК», осуществляется по запросам субъектов ПДн, их законных представителей или в случае обращения уполномоченного органа по защите прав субъектов ПДн.
Уточнение ПДн при осуществлении их обработки без использования средств автоматизации следует производить путём обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, то путём фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путём изготовления нового материального носителя с уточнёнными ПДн.
При предоставлении ПДн третьей стороне должны выполняться следующие условия:
- Передача (предоставление доступа) ПДн третьей стороне осуществляется на основании договора, существенным условием которого является обеспечение третьей стороной конфиденциальности ПДн и безопасности ПДн при их обработке
- Передача (предоставление доступа) ПДн третьей стороне осуществляется на основании действующего законодательства РФ
- Наличие согласия субъекта ПДн, на передачу его ПДн третьей стороне, в случаях, предусмотренных законодательством РФ наличия согласия в письменной форме
В целях информационного обеспечения в АО «РТК» могут создаваться специализированные справочники (телефонные, адресные книги и др.), содержащие ПДн, к которым с письменного согласия субъекта ПДн может предоставляться доступ неограниченному кругу лиц.
Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников ПДн по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов.
Основанием блокирования АО «РТК» ПДн, относящихся к соответствующему субъекту ПДн, является:
- Обращение или запрос субъекта ПДн при условии подтверждения факта недостоверности, устаревания, неполноты ПДн, отсутствия необходимости в них для заявленной цели обработки, неправомерных действий с ними, незаконного их получения
- Обращение или запрос законного представителя субъекта при условии подтверждения факта недостоверности, устаревания, неполноты ПДн, отсутствия необходимости в них для заявленной цели обработки, неправомерных действий с ними, незаконного их получения
- Обращение или запрос уполномоченного органа по защите прав субъектов ПДн при условии подтверждения факта недостоверности, устаревания, неполноты ПДн, отсутствия необходимости в них для заявленной цели обработки, неправомерных действий с ними, незаконного их получения
Основанием для уничтожения ПДн, обрабатываемых в АО «РТК», является:
- Достижение цели обработки ПДн
- Утрата необходимости в достижении цели обработки ПДн
- Отзыв субъектом ПДн согласия на обработку своих ПДн за исключением случаев, когда обработка указанных ПДн является обязательной в соответствии с законом РФ или договором
- Выявление неправомерных действий с ПДн и невозможности устранения допущенных нарушений в срок, не превышающий трёх рабочих дней с даты такого выявления
- Истечение срока хранения ПДн, установленного законодательством РФ и нормативными документами АО «РТК»
- Предписание уполномоченного органа по защите прав субъектов ПДн, Прокуратуры России или решение суда
При несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн, и при необходимости уничтожения или блокирования части ПДн уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению или блокированию.
Уничтожение части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
При обработке ПДн АО «РТК» принимает правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
Обеспечение безопасности ПДн осуществляется в рамках установления в АО «РТК» режима безопасности информации конфиденциального характера.
Обеспечение безопасности ПДн, в частности, достигается:
- Определением угроз безопасности ПДн при их обработке в ИСПДн
- Применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищённости ПДн
- Применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации
- Учётом машинных носителей ПДн
- Обнаружением фактов несанкционированного доступа к ПДн
- Восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним
- Установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учёта всех действий, совершаемых с ПДн в ИСПДн
- Контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищённости ПДн в ИСПДн
Уровни защищённости ПДн при их обработке в ИСПДн АО «РТК», требования к защите ПДн, обеспечивающих уровни защищённости ПДн, определяются в зависимости от актуальных угроз безопасности персональным данным с учётом возможного вреда субъекту ПДн, объёма и содержания обрабатываемых ПДн, вида деятельности, при осуществлении которого обрабатываются ПДн в соответствии с требованиями Постановлений Правительства РФ, подзаконных нормативных правовых актов ФСТЭК, ФСБ, а также договорами между АО «РТК», операторами ПДн и субъектами ПДн.
Использование и хранение биометрических ПДн вне ИСПДн осуществляется только с применением материальных носителей информации и технологии хранения, которые обеспечивают защиту биометрических ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления и распространения.
Защита ПДн при неавтоматизированной обработке осуществляется в соответствии с требованиями подзаконных нормативных правовых актов РФ и нормативными документами АО «РТК» по работе с материальными носителями информации.
Субъект ПДн, чьи ПДн обрабатываются в АО «РТК», имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
- Подтверждение факта обработки ПДн оператором
- Правовые основания и цели обработки ПДн
- Цели и способы обработки ПДн
- Сроки обработки ПДн, в том числе сроки их хранения
- Наименование и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу
- Иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами
Сведения, указанные в настоящем пункте, предоставляются субъекту ПДн АО «РТК» в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн
АО «РТК» и/или работники АО «РТК», виновные в нарушении требований законодательства РФ в области ПДн, а также положений настоящей Политики, несут предусмотренную законодательством Российской Федерации ответственность.
Моральный вред, причинённый субъекту ПДн вследствие нарушения его прав, нарушения правил обработки ПДн, а также требований к защите ПДн, подлежит возмещению в соответствии с законодательством Российской Федерации.
Настоящая Политика является общедоступной.
Настоящая Политика подлежит пересмотру в соответствии с нормативными документами АО «РТК».
Лица, чьи ПДн обрабатываются АО «РТК», могут получить разъяснения по вопросам обработки своих ПДн, направив соответствующий письменный запрос по почтовому адресу: 119180, Москва, пер. Голутвинский 1-й, д. 2/10, кор. 2.
Внешние документы:
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
- Приказ Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»