Политика в отношении обработки персональных данных

Утверждена

приказом ПАО «Россети»

от 22.12.2021 № 633

 

 

Политика ПАО «Россети» в отношении обработки персональных данных

 

1. Общие положения

1.1. Настоящая Политика ПАО «Россети» в отношении обработки персональных данных (далее - Политика) определяет основные принципы и цели обработки персональных данных.

1.2. Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» с учетом требований иных законодательных и нормативных правовых актов Российской Федерации в области персональных данных.

1.3. Настоящая Политика действует в отношении всех персональных данных, которые ПАО «Россети» может получить от субъектов персональных данных.

1.4. Настоящая Политика распространяется на персональные данные, полученные как до, так и после утверждения настоящей Политики.

1.5. Для целей реализации настоящей Политики используются следующие основные термины и определения:

1.5.1. Блокирование персональных данных - временное прекращение обработки персональных данных.

1.5.2. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.5.3. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

1.5.4. Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

1.5.5. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

1.5.6. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

1.5.7. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

 

2. Правовые основания обработки персональных данных

ПАО «Россети» осуществляет обработку персональных данных субъектов, руководствуясь Конституцией Российской Федерации, статьями 86-90 Трудового кодекса Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ
«О персональных данных», иными нормативными правовыми актами в области персональных данных.

 

3. Цели обработки персональных данных

ПАО «Россети» обрабатывает персональные данные субъектов персональных данных в следующих целях:

-   осуществление функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на ПАО «Россети», в том числе по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, и в иные государственные органы;

-   осуществление функций работодателя, регулирования трудовых отношений с работниками ПАО «Россети»;

-   предоставление работникам ПАО «Россети» и членам их семей дополнительных гарантий и компенсаций, в том числе негосударственного пенсионного обеспечения, добровольного медицинского страхования и других видов социального обеспечения;

-   защита жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;

-   заключение, исполнение и прекращение гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами в случаях, предусмотренных законодательством Российской Федерации и Уставом ПАО «Россети»;

-   обеспечение пропускного и внутриобъектового режимов на объектах
ПАО «Россети»;

-   формирование справочных материалов для внутреннего информационного обеспечения деятельности структурных и обособленных подразделений
ПАО «Россети»;

-   исполнение судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

-   осуществление прав и законных интересов ПАО «Россети» в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами ПАО «Россети», или третьих лиц либо достижения общественно значимых целей, в том числе при заключении договоров на технологические присоединения к сетям и при участии в закупочной деятельности Общества;

-   в иных законных целях.

 

4. Состав обрабатываемых персональных данных и категории субъектов персональных данных

4.1. Перечень персональных данных, обрабатываемых в ПАО «Россети», определяется в соответствии с законодательством Российской Федерации и Положением о порядке обработки персональных данных работников
ПАО «Россети», с учетом целей обработки персональных данных, указанных в п. 3 настоящей Политики.

4.2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в ПАО «Россети» не осуществляется, за исключением случаев, предусмотренных законодательством Российской Федерации.

4.3. ПАО «Россети» обрабатывает персональные данные следующих категорий субъектов персональных данных:

- работников ПАО «Россети», в том числе бывших работников
ПАО «Россети»;

- близких родственников работников ПАО «Россети»;

- кандидатов на замещение вакантных должностей в ПАО «Россети»;

- физических лиц (посетителей), обратившихся в ПАО «Россети»;

- представителей и работников контрагентов ПАО «Россети»;

- иных субъектов персональных данных (для обеспечения реализации целей обработки, указанных в п. 3 настоящей Политики).

 

5. Права и обязанности

5.1. Права и обязанности ПАО «Россети»:

5.1.1. ПАО «Россети» имеет право:

- предоставлять персональные данные субъектов третьим лицам, если это предусмотрено законодательством Российской Федерации (налоговые, правоохранительные органы и др.);

- отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством Российской Федерации;

- использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством Российской Федерации;

- на осуществление иных прав, предусмотренных федеральными законами и иными нормативными правовыми актами в области персональных данных.

5.1.2. ПАО «Россети» обязано принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006№ 152-ФЗ «О персональных данных» и иными нормативными правовыми актами Российской Федерации в области персональных данных.

5.2. Права субъекта персональных данных.

Субъект персональных данных имеет право:

- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

- требовать перечень своих персональных данных, обрабатываемых
ПАО «Россети», и информацию об источнике(ах) их получения;

- получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;

- обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;

-      на осуществление иных прав, предусмотренных законодательством Российской Федерации в области персональных данных.

 

6. Принципы и условия обработки персональных данных

6.1. Обработка персональных данных в ПАО «Россети» осуществляется на основе принципов:

- законности и справедливости целей и способов обработки персональных данных, соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям ПАО «Россети»;

- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

- хранения персональных данных в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели их обработки;

- уничтожения по достижении целей обработки персональных данных и в случае утраты необходимости в их достижении;

- иных принципов, предусмотренных законодательством Российской Федерации.

6.2. Обработка персональных данных в ПАО «Россети» осуществляется на следующих условиях:

- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных;

- без согласия субъекта персональных данных персональные данные третьим лицам не раскрываются и не распространяются, если иное не предусмотрено федеральным законом;

- ПАО «Россети» вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора;

- в целях внутреннего информационного обеспечения ПАО «Россети» может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных, которые могут идентифицировать человека;

- на иных условиях, предусмотренных законодательством Российской Федерации.

 

7. Обеспечение безопасности персональных данных

7.1. Оператор при обработке персональных данных принимает необходимые и достаточные организационные и технические меры или обеспечивает их принятие, предусмотренные законодательством в области защиты персональных данных, для защиты персональных данных, требующих обеспечения конфиденциальности, от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней третьих лиц.

7.2. Меры по обеспечению безопасности персональных данных при их обработке, применяемые Оператором, планируются и реализуются в целях обеспечения соответствия требованиям законодательства в области персональных данных и принятым в соответствии с ним нормативным правовым актам.

7.3. Обеспечение безопасности персональных данных достигается, в частности:

- назначением ответственных за организацию обработки персональных данных;

- разработкой и внедрением локальных нормативных правовых актов по вопросам обработки персональных данных;

- определением угроз безопасности персональных данных при их обработке в информационных системах;

- применением организационных и технических мер по обеспечению безопасности персональных данных;

- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- учетом машинных носителей информации;

- установление правил доступа к персональным данным;

- ограничение доступа в помещения, где размещены технические средства, осуществляющие обработку персональных данных, а также хранятся носители информации;

- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

- внесением персональных данных, не являющихся общедоступными (требующими соблюдения конфиденциальности) в перечень конфиденциальной информации Оператора;

- получением обязательства о неразглашении сведений конфиденциального характера, в том числе персональных данных, со всех работников Оператора непосредственно участвующих в обработке персональных данных;

- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, локальными нормативными правовыми актами по вопросам обработки персональных данных;

- контролем за принимаемыми мерами по обеспечению безопасности персональных данных.

7.4. Внутренний контроль за соответствием обработки персональных данных законодательству и принятым в соответствии с ним нормативным правовым актам осуществляется в порядке, установленном постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

7.5. Базы данных Оператора находятся на территории Российской Федерации.

 

8. Заключительные положения

8.1. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов Российской Федерации, в том числе специальных нормативных актов по обработке и защите персональных данных.

8.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, установленных законодательством Российской Федерации несут ответственность, предусмотренную законодательством Российской Федерации.