ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ И

ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

АО «НПО ЭНЕРГОКОНТРАКТ»

1.Общие положения

1.1.Настоящая Политика в отношении обработки и защите персональных данных АО «НПО ЭНЕРГОКОНТРАКТ» (далее — «Политика») разработано в соответствии с требованиями Федерального закона Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 г.
1.2.Целью настоящей Политики является определение подходов АО «НПО ЭНЕРГОКОНТРАКТ» (далее – «Оператор», «Общество») к обработке персональных данных, а также реализуемых требованиях к защите персональных данных (далее также – «ПДн») на Сайте Оператора.
1.3.Общество придерживается принципов обеспечения безопасности ПДн субъектов ПДн (далее – «Субъект») с целью защиты их прав и свобод, в том числе прав на неприкосновенность частной жизни, личную и семейную тайну, а также соблюдения требований российского законодательства и норм международного права.
1.4.Настоящая Политика действует в отношении всей информации, содержащей ПДн субъектов, которую Общество может получить о посетителях и иных категориях субъектов ПДн в процессе использования ими Сайтов Оператора. Настоящая Политика является общедоступной и размещена в сети Интернет по адресам: https://rabotaenergocontract.ru/.
1.5.Все вопросы, связанные с обработкой ПДн, не урегулированные настоящей Политикой, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных, в том числе Федеральным законом №152-ФЗ «О персональных данных» от 27 июля 2006 г., а также иными локальными нормативными актами Общества.
1.6.В настоящей Политике используются следующие термины:
·Оператор, Организация, Общество – АО «НПО ЭНЕРГОКОНТРАКТ», юридический адрес: 140070, Московская область, г. Люберцы, рабочий поселок Томилино, ул. Гаршина, дом 11/1, эт.5, пом.4.
·Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту).
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), в том числе передачу третьим лицам, не исключая трансграничную передачу, если необходимость в ней возникла в ходе исполнения обязательств, блокирование, удаление, уничтожение персональных данных.
Конфиденциальность персональных данных – обязательное требование для Оператора и иных лиц, получивших доступ к персональным данным: не допускать их распространения без согласия субъекта или наличия иного законного основания.
Автоматизированная обработка персональных данных – обработка персональных данных с использованием средств вычислительной техники;
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.
Сайт – любой из сайтов Общества, доступный по адресам: https://rabotaenergocontract.ru/.
Закон о персональных данных - Федеральный закон Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 г.
·Файлы «cookie» - данные, которые передаются в процессе использования Сайта, с помощью установленного на устройстве программного обеспечения (данные от почтовых сервисов, сведения о местоположении; тип и версия операционной системы (ОС); тип и версия Браузера; тип устройства и разрешение его экрана; источник, откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; историю посещения, иная информация о посетителе, возможность получения которой обусловлена технически).

2. Правовые основания обработки персональных данных

Оператор осуществляет обработку персональных данных на основании:
Конституции РФ;
Гражданского кодекса РФ;
Налогового кодекса РФ,
Федерального закона от 26.12.1995 № 208-ФЗ «Об акционерных обществах»;
Федерального закона от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
Федерального закона от 06.03.2006 № 35-ФЗ «О противодействии терроризму»;
Постановления Правительства Российской Федерации от 01.11.2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Приказа Федеральной службы по техническому и экспортному контролю от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
Постановления Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
Устава Общества;
Договоров, заключаемых с Обществом;
Согласий на обработку персональных данных субъектов.

3.Цели сбора персональных данных, категории субъектов персональных данных и категории обрабатываемых персональных данных

3.1.Для каждой цели обработки персональных данных Оператор определяет и утверждает категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, а также способы, сроки их обработки и хранения, порядок уничтожения при достижении целей их обработки или при наступлении иных законных оснований. Обработка персональных данных, несовместимая с утвержденными целями, не допускается.
3.2.Цели обработки персональных данных. Категории субъектов персональных данных. Категории обрабатываемых персональных данных.


4.      Общие правила обработки персональных данных
4.1 Все персональные данные субъекта следует получать непосредственно у него. Если персональные данные могут быть получены у третьей стороны, то субъект должен быть уведомлен об этом заранее. Должностное лицо Общества должно сообщить субъекту о целях обработки персональных данных и ее правовых основаниях, перечень персональных данных, источниках и способах получения персональных данных, а также о предполагаемых пользователях персональных данных и правах субъекта, установленных Законом о персональных данных.
4.2. Персональные данные хранятся в электронном виде и на бумажных носителях. В электронном виде персональные данные хранятся в ИСПДн, а также в архивных копиях баз данных ИСПДн. В бумажном виде персональные данные хранятся в составе документов и их копий, содержащих информацию о субъектах.
4.5. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящей Политикой.
4.6. Срок хранения персональных данных, обрабатываемых в ИСПДн, соответствует сроку хранения персональных данных на бумажных носителях.
4.7. Обработка персональных данных прекращается в сроки, установленные законодательством Российской Федерации, в следующих случаях:
· по достижении целей обработки персональных данных или при утрате необходимости в их достижении;
· по истечении срока обработки персональных данных, установленного при сборе персональных данных;
· по требованию субъекта или уполномоченного органа по защите прав субъектов, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
· при невозможности устранения допущенных нарушений при обработке персональных данных;
· при изменении, признании утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;
· при отзыве субъектом согласия, если в соответствии с Законом О персональных данных обработка персональных данных допускается только с его согласия.
4.8. Персональные данные, содержащиеся на бумажных носителях, уничтожаются механическим путем (измельчение, шредирование). Уничтожение персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удаления с электронных носителей методами и средствами гарантированного удаления остаточной информации.

5. Основные принципы обработки персональных данных 
5.1. Обработка персональных данных возможна только в соответствии с целями, определившими их получение.
5.2. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
5.3. При обработке персональных данных обеспечивается точность персональных данных, их достаточность и актуальность по отношению к заявленным целям их обработки.
5.4. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект.
5.5. Заключаемый с субъектом договор не может содержать положения, ограничивающие права и свободы субъекта, устанавливать случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта.
5.6. Право доступа для обработки персональных данных имеют работники Общества в соответствии с возложенными на них функциональными обязанностями. Перечень работников, имеющих доступ к персональным данным субъектов, утверждается приказом руководителя Общества.
5.7. Работники, допущенные к обработке персональных данных, имеют право приступать к работе с ними только после ознакомления под роспись с локальными нормативными актами, регламентирующими обработку персональных данных в организации и при условии подписания ими обязательства о неразглашении. Работники, осуществляющие обработку персональных данных в Обществе, должны действовать в соответствии с должностными инструкциями, регламентами и другими распорядительными документами Общества, и соблюдать требования по соблюдению режима конфиденциальности.

6.Передача персональных данных

 

6.1. Не допускается передача персональных данных субъектов третьим лицам без их согласия (передача персональных данных работников возможна только с письменного согласия), за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в других случаях, предусмотренных законом.
6.2. Третьи лица, получающие персональные данные, должны быть предупреждены о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и с соблюдением режима конфиденциальности. Общество вправе требовать от этих лиц подтверждение того, что это правило соблюдено.
6.3. В случаях, когда государственные органы имеют право запросить персональные данные или такая информация должна быть предоставлена в силу закона, а также в соответствии с запросом суда информация, относящаяся к персональным данным, может быть им предоставлена в порядке, предусмотренном действующим законодательством РФ.
6.4. Все поступающие запросы должны передаваться лицу, ответственному за организацию обработки персональных данных в Обществе, для предварительного рассмотрения и согласования.
6.5. Общество может передавать персональные данные третьим лицам на основе договоров, заключенных с этими лицами и отвечающих установленным требованиям закона, для достижения целей обработки персональных данных, при условии соблюдений требований законодательства РФ, в том числе:           
●         аудиторским, консультационным компаниям и иным компаниям, оказывающим услуги и выполняющие работы для Общества – для оказания услуг и выполнения работ, необходимых для осуществления хозяйственной и административной деятельности Общества;        
●         модератору сайта;
●         иным организациям, с которыми взаимодействует Общество.
6.6.   Передаче подлежат только те персональные данные, которые необходимы для осуществления вышеуказанных целей, а также иных целей, отвечающих требованиям законодательства РФ.
6.7.   Передача персональных данных в пределах юридического лица Оператора осуществляется в соответствии с требованиями к обработке персональных данных, предусмотренных настоящей Политикой и иными локальными нормативными актами.
6.8. Третье лицо, осуществляющее обработку персональных данных по поручению Общества, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных.
6.9. В поручении третьему лицу, осуществляющему обработку персональных данных по поручению Оператора, должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, обязанность использовать базы данных на территории РФ, принять все меры для обеспечения выполнения Закона о персональных данных, обязанность по запросу оператора в течение срока действия поручения и до обработки предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение требований Закона о персональных данных, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии с Законом о персональных данных, в том числе требование об уведомлении Оператора о случаях неправомерной обработки персональных данных.
6.10. В случае, если Общество поручает обработку персональных данных иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом за действия указанных лиц несет Оператор и лицо, осуществляющее обработку персональных данных по поручению Оператора.

7. Меры по обеспечению безопасности персональных данных 
7.1. При обработке персональных данных Общество принимает необходимые правовые, организационные и технические меры защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
7.2. Обеспечение безопасности персональных данных достигается, в частности:
·  применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;
·  обнаружением фактов несанкционированного доступа к персональным данным и своевременным принятием необходимых мер;
·  установлением правил доступа к персональным данным, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в ИСПДн;
·  восстановлением персональных данных в случае их повреждения или уничтожения вследствие несанкционированных действий;
· использованием сертифицированных антивирусных и антихакерских программ, не допускающих несанкционированный доступ к персональным данным;
· контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности ИСПДн.
· обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них.
7.3. В целях защиты персональных данных передача информации, содержащей сведения о персональных данных по телефону, в связи с невозможностью идентификации лица, запрашивающего информацию, запрещается.
7.4. Для выявления и предотвращения нарушений, предусмотренных законодательством РФ в сфере персональных данных, Общество использует следующие процедуры:
· осуществление внутреннего контроля (аудита) соответствия обработки персональных данных требованиям к защите персональных данных;
· оценка вреда, который может быть причинен субъектам персональных данных;
· ознакомление работников, непосредственно осуществляющих обработку персональных данных, с законодательством о персональных данных, в том числе с требованиями к защите персональных данных и настоящей Политикой;
· ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей;
· осуществление обработки персональных данных в соответствии с принципами и условиями обработки персональных данных, установленными законодательством в области персональных данных;
· обеспечение недопустимости осуществления обработки персональных данных, несовместимых с целями сбора персональных данных;
· обеспечение недопустимости осуществления объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
· обеспечение соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки, обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
· обеспечение при обработке персональных данных точности персональных данных, их достаточности и актуальности по отношению к целям обработки персональных данных.
 
8. Права субъекта персональных данных
Субъект имеет право:
8.1. На получение информации, касающейся обработки его персональных данных, в том числе содержащей:
· подтверждение факта обработки персональных данных оператором;
· правовые основания и цели обработки персональных данных;
· цели и применяемые Обществом способы обработки персональных данных;
· наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;
· обрабатываемые персональные данные, относящиеся к соответствующему субъекту, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
· сроки обработки персональных данных, в том числе сроки их хранения;
· порядок реализации субъектом прав, предусмотренных Законом о персональных данных;
· информацию об осуществленной или о предполагаемой трансграничной передаче данных;
· наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
· информацию о способах исполнения Оператором обязанностей, установленных статьей 18.1 Закона о персональных данных;
· иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами.
8.2. Требовать от Общества уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.3. На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством РФ.
8.4. Обжаловать в суд любые неправомерные действия или бездействие Общества при обработке и защите его персональных данных. Субъект персональных данных имеет право на сохранение и защиту своей личной и семейной тайны, на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда.
8.5. Во всех случаях отказ субъекта от своих прав на сохранение и защиту конфиденциальности его персональных данных недействителен и юридически ничтожен.

9. Обязанности Оператора
Оператор обязуется:
9.1. Принимать необходимые, достаточные и соответствующие требованиям законодательства РФ правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
9.2. Осуществлять мероприятия по организационной и технической защите персональных данных в соответствии с требованиями законодательства РФ по вопросам обработки персональных данных.
9.3. В целях обеспечения защиты персональных данных проводить оценку вреда, который может быть причинен субъектам в случае нарушения безопасности их персональных данных, а также определять актуальные угрозы безопасности персональных данных при их обработке в ИСПДн.
9.4. При выявлении актуальных угроз применять необходимые и достаточные правовые, организационные и технические меры по обеспечению безопасности персональных данных, включающие в себя:
· определение угроз безопасности информации, содержащей персональные данные, при ее обработке;
· применение организационных и технических мер по обеспечению безопасности информации, содержащей персональные данные, при ее обработке;
· оценку эффективности принимаемых мер до ввода в эксплуатацию ИСПДн;
· учет машинных носителей информации, содержащей персональные данные;
· обнаружение фактов несанкционированного доступа к информации, содержащей персональные данные, и принятие мер;
· восстановление персональных данных, поврежденных или уничтоженных вследствие несанкционированного доступа к ним;
· установление правил доступа к информации, содержащей персональные данные, обеспечение регистрации и учета всех действий, совершаемых с информацией, содержащей персональные данные, в ИСПДн;
·  контроль за принимаемыми мерами;
9.5. Общество хранит персональные данные в рамках конфиденциального делопроизводства в порядке, исключающим их утрату и неправомерное использование.

10 Заключительные положения 
11.1. Оператор имеет право вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента ее размещения на Сайте.
11.2. Субъекты ПДн вправе отозвать согласие на обработку персональных данных в любое время путем направления письменного уведомления по адресу, указанному в п. 11.3 настоящей Политики.
11.3. Оригиналы письменных запросов субъектов или их представителей направляются на адрес Оператора заказным почтовым отправлением с описью вложения или курьерской службой по адресу: 140070, Московская область, г. Люберцы, рабочий поселок Томилино, ул. Гаршина, дом 11/1, эт.5, пом.4, с пометкой «Запрос о персональных данных».
11.4. Субъекты могут также обратиться по номеру +7(495)645-00-44 доб. 53-481, либо по электронной почте: kastornov@energocontract.ru.