Политика обработки и защиты персональных данных в АО «Нижнетагильская Энергосбытовая компания»

1. Общие положения.

Настоящая политика (далее - Политика) разработана в соответствии со ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее - Закон о ПДн) и является внутренним документом Акционерного общества «Нижнетагильская Энергосбытовая компания» (далее - Организация или АО «НТЭСК»), определяющим деятельность в области обработки и защиты персональных данных (далее - ПДн), оператором которых является АО «НТЭСК» (далее - Оператор).

Политика разработана в целях реализации требований законодательства в области обработки и защиты ПДн и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн в Организации, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайн.

Политика применяется в отношении всех персональных данных, которые могут быть получены Организацией в процессе деятельности, в том числе работников и потребителей, при обработке их персональных данных с использованием средств автоматизации или без использования таких средств.

Положения Политики распространяются на отношения по обработке и защите ПДн, полученных Организацией как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите ПДн, полученных до ее утверждения.

2. Основания обработки и состав персональных данных, обрабатываемых в Организации

2.1. Обработка ПДн в Организации осуществляется в связи с выполнением законодательно возложенных на Организацию функций, полномочий и обязанностей, определяемых:

  • Федеральным законом от 01.04.1996 № 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного трахования";
  • Федеральным законом от 24.07.2009 № 212-ФЗ "О страховых взносах в Пенсионный Фонд РФ, Фонд социального страхования РФ, Федеральный Фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования";
  • Федеральным законом от 22.10.2004 № 125-ФЗ "Об архивном деле в РФ";
  • Трудовым кодексом РФ;
  • Гражданским кодексом РФ;
  • Налоговым кодексом РФ;
  • Федеральным законом от 28.03.1998 № 53-Ф3 "О воинской обязанности и военной службе";
  • Федеральным законом от 26.03.2003 № 35-Ф3 «Об электроэнергетике»;
  • иными нормативными правовыми актами Российской Федерации.

2.2. Обработка ПДн в Организации осуществляется в ходе трудовых и иных непосредственно связанных с ними отношений, в которых Организация выступает в качестве работодателя, в связи с реализацией Организацией своих прав и обязанностей как юридического лица. При этом обрабатываются ПДн лиц, претендующих на трудоустройство в Организацию, работников Организации (далее - Работники) и бывших Работников.

2.3. В рамках осуществления функций энергоснабжения ПДн потребителей обрабатываются Организацией в случае:

  • заключения договоров энергоснабжения;
  • оказания услуг по установке, замене приборов учета электрической энергии;
  • приема показаний приборов учета;
  • приема показаний приборов учета;
  • приема денежных средств за потребленную электроэнергию;
  • приема денежных средств за потребленную электроэнергию;

2.4. Обработка персональных данных потребителей осуществляется в рамках исполнения агентских полномочий по расчетам за жилищно-коммунальные услуги физических лиц. Обработка персональных данных осуществляется в том числе при заключении договоров на поставку коммунальных услуг, производстве расчетов объемов потребления энергоресурсов, осуществления расчетов с покупателями энергоресурсов.

2.5. Организацией осуществляется обработка персональных данных собственников (законных владельцев) жилых/нежилых помещений при взаимодействии с исполнителями коммунальных услуг (управляющими организациями и товариществами собственников жилья и т.п.) в рамках заключенных договоров на поставку ресурса и иных заключаемых договоров с целью взаимодействия с указанными исполнителями.

2.6. В связи с реализацией своих прав и обязанностей как юридического лица, Организацией обрабатываются ПДн физических лиц, являющихся контрагентами (возможными контрагентами) Организации по гражданско-правовым договорам, ПДн руководителей, членов коллегиальных исполнительных органов и представителей юридических лиц, ПДн иных физических лиц, представленные участниками закупки, физических лиц, ПДн которых используются для осуществления пропускного режима в занимаемых Организацией помещениях, а также граждан, письменно обращающихся в Организацию по вопросам ее деятельности.

2.7. ПДн получаются и обрабатываются Организацией на основании федеральных законов и иных нормативных правовых актов Российской Федерации, а в необходимых случаях - при наличии письменного согласия субъекта ПДн.

2.8. В целях исполнения своих функций Организация в установленном порядке вправе поручить обработку ПДн третьим лицам. В договоры с лицами, которым Организация поручает обработку ПДн, включаются условия, обязывающие таких лиц соблюдать предусмотренные законодательством требования к обработке и защите ПДн.

2.9. Организация предоставляет обрабатываемые ПДн государственным органам и организациям, имеющим, в соответствии с федеральным законом, право на получение соответствующих ПДн.

2.10. В Организации не производится обработка ПДн, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки ПДн в Организации, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся Организацией ПДн уничтожаются или обезличиваются.

2.11. При обработке ПДн обеспечиваются их точность, достаточность и актуальность по отношению к целям обработки. Организация принимает необходимые меры по удалению или уточнению неполных или неточных ПДн.

3. Принципы обеспечения безопасности персональных данных

3.1. Основной задачей обеспечения безопасности ПДн при их обработке в Организации является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения ПДн, разрушения (уничтожения) или искажения их в процессе обработки.

3.2. Для обеспечения безопасности ПДн Организация руководствуется следующими принципами:

  • законность: защита ПДн основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты ПДн;
  • системность: обработка ПДн в Организации осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности ПДн;
  • комплексность: защита ПДн строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Организации (далее - ИС) и других имеющихся в Организации систем и средств защиты;
  • непрерывность: защита ПДн обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки ПДн, в том числе при проведении ремонтных и регламентных работ;
  • своевременность: меры, обеспечивающие надлежащий уровень безопасности ПДн, принимаются до начала их обработки;
  • преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты ПДн осуществляется на основании результатов анализа практики обработки ПДн в Организации с учетом выявления новых способов и средств реализации угроз безопасности ПДн, отечественного и зарубежного опыта в сфере защиты информации;
  • персональная ответственность: ответственность за обеспечение безопасности ПДн возлагается на Работников в пределах их обязанностей, связанных с обработкой и защитой ПДн;
  • минимизация прав доступа: доступ к ПДн предоставляется Работникам только в объеме, необходимом для выполнения их должностных обязанностей;
  • гибкость: обеспечение выполнения функций защиты ПДн при изменении характеристик функционирования информационных систем персональных данных Организации (далее - ИСПДн), а также объема и состава обрабатываемых ПДн;
  • актуальность алгоритмов и механизмов защиты: структура, технологии и алгоритмы функционирования системы защиты ПДн Организации (далее - СЗПДн) не дают возможности преодоления имеющихся в Организации систем защиты возможными нарушителями безопасности ПДн;
  • научная обоснованность и техническая реализуемость: уровень мер по защите ПДн определяется современным уровнем развития информационных технологий и средств защиты информации;
  • специализация и профессионализм: реализация мер по обеспечению безопасности ПДн и эксплуатация СЗПДн осуществляются Работниками, имеющими необходимые для этого квалификацию и опыт;
  • эффективность процедур отбора кадров и выбора контрагентов: кадровая политика Организации предусматривает тщательный подбор персонала и мотивацию Работников, позволяющую исключить или минимизировать возможность нарушения ими безопасности ПДн; минимизация вероятности возникновения угрозы безопасности ПДн, источники которых связаны с человеческим фактором, обеспечивается получением наиболее полной информации о контрагентах Организации до заключения договоров;
  • непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты ПДн, а результаты контроля регулярно анализируются.
4. Доступ к обрабатываемым персональным данным

4.1. Доступ к обрабатываемым в Организации ПДн имеют лица, уполномоченные приказом руководителя Организации, лица, которым Организация поручила обработку ПДн на основании заключенного договора, а также лица, чьи ПДн подлежат обработке.

4.2. Доступ Работников к обрабатываемым ПДн осуществляется в соответствии с их должностными обязанностями и требованиями локальных нормативных актов Организации.

4.3. Допущенные к обработке ПДн Работники под роспись знакомятся с документами Организации, устанавливающими порядок обработки ПДн, включая документы, устанавливающие права и обязанности конкретных Работников.

5. Реализуемые требования к защите персональных данных

5.1. Организация принимает правовые, организационные и технические меры (или обеспечивает их принятие), необходимые и достаточные для обеспечения исполнения обязанностей, предусмотренных Законом о ПДн и принятыми в соответствии с ним нормативными правовыми актами, для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

5.2. Состав указанных в пункте 5.1 Политики мер, включая их содержание и выбор средств защиты ПДн, определяется, а локальные нормативные акты по обработке и защите ПДн утверждаются Организацией исходя из требований:

  • Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»;
  • главы 14 Трудового кодекса Российской Федерации;
  • постановления Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • приказа ФСТЭК России от 18 февраля 2013 г. N21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн»;
  • приказа ФСБ России от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
  • постановления Правительства Российской Федерации от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • постановления Правительства Российской Федерации РФ от 6 июля 2008 г. N 512 «Об утверждении требований к материальным носителям 10биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
  • иных нормативных правовых актов Российской Федерации об обработке и защите ПДн.

5.3. Назначается Ответственный за организацию обработки ПДн, определяется его компетенция.

5.4. В предусмотренных законодательством случаях обработка ПДн осуществляется Организацией с согласия субъектов ПДн.

5.5. Организацией производится устранение выявленных нарушений законодательства об обработке и защите ПДн.

5.6. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше чем этого требуют цели обработки ПДн, если срок хранения не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.

5.7. Осуществляется ознакомление работников Организации, непосредственно осуществляющих обработку ПДн, с положениями законодательства о ПДн, в том числе требованиями к защите ПДн, Политикой и иными локальными нормативными актами по вопросам обработки ПДн.

5.8. Утверждаются (издаются) локальные нормативные акты по вопросам обработки и защиты ПДн, в том числе устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений.

5.9. Осуществляется внутренний контроль и (или) аудит соответствия обработки ПДн Закону о ПДн и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, Политике и локальными нормативными актами Организации.

5.10. Обеспечение безопасности ПДн в Организации при их обработке в ИСПДн достигается, в частности, путем:

  • назначения должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе;
  • определения угроз безопасности ПДн. Тип актуальных угроз безопасности ПДн и необходимый уровень защищенности ПДн определяются в соответствии с требованиями законодательства и с учетом проведения оценки возможного вреда;
  • определения в установленном порядке состава и содержания мер по обеспечению безопасности ПДн, выбора средств защиты информации. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности ПДн, а также с учетом экономической целесообразности Организацией могут разрабатываться компенсирующие меры, направленные на нейтрализацию актуальных угроз безопасности ПДн. В этом случае в ходе разработки СЗПДн проводится обоснование применения компенсирующих мер для обеспечения безопасности ПДн;
  • применения организационных и технических мер по обеспечению безопасности ПДн, необходимых для выполнения требований к защите ПДн, обеспечивающих определенные уровни защищенности ПДн, включая применение средств защиты информации, прошедших процедуру оценки соответствия, когда применение таких средств необходимо для нейтрализации актуальных угроз.

применения организационных и технических мер по обеспечению безопасности ПДн, необходимых для выполнения требований к защите ПДн, обеспечивающих определенные уровни защищенности ПДн, включая применение средств защиты информации, прошедших процедуру оценки соответствия, когда применение таких средств необходимо для нейтрализации актуальных угроз.

  • оценка эффективности принимаемых и реализованных мер по обеспечению безопасности ПДн;
  • учет машинных носителей ПДн, обеспечение их сохранности;
  • обнаружение фактов несанкционированного доступа к ПДн и принятие соответствующих мер;
  • восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установление правил доступа к обрабатываемым ПДн;
  • организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
  • контроль за принимаемыми мерами по обеспечению безопасности ПДн, уровня защищенности ИСПДн.

5.11. Обеспечение защиты ПДн в Организации при их обработке, осуществляемой без использования средств автоматизации, достигается, в частности, путем:

  • обособления ПДн от иной информации;
  • недопущения фиксации на одном материальном носителе ПДн, цели обработки которых заведомо не совместимы;
  • использования отдельных материальных носителей для обработки каждой категории ПДн;
  • принятия мер по обеспечению раздельной обработки ПДн при несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн;
  • соблюдения требований:
    • к раздельной обработке зафиксированных на одном материальном носителе ПДн и информации, не относящейся к ПДн;
    • уточнению ПДн;
    • уничтожению или обезличиванию части ПДн;
    • использованию типовых форм документов, характер информации в которых предполагается или допускается включение в них ПДн;
    • ведению журналов, содержащих ПДн, необходимых для выдачи однократных пропусков субъектам ПДн в занимаемые Организацией здания и помещения;
    • хранению ПДн, в том числе к обеспечению раздельного хранения ПДн (материальных носителей), обработка которых осуществляется в различных целях, и установлению перечня лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.
6. Права субъектов персональных данных

6.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Оператором.

6.2. Субъект персональных данных вправе требовать от Оператора, который их обрабатывает, уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.

6.4. Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору. Тот рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

6.5. Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.

6.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

7. Заключительные положения

7.1. Настоящая Политика разработана Организацией, является общедоступной и подлежит размещению на официальном сайте Организации.

7.2. Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных.

7.3. Настоящая Политика подлежит обязательному пересмотру в случаях изменения нормативных правовых актов, методических документов Российской Федерации и внутренних документов Организации в области обработки и защиты персональных данных.

7.4. Ответственность должностных лиц Организации, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Организации.