1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика обработки персональных данных в акционерном
обществе «Златоустовский машиностроительный завод» (АО «Златмаш», ИНН
7404052938) (далее АО «Златмаш», Оператор) определяет основные принципы, цели,
условия и способы обработки персональных данных, категории субъектов и перечень
обрабатываемых Оператором персональных данных, функции Оператора при обработке
персональных данных, права субъектов персональных данных, а также реализуемые
Оператором требования к защите персональных данных.
1.2. Положения Политики обработки персональных данных в АО «Златмаш»
служат основой для разработки локальных нормативных актов Оператора,
регламентирующих вопросы обработки персональных данных работников Оператора и
других субъектов персональных данных.
2. ЗАКОНОДАТЕЛЬНЫЕ И ИНЫЕ НОРМАТИВНЫЕ ПРАВОВЫЕ
АКТЫ, В СООТВЕТСТВИИ С КОТОРЫМИ ОПРЕДЕЛЯЕТСЯ
ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В АО «ЗЛАТМАШ»
2.1. Политика обработки персональных данных в АО «Златмаш» (далее Политика)
определяется в соответствии с:
- Конституцией Российской Федерации, Трудовым кодексом Российской Федерации,
Налоговым Кодексом Российской Федерации;
- Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных
технологиях и о защите информации»;
- Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Федеральным законом от 22.02.2017 № 16-ФЗ «О внесении изменений в главу 5
Федерального закона «О персональных данных» и статью 1 Федерального закона «О
защите прав юридических лиц и индивидуальных предпринимателей при осуществлении
государственного контроля (надзора) и муниципального контроля»;
- Указом Президента РФ от 06.03.1997 № 188 «Об утверждении Перечня сведений
конфиденциального характера»,
- Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении
Положения об особенностях обработки персональных данных, осуществляемой без
использования средств автоматизации»;
- Постановлением Правительства РФ от 16.03.2009 № 228 «О Федеральной службе по
надзору в сфере связи, информационных технологий и массовых коммуникаций» (вместе с
«Положением о Федеральной службе по надзору в сфере связи, информационных
технологий и массовых коммуникаций»);
- Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении
требований к защите персональных данных при их обработке в информационных системах
персональных данных»;
- Приказом Минкомсвязи России от 14.11.2011 № 312 «Об утверждении
2
Административного регламента исполнения Федеральной службой по надзору в сфере
связи, информационных технологий и массовых коммуникаций государственной функции
по осуществлению государственного контроля (надзора) за соответствием обработки
персональных данных требованиям законодательства РФ в области персональных данных»;
- Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и
содержания организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах персональных
данных»;
- Приказом Роскомнадзора от 30.05.2017 № 94 «Об утверждении методических
рекомендаций по уведомлению уполномоченного органа о начале обработки персональных
данных и о внесении изменений в ранее представленные сведения», Разъяснениями
Роскомнадзора.
2.2. В целях реализации положений Политики Оператором разрабатываются
соответствующие локальные нормативные акты и иные документы, в том числе
Положение о работе с персональными данными в АО «Златмаш».
3. ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ
3.1. В настоящей Политике используются следующие термины и определения:
- персональные данные - любая информация, относящаяся прямо или косвенно к
определенному или определяемому физическому лицу (субъекту персональных данных);
- Оператор - юридическое лицо АО «Златмаш», самостоятельно или совместно с
другими лицами организующее и (или) осуществляющее обработку персональных данных,
а также определяющее цели обработки персональных данных, состав персональных
данных, подлежащих обработке, действия (операции), совершаемые с персональными
данными;
- обработка персональных данных - любое действие (операция) или совокупность
действий (операций), совершаемых с использованием средств автоматизации или без
использования таких средств с персональными данными, включая сбор, запись,
систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение,
использование, передачу (распространение, предоставление, доступ), обезличивание,
блокирование, удаление, уничтожение персональных данных;
- автоматизированная обработка персональных данных - обработка персональных
данных с помощью средств вычислительной техники;
- распространение персональных данных - действия, направленные на раскрытие
персональных данных неопределенному кругу лиц;
- предоставление персональных данных - действия, направленные на раскрытие
персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных - временное прекращение обработки
персональных данных (за исключением случаев, если обработка необходима для уточнения
персональных данных);
3
- уничтожение персональных данных - действия, в результате которых становится
невозможным восстановить содержание персональных данных в информационной системе
персональных данных и (или) в результате которых уничтожаются материальные носители
персональных данных;
- обезличивание персональных данных - действия, в результате которых становится
невозможным без использования дополнительной информации определить принадлежность
персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных - совокупность содержащихся в
базах данных персональных данных и обеспечивающих их обработку информационных
технологий и технических средств.
4. ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Оператор осуществляет обработку персональных данных работников
АО «Златмаш» и других субъектов персональных данных, не состоящих с Оператором в
трудовых отношениях. Обработка персональных данных осуществляется Оператором с
учетом необходимости обеспечения защиты прав и свобод работников АО «Златмаш» и
других субъектов персональных данных, в том числе защиты права на
неприкосновенность частной жизни, личную и семейную тайну, на основе следующих
принципов:
- обработка персональных данных осуществляется на законной и справедливой
основе;
- обработка персональных данных ограничивается достижением конкретных, заранее
определенных и законных целей;
- не допускается обработка персональных данных, несовместимая с целями сбора
персональных данных;
- не допускается объединение баз данных, содержащих персональные данные,
обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их
обработки;
- содержание и объем обрабатываемых персональных данных соответствует
заявленным целям обработки. Не допускается избыточность обрабатываемых
персональных данных по отношению к заявленным целям их обработки;
- при обработке персональных данных обеспечиваются точность персональных
данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям
обработки персональных данных. Оператором принимаются необходимые меры, либо
обеспечивается их принятие по удалению или уточнению неполных или неточных
персональных данных;
- хранение персональных данных осуществляется в форме, позволяющей определить
субъекта персональных данных, не дольше, чем того требуют цели обработки
4
персональных данных, если срок хранения персональных данных не установлен
федеральным законом, договором, стороной которого, выгодоприобретателем, или
поручителем по которому является субъект персональных данных;
- обрабатываемые персональные данные уничтожаются либо обезличиваются по
достижении целей обработки или в случае утраты необходимости в достижении этих целей,
если иное не предусмотрено федеральным законом.
4.2. Персональные данные обрабатываются Оператором в целях осуществления и
выполнения возложенных законодательством РФ на Оператора функций, полномочий и
обязанностей, в частности:
- выполнения требований законодательства в сфере труда и налогообложения;
- ведения текущего бухгалтерского и налогового учёта, формирования, изготовления и
своевременной подачи бухгалтерской, налоговой и статистической отчётности;
- выполнения требований законодательства по определению порядка обработки и
защиты персональных данных граждан, являющихся клиентами или контрагентами
Оператора;
- содействия в трудоустройстве, профессиональном обучении;
- продвижения по службе, обеспечения личной безопасности работников, контроля
количества и качества выполняемой работы и обеспечения сохранности имущества;
- осуществления прав и законных интересов Оператора в рамках осуществления видов
деятельности, предусмотренных Уставом, коллективным договором и иными локальными
нормативными актами Оператора, или третьих лиц, либо достижения общественно
значимых целей;
- выполнения требований законодательства об обороне, о безопасности, о
противодействии терроризму, о транспортной безопасности, о противодействии
коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, а
также в соответствии с уголовно-исполнительным законодательством РФ;
- в иных законных целях.
5. КАТЕГОРИИ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ
ОБРАБАТЫВАЮТСЯ В АО «ЗЛАТМАШ»
5.1. Категории субъектов, персональные данные которых подлежат обработке:
- работники АО «Златмаш»;
- физические лица, состоящие с Оператором в договорных и иных гражданско-
правовых отношениях;
- лица, трудовые договоры с которыми прекращены Оператором по основаниям,
предусмотренным трудовым законодательством (ОАО «Златмаш», ФГУП «ПО «ЗМЗ», ПО
«ЗМЗ»);
- учащиеся и студенты учебных заведений, проходящие практику, стажировку в
АО «Златмаш»;
5
- кандидаты на работу, заполнившие анкету кандидата по установленному образцу
или направившие резюме;
- контрагенты Оператора;
- физические лица, обратившиеся к Оператору в порядке, установленном
Федеральным законом «О порядке рассмотрения обращений граждан РФ».
6. ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ
В АО «ЗЛАТМАШ»
6.1. Перечень персональных данных, обрабатываемых в АО «Златмаш»,
определяется в соответствии с законодательством Российской Федерации и локальным
нормативным актом Оператора – Положением о работе с персональными данными в
АО «Златмаш», с учетом целей обработки персональных данных, указанных в разделе 4
Политики.
6.2. Обработка специальных категорий персональных данных, касающихся
расовой, национальной принадлежности, политических взглядов, религиозных или
философских убеждений, состояния здоровья, интимной жизни, в АО «Златмаш» не
допускается, за исключением случаев, если обработка персональных данных
осуществляется в соответствии с законодательством РФ об обороне, о безопасности, о
противодействии терроризму, о транспортной безопасности, о противодействии
коррупции, об оперативно-розыскной деятельности, об исполнительном производстве,
уголовно-исполнительным законодательством РФ.
7. ФУНКЦИИ АО «ЗЛАТМАШ» ПРИ ОСУЩЕСТВЛЕНИИ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. АО «Златмаш» при осуществлении обработки персональных данных:
- принимает меры, необходимые и достаточные для обеспечения выполнения
требований законодательства РФ и локальных нормативных актов Оператора в области
персональных данных;
- принимает правовые, организационные и технические меры для защиты
персональных данных от неправомерного или случайного доступа к ним, уничтожения,
изменения, блокирования, копирования, предоставления, распространения персональных
данных, а также от иных неправомерных действий в отношении персональных данных;
- назначает лицо, ответственное за организацию обработки персональных данных в
АО «Златмаш»;
- издает локальные нормативные акты, определяющие политику и вопросы обработки
и защиты персональных данных в АО «Златмаш»;
- осуществляет ознакомление работников АО «Златмаш», непосредственно
осуществляющих обработку персональных данных, с положениями законодательства РФ и
локальных нормативных актов АО «Златмаш» в области персональных данных, в том
6
числе с требованиями к защите персональных данных;
- публикует или иным образом обеспечивает неограниченный доступ к настоящей
Политике;
- сообщает в установленном порядке субъектам персональных данных или их
представителям информацию о наличии персональных данных, относящихся к
соответствующим субъектам, предоставляет возможность ознакомления с этими
персональными данными при обращении и (или) поступлении запросов указанных
субъектов персональных данных или их представителей, если иное не установлено
законодательством РФ;
- прекращает обработку и уничтожает персональные данные в случаях,
предусмотренных законодательством РФ в области персональных данных;
- совершает иные действия, предусмотренные законодательством РФ в области
персональных данных.
8. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В АО «ЗЛАТМАШ»
8.1. Обработка персональных данных в АО «Златмаш» осуществляется с согласия
субъекта персональных данных на обработку его персональных данных, если иное не
предусмотрено законодательством РФ в области персональных данных.
8.2. Оператор без согласия субъекта персональных данных не раскрывает третьим
лицам и не распространяет персональные данные, если иное не предусмотрено
федеральным законом.
8.3. АО «Златмаш» вправе поручить обработку персональных данных другому
лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом
договора. Договор должен содержать перечень действий (операций) с персональными
данными, которые будут совершаться лицом, осуществляющим обработку персональных
данных, цели обработки, обязанность такого лица соблюдать конфиденциальность
персональных данных и обеспечивать безопасность персональных данных при их
обработке, а также требования к защите обрабатываемых персональных данных в
соответствии со статьей 19 Федерального закона «О персональных данных».
8.4. Доступ к обрабатываемым в АО «Златмаш» персональным данным
разрешается только работникам Оператора, занимающим должности, включенные в
перечень должностей структурных подразделений АО «Златмаш», при замещении
которых осуществляется обработка персональных данных.
7
9. ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ И
СПОСОБЫ ИХ ОБРАБОТКИ
9.1. АО «Златмаш» осуществляет сбор, запись, систематизацию, накопление,
хранение, уточнение (обновление, изменение), извлечение, использование, передачу
(распространение, предоставление, доступ), обезличивание, блокирование, удаление и
уничтожение персональных данных.
9.2. Обработка персональных данных Оператором осуществляется следующими
способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных с передачей полученной
информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка персональных данных.
10. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Субъекты персональных данных имеют право на:
- полную информацию об их персональных данных, обрабатываемых Оператором;
- доступ к своим персональным данным, включая право на получение копии любой
записи, содержащей их персональные данные, за исключением случаев, предусмотренных
федеральным законом;
- уточнение своих персональных данных, их блокирование или уничтожение в случае,
если персональные данные являются неполными, устаревшими, неточными, незаконно
полученными или не являются необходимыми для заявленной цели обработки;
- отзыв согласия на обработку персональных данных;
- принятие предусмотренных законом мер по защите своих прав;
- обжалование действия или бездействия АО «Златмаш», осуществляемого с
нарушением требований законодательства РФ в области персональных данных, в
уполномоченный орган по защите прав субъектов персональных данных или в суд;
- осуществление иных прав, предусмотренных законодательством РФ.
11. МЕРЫ, ПРИНИМАЕМЫЕ АО «ЗЛАТМАШ» ДЛЯ ОБЕСПЕЧЕНИЯ
ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА ПРИ ОБРАБОТКЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. Меры, необходимые и достаточные для обеспечения выполнения АО
«Златмаш» обязанностей Оператора, предусмотренных законодательством РФ в области
персональных данных, включают:
- назначение лица, ответственного за организацию обработки персональных данных в
АО «Златмаш»;
- принятие локальных нормативных актов и иных документов в области обработки и
8
защиты персональных данных;
- организацию обучения и проведение методической работы с работниками
структурных подразделений АО «Златмаш», занимающими должности, включенные в
перечень должностей структурных подразделений Оператора, при замещении которых
осуществляется обработка персональных данных;
- получение согласий субъектов персональных данных на обработку их персональных
данных, за исключением случаев, предусмотренных законодательством РФ;
- обособление персональных данных, обрабатываемых без использования средств
автоматизации, от иной информации, в частности путем их фиксации на отдельных
материальных носителях персональных данных, в специальных разделах;
- обеспечение раздельного хранения персональных данных и их материальных
носителей, обработка которых осуществляется в разных целях и которые содержат разные
категории персональных данных;
- установление запрета на передачу персональных данных по открытым каналам
связи, вычислительным сетям вне пределов контролируемой зоны АО «Златмаш» и сетям
Интернет без применения установленных Оператором мер по обеспечению безопасности
персональных данных (за исключением общедоступных и (или) обезличенных
персональных данных);
- хранение материальных носителей персональных данных с соблюдением условий,
обеспечивающих сохранность персональных данных и исключающих
несанкционированный доступ к ним;
- осуществление внутреннего контроля соответствия обработки персональных данных
Федеральному закону «О персональных данных» и принятым в соответствии с ним
нормативным правовым актам, требованиям к защите персональных данных, настоящей
Политике, локальным нормативным актам Оператора;
- иные меры, предусмотренные законодательством РФ в области персональных
данных.
11.2. Меры по обеспечению безопасности персональных данных при их обработке
в информационных системах персональных данных устанавливаются в соответствии с
локальными нормативными актами АО «Златмаш», регламентирующими вопросы
обеспечения безопасности персональных данных при их обработке в информационных
системах персональных данных АО «Златмаш».
12. КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА РФ И
ЛОКАЛЬНЫХ НОРМАТИВНЫХ АКТОВ АО «ЗЛАТМАШ» В ОБЛАСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ, В ТОМ ЧИСЛЕ ТРЕБОВАНИЙ К ЗАЩИТЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ
12.1. Контроль за соблюдением структурными подразделениями АО «Златмаш»
законодательства РФ и локальных нормативных актов АО «Златмаш» в области
персональных данных, в том числе требований к защите персональных данных,
9
осуществляется с целью проверки соответствия обработки персональных данных в
структурных подразделениях Оператора законодательству РФ и локальным нормативным
актам АО «Златмаш» в области персональных данных, в том числе требованиям к защите
персональных данных, а также принятых мер, направленных на предотвращение и
выявление нарушений законодательства РФ в области персональных данных, выявления
возможных каналов утечки и несанкционированного доступа к персональным данным,
устранения последствий таких нарушений.
12.2. Внутренний контроль за соблюдением структурными подразделениями
АО «Златмаш» законодательства РФ и локальных нормативных актов Оператора в области
персональных данных, в том числе требований к защите персональных данных,
осуществляется лицом, ответственным за организацию обработки персональных данных в
АО «Златмаш».
12.3. Персональная ответственность за соблюдение требований законодательства
РФ и локальных нормативных актов Оператора в области персональных данных в
структурных подразделениях АО «Златмаш», а также за обеспечение конфиденциальности
и безопасности персональных данных в подразделениях АО «Златмаш» возлагается на их
руководителей.
