г. Тюмень, ул. Осипенко 19
пн. - пт.: 8:30 - 17:30 (обед 12:30 - 13:30)
+7 (3452) 50-08-54
Телефон офиса

ПОЛОЖЕНИЕ
О защите персональных данных в Обществе с ограниченной ответственностью «Региональная Энергетическая Компания»

г. Тюмень, 2020

1.    Общие положения

  1. 1.1 Настоящее Положение определяет политику Общества с ограниченной ответственностью «Региональная Энергетическая Компания» (далее – Общество) в отношении обработки персональных данных
  2. 1.2 Обработка персональных данных осуществляется Обществом на законной и справедливой основе. Правовыми основаниями для обработки являются:
    • Конституция Российской Федерации;
    • Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
    • Гражданский кодекс Российской Федерации от 26.01.1996 № 14-ФЗ;
    • Налоговый кодекс Российской Федерации;
    • Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
    • Постановление Госкомстата России от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»;
    • Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
    • Федеральный закон от 26.12.1995 № 208-ФЗ «Об акционерных обществах»;
    • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
    • Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»;
    • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
    • Федеральный закон от 22.04.1996 № 39-ФЗ «О рынке ценных бумаг»;
    • Положение о раскрытии информации эмитентами эмиссионных ценных бумаг, утвержденное Банком России 30.12.2014 № 454-П;
    • Федеральный закон от 26.07.2006 № 135-ФЗ «О защите конкуренции»;
    • Федеральный закон от 13.07.2015 № 218-ФЗ «О государственной регистрации недвижимости»;
    • Постановление Правительства РФ от 27.12.2004 N 861 «Об утверждении Правил недискриминационного доступа к услугам по передаче электрической энергии и оказания этих услуг, Правил недискриминационного доступа к услугам по оперативно-диспетчерскому управлению в электроэнергетике и оказания этих услуг, Правил недискриминационного доступа к услугам администратора торговой системы оптового рынка и оказания этих услуг и Правил технологического присоединения энергопринимающих устройств потребителей электрической энергии, объектов по производству электрической энергии, а также объектов электросетевого хозяйства, принадлежащих сетевым организациям и иным лицам, к электрическим сетям»;
    • Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
    • Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
    • Согласия субъектов персональных данных на обработку их персональных данных.
  3. 1.3 Целью настоящего Положения является определение порядка и условий обработки персональных данных субъектов персональных данных в Обществе; обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований и норм, регулирующих обработку и защиту персональных данных.
  4. 1.4 Персональные данные относятся к категории конфиденциальной информации. Конфиденциальность, сохранность и защита персональных данных обеспечиваются отнесением их к сфере негосударственной тайны.

2.    Основные понятия, используемые в настоящем Положении

Для целей настоящего Положения применяются следующие термины и определения:

Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

Несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа, в том числе с использованием штатных средств, предоставляемых информационными системами персональных данных.

Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с Федеральным законодательством не распространяется требование соблюдения конфиденциальности.

3.    Сведения об обработке персональных данных

  1. 3.1 Обработка персональных данных Обществом ведется с использованием и без использования средств автоматизации с передачей по внутренней сети Общества, с передачей по сети Интернет.
  2. 3.2 Обработка персональных данных Обществом осуществляется путем совершения следующих действий (операций) и (или) совокупности действий (операций): сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
  3. 3.3 Содержание и объем обрабатываемых персональных данных определяются исходя из целей обработки.
  4. 3.4 Обществом обрабатываются персональные данные следующих категорий субъектов:
    • работники Общества;
    • кандидаты на вакантные должности;
    • близкие родственники работника;
    • члены контрольно-ревизионной комиссии (ревизор), кандидаты в члены контрольно- ревизионной комиссии;
    • лицо, осуществляющее функции исполнительного органа;
    • субъекты (контрагенты), обработка персональных данных которых связана с выполнением работ, оказанием услуг, действиями (отчуждение, приобретение) с имуществом, либо состоящих (состоявших) в иных гражданско-правовых отношениях с Обществом в связи с осуществлением Обществом своей хозяйственной деятельности.
  5. 3.5 Состав обрабатываемых персональных данных:

    фамилия, имя, отчество; пол; дата (день, месяц, год) рождения; возраст; место рождения; гражданство; паспортные данные (данные иного документа, удостоверяющего личность); адрес места жительства; адрес регистрации; фотография; видеозапись; номер телефона; адрес электронной почты; данные документов о профессиональном образовании; профессиональной переподготовке; повышении квалификации, стажировке (профессия, специальность, квалификация); реквизиты трудовой книжки; сведения о предыдущих местах работы, периодах работы и занимаемых должностях; стаж работы; табельный номер; место работы; подразделение; должность; реквизиты и содержание трудового договора; сведения о заработной плате (доходах); номер лицевого счета, реквизиты банковского счета; реквизиты банковской карты; отношение к воинской обязанности; реквизиты удостоверения гражданина, подлежащего призыву на военную службу; реквизиты военного билета; семейное положение; реквизиты свидетельства о заключении брака; сведения о составе семьи; данные документов о рождении ребенка; данные свидетельства о постановке на учет в налоговом органе физического лица по месту жительства на территории РФ (идентификационный номер налогоплательщика - ИНН); страховой номер индивидуального лицевого счета (СНИЛС); данные полиса обязательного медицинского страхования; данные документов о присвоении ученой степени, ученого звания; списки научных трудов и изобретений; сведения о наградах и званиях (дисциплинарных взысканиях); сведения о социальных льготах; субсидии; сведения о знании иностранных языков; данные водительского удостоверения (в случае необходимости); данные заключения установленной формы по результатам медицинского осмотра; данные документов об инвалидности (при наличии); реквизиты листка нетрудоспособности; личная подпись; реквизиты вида на жительство иностранного гражданина; реквизиты разрешения на работу иностранному гражданину или лицу без гражданства; сведения о регистрации в качестве индивидуального предпринимателя; сведения об объеме и стоимости оказываемой в рамках договора услуги, реквизиты договора; сведения о задолженности субъекта персональных данных за оказанные услуги, об оплате; кадастровый номер; сведения о документах, подтверждающих право собственности либо подтверждающих принадлежность на ином законном основании, на подключаемый объект.

4.  Общие принципы и условия обработки персональных данных

  1. 4.1 Обработка персональных данных осуществляется на основе следующих принципов:
    • Обработка персональных данных осуществляется в соответствии с требованиями, установленными действующим законодательством.
    • Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
    • Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой..
    • Обработке подлежат только персональные данные, которые отвечают целям их обработки.
    • Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
    • При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Общество должно принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
    • Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом № 152-ФЗ, договором, стороной которого, является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законодательством.
    • Контроль за осуществлением порядка обработки, передачи, хранения и использованием, а также неразглашением персональных данных возлагается на руководителей структурных подразделений Общества, имеющих доступ к персональным данным, и Службой экономической безопасности Общества..
    • Доступ к персональным данным разрешен только специально уполномоченным лицам, определенным приказом работодателя или настоящим Положением, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций.
  2. 4.2 В целях обеспечения прав и свобод человека и гражданина, Общество и его представители при обработке персональных данных обязаны соблюдать следующие общие требования:
    • Обработка персональных данных субъекта (контрагента) может осуществляться с его согласия в целях реализации договорных отношений с субъектом персональных данных, в том числе исполнения обязанностей и реализации прав, предоставленных в рамках договоров (соглашений), а также для осуществлении экономической и хозяйственной деятельности Общества, при условии, что обработка персональных данных осуществляется уполномоченным на то сотрудником Общества, в объеме, необходимом данному сотруднику для выполнения своей трудовой функции. Согласие субъекта (контрагента) на обработку его персональных данных может быть получено при заключении договора в виде отдельного документа по форме, предусмотренной Приложением № 1 к настоящему Положению, либо путем включения данных условий в договор, заключаемый с субъектом персональных данных.
    • Обработка персональных данных работника, кандидата на вакантную должность может осуществляется в целях:
      • осуществления и выполнения возложенных законодательством Российской Федерации на работодателя функций, полномочий и обязанностей: выполнение требований законодательства РФ о труде, налогового законодательства РФ, законодательства РФ об обязательном социальном и обязательном пенсионном страховании;
      • ведения кадрового делопроизводства в соответствии с Трудовым кодексом РФ, личных дел работников, организации учета работников организации;
      • соблюдения трудового законодательства и иных актов, содержащих нормы трудового права, включая учет труда и его оплаты, принятия управленческих и кадровых решений, контроль над трудовой дисциплиной;
      • предоставления данных в соответствии с законодательством РФ в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
      • осуществления негосударственного пенсионного обеспечения;
      • осуществления экономической и хозяйственной деятельности юридического лица;
      • оформления банковских карт зарплатного проекта и осуществления финансовых расчетов;
      • проведения аудита финансово-хозяйственной деятельности и кадровой документации;
      • обращения и контактов по рабочим вопросам, информационного взаимодействия в Обществе;
      • ведения бухгалтерского и налогового учета, формирование статистической, бухгалтерской и налоговой отчетности, в том числе для предоставления государственным органам;
      • осуществления расчета и выплаты заработной платы, компенсаций и премий, осуществления пенсионных и налоговых отчислений, а также для осуществления расчетов с подотчетными лицами;
      • осуществления руководства Обществом и/или структурными подразделениями;
      • оперативного управления бизнес-процессами и ресурсами компании;
      • предоставления данных по запросу в государственные учреждения, суды, подготовки справок по запросу лиц, ранее состоявших в трудовых отношениях с Обществом;
      • подготовки отчетности в разрезе выполнения индивидуальных показателей
      • оформления доверенностей;
      • персонализации учетных данных информационных систем;
      • материального учета;
      • обеспечения эффективной коммуникации;
      • выпуск сертификата ключа проверки электронной подписи;
      • ведения воинского учета граждан, пребывающих в запасе;
      • подготовки работников к награждению;
      • содействия в трудоустройстве;
      • обеспечения личной безопасности работника, предупреждение и фиксация противоправных действий;

      • Согласие работника на обработку персональных данных может быть получено при приеме на работу по форме, предусмотренной Приложением № 3 к настоящему Положению.

    • Все персональные данные следует получать у субъекта персональных данных или у его полномочного представителя. Если персональные данные субъекта персональных данных, возможно, получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие
    • При определении объема и содержания, обрабатываемых персональных данных, Общество должно руководствоваться Конституцией Российской Федерации, Трудовым кодексом, и иными Федеральными законами и локальными нормативными актами в области защиты персональных данных.
    • Общество не имеет права получать и обрабатывать персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
    • Защита персональных данных от неправомерного их использования или утраты Обществом за счет своих средств, в порядке, установленном Федеральным законодательством и настоящим Положением.
    • Работники должны быть ознакомлены под роспись с документами Общества, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области

5.  Доступ к персональным данным

  1. 5.1 Работники, допущенные к сведениям, содержащим персональные данные, несут персональную ответственность за соблюдение ими установленного в Обществе режима конфиденциальности этих данных. Прежде чем получить доступ к персональным данным, они должны изучить требования настоящего Положения и другие нормативные документы, определяющие защиту персональных данных, коммерческой тайны в Обществе, и подписать соответствующее личное письменное обязательство. (Приложение №2 к настоящему Положению)
  2. 5.2 Обработку персональных данных осуществляют лица, имеющие допуск к персональным данным на основании локального акта Общества.
  3. 5.3 Надзорно-контрольные органы и суд имеют доступ к информации только в пределах своей компетенции
  4. 5.4 Организации, в которые сотрудник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае его письменного разрешения.
  5. 5.5 Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого сотрудника
  6. 5.6 Иные лица, имеющие допуск к персональным данным работника, могут знакомиться с документами, содержащими персональные данные работника в помещении отдела кадров, под наблюдением работника отдела кадров. Работник имеет право знакомиться только со своими документами, содержащими персональные данные.
  7. 5.7 В случае изъятия документов, содержащих персональные данные работника, производится запись с указанием основания для подобного действия и нового местонахождения документа. С документа, подлежащего изъятию, снимается копия, заверенная подписью работника отдела кадров, которая подшивается на место изъятого документа

    8. При возврате документов, содержащих персональные данные работника, тщательно проверяется сохранность документов, отсутствие повреждений, включение в материалы других документов или подмена документов. Просмотр документов производится работником отдела кадров, в присутствии должностного лица, получавшего в пользование документы. В случае недостачи документа(ов) проводится служебное расследование.

  8. 5.8 Замена документов, содержащих персональные данные работника, запрещается. Новые исправленные документы помещаются вместе с ранее подшитыми.

6.  Хранение и обработка персональных данных

  1. 6.1 Информация персонального характера хранится и обрабатывается с соблюдением требований действующего законодательства о защите персональных данных.
  2. 6.2 Порядок хранения документов, содержащих персональные данные работников осуществлять в соответствии с:
    • Правилами, устанавливающими порядок ведения и хранения трудовых книжек, а также порядок изготовления бланков трудовой книжки и обеспечения ими работодателей;
    • Унифицированными формами первичной учетной документации по учету труда и его оплаты;
    • Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
    • Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
    • Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
    • Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  3. 6.3 Обработка персональных данных субъектов персональных данных Общества осуществляется неавтоматизированным и автоматизированным (с помощью ПЭВМ и специальных программных продуктов) способами обработки персональных данных.
  4. 6.4 Персональные данные хранятся на бумажных носителях и в электронном виде.
  5. 6.5 Хранение текущей документации и оконченной производством документации, содержащей персональные данные, осуществляется во внутренних подразделениях Общества, а также в помещениях Общества, предназначенных для хранения отработанной документации.
  6. 6.6 Хранение персональных данных осуществляется не дольше, чем этого требуют цели их обработки в течение установленных действующими нормативными актами сроков хранения данных документов, и подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении, а также в по истечении сроков хранения, установленных законодательством в соответствии с локальными нормативными актами, утвержденными в Обществе.

7.  Передача персональных данных третьим лицам

  1. 7.1 Передача персональных данных третьим лицам осуществляется Обществом только с письменного согласия субъекта персональных данных, за исключением случаев:
    • когда это необходимо в целях предупреждения угрозы жизни и здоровью;
    • по запросу органов дознания, следствия, прокуратуры и суда в связи с проведением расследования или судебным разбирательством, в соответствии с Законом об оперативно- розыскной деятельности;
    • при наличии оснований, позволяющих полагать, что права и интересы могут быть нарушены противоправными действиями других лиц
    • в иных случаях, прямо предусмотренных Федеральным законодательством.
  2. 7.2 Лица, которым в установленном Федеральным законом №152-ФЗ порядке переданы сведения, содержащие персональные данные, несут ответственность за разглашение в соответствии с действующим законодательством Российской Федерации.
  3. 7.3 При передаче персональных данных работника третьим лицам работодатель должен соблюдать следующие требования:
    • Не сообщать персональные данные работника третьему лицу без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, прямо предусмотренных законодательством РФ.
    • Не сообщать персональные данные работника в коммерческих целях без его письменного согласия.
    • Предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.
    • Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
    • Передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом РФ, и только в том объеме, который необходим для выполнения указанными представителями их функций.
  4. 7.4 В целях соблюдения Федерального законодательства и иных нормативных правовых актов Российской Федерации и обеспечения положений трудового договора возможна передача:
    • документов, содержащих сведения о доходах и налогах на доходы физических лиц, сведений о пенсионных накоплениях физических лиц в соответствии с Федеральным законодательством Российской Федерации - в Федеральные органы исполнительной власти;
    • персональных данных, для осуществления выдачи заработной платы или других доходов работника - в уполномоченные банковские организации
    • персональных данных, для содействия работникам в трудоустройстве, обучении, повышения их квалификации, переподготовке, проведения аттестации на квалификационную категорию, получении грамот, наград и иных форм поощрений - в представительные органы власти, уполномоченные региональные и Федеральные органы исполнительной власти.
  5. 7.5 В случае если лицо, обратившееся с запросом, не уполномочено Федеральным законодательством на получение персональных, либо отсутствует письменное согласие субъекта персональных данных на передачу его персональных данных, Общество отказывает в предоставлении персональных данных.

8.   Общедоступные источники персональных данных контрагентов и работников

  1. 8.1 Включение персональных данных в общедоступные источники персональных данных возможно только при наличии письменного согласия
  2. 8.2 В целях информационного обеспечения Обществом могут создаваться общедоступные источники персональных данных работников (в том числе справочники, адресные книги, информационные стенды для потребителей услуг, оказываемых Обществом, информация в официальных источниках опубликования). В общедоступные источники персональных данных с письменного согласия работника могут включаться его фамилия, имя, отчество, возраст, дата (число, месяц, год) рождения, место рождения, адрес, фотография, иные персональные данные, предоставленные работником.
  3. 8.3 Сведения о контрагентах или работниках могут быть исключены из общедоступных источников персональных данных по требованию самого контрагента или работника, либо по решению суда или иных уполномоченных государственных органов.

9.  Меры по обеспечению безопасности персональных данных

  1. 9.1 Общество при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
  2. 9.2 К принимаемым мерам для защиты персональных данных относятся:
    • назначено лицо, ответственное за организацию обработки персональных данных;
    • изданы локальные акты по вопросам обработки персональных данных;
    • применяются правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
    • проводится ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, настоящим Положением, локальными актами по вопросам обработки персональных данных;
    • определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
    • применяются организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
    • осуществляется учет машинных носителей персональных данных;
    • установлены правила доступа к персональным данным, обрабатываемым в информационных системах персональных данных;
    • осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных;
    • осуществляется резервное копирование и обеспечивается возможность восстановления персональных данных, обрабатываемых в информационных системах персональных данных.

10.  Права и обязанности субъекта персональных данных в области защиты его персональных данных

  1. 10.1 Если субъект персональных данных Общества считает, что Общество осуществляет обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
  2. 10.2 Субъект персональных данных Общества имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
  3. 10.3 В целях обеспечения защиты персональных данных, хранящихся в Обществе, субъект персональных данных имеет право на:
    • полную информацию о составе и содержимом их персональных данных, а также способе обработки этих данных;
    • свободный доступ к своим персональным данным.

      • Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

    • подтверждение факта обработки персональных данных Обществом;
    • правовые основания и цели обработки персональных данных;
    • способы обработки персональных данных;
    • сведения о лицах (за исключением сотрудников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании Федерального закона № 152-ФЗ;
    • сроки обработки персональных данных, в том числе сроки их хранения;
    • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;
    • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
    • иные сведения, предусмотренные Федеральным законом № 152-ФЗ или Федеральным законодательством.
  4. 10.4 Сведения должны быть предоставлены субъекту персональных данных Обществом в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
  5. 10.5 Сведения предоставляются субъекту персональных данных или его представителю Обществом при обращении либо при получении запроса субъекта (контрагента) или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие наличие договорных отношений с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
  6. 10.6 Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
  7. 10.7 В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Общество обязано осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Общество обязано осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
  8. 10.8 В случае подтверждения факта неточности персональных данных Общество на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязано уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
  9. 10.9 В случае выявления неправомерной обработки персональных данных, осуществляемой (или лицом, действующим по поручению Общества), Общество в срок, не превышающий трех рабочих дней с даты этого выявления, обязано прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Общества. В случае если обеспечить правомерность обработки персональных данных невозможно, Общество в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Общество обязано уведомить субъект персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
  10. 10.10 В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Общество обязано прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Обществом и субъектом персональных данных, либо если Общество не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом № 152-ФЗ или Федеральным законодательством
  11. 10.11 В случае отсутствия возможности уничтожения персональных данных в течение указанного срока, Общество осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен Федеральным законодательством.
  12. 10.12 Для своевременной и полной реализации своих прав, субъект персональных данных обязан предоставить Обществу достоверные персональные данные.

11.  Сведения о реализуемых требованиях к защите персональных данных

  1. 11.1 К реализуемым Обществом требованиям к защите персональных данных относятся:
    • определены уровни защищенности персональных данных, необходимые для обеспечения в информационных системах персональных данных;
    • безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы;
    • организован режим обеспечения безопасности помещений, в которых размещены информационные системы, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения
    • обеспечивается сохранность носителей персональных данных;
    • проводится контроль за выполнением требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства РФ от 01.11.2012 № 1119;
    • лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, локальными правовыми актами ПАО «СУЭНКО»;
    • обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ; обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях
    • при хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.