Политика в отношении обработки и обеспечения безопасности персональных данных



I. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика регулирует принципы обработки персональных данных (далее – ПДн) с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

1.2. Настоящее Положение устанавливает порядок получения, учета, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным работников ООО «ЗАРУБЕЖНЕФТЬ - добыча Самара» и управляемых организаций АО «Оренбургнефтеотдача» и ООО «Ульяновскнефтегаз» (далее – Общество). Под работниками подразумеваются лица, заключившие трудовой договор с Обществом.

1.3. Цель настоящего Положения – обеспечение конфиденциальности и безопасности персональных данных работников Общества при их обработке, защита их от несанкционированного доступа и разглашения. Персональные данные являются конфиденциальной, строго охраняемой информацией.

1.4. Настоящее Положение является внутренним нормативным документом Общества и подлежит обязательному исполнению всеми работниками Общества.

1.5. Настоящее Положение и изменения к нему утверждаются Генеральным директором и вводятся приказом по Обществу.


II. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Обработка ПДн субъектов ПДн осуществляется Обществом на основе следующих принципов:

обработка ПДн осуществляется на законной и справедливой основе;

обработка ПДн ограничивается достижением конкретных, заранее определённых и законных целей;

не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;

обработке подлежат только ПДн, которые отвечают целям их обработки;

содержание и объём обрабатываемых ПДн соответствуют заявленным целям обработки;

Политика в отношении обработки и обеспечения безопасности персональных данных ООО «ЗАРУБЕЖНЕФТЬ-добыча Самара» и управляемых

организаций АО «Оренбургнефтеотдача» и ООО «Ульяновскнефтегаз», редакция 1.00

при обработке ПДн обеспечивается точность ПДн, их достаточность и актуальность по отношению к целям обработки ПДн;

хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральными законами или договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

2.2. Обработка ПДн субъектов ПДн осуществляется при следующих условиях:

обработка ПДн осуществляется с согласия субъекта ПДн на Обработку его ПДн;

обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей;

обработка ПДн осуществляется в связи с участием лица в гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

обработка ПДн необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;

обработка ПДн осуществляется по поручению контрагента Общества в рамках исполнения соответствующего договора;

обработка ПДн осуществляется в иных случаях, предусмотренных законодательством Российской Федерации о персональных данных.


III. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ


3.1. Общество осуществляет обработку ПДн следующих категорий субъектов ПДн:

членов Совета директоров и Ревизионной комиссии Общества;

работников Общества, в том числе бывших работников Общества;

родственников работников Общества;

соискателей/кандидатов на замещение вакантных должностей;

текущих и потенциальных контрагентов Общества (физических лиц);

представителей/работников текущих и потенциальных контрагентов Общества (юридических лиц);

третьих лиц по отношению к Обществу (посетителей Общества (одноразовый проход на территорию Общества), посетителей веб-сайта Общества);

других субъектов ПДн (для обеспечения реализации целей обработки ПДн в соответствии с настоящей Политикой).


IV. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ


4.1. Обработка ПДн субъектов ПДн осуществляется в следующих целях:

обеспечения соответствия требованиям Трудового кодекса Российской Федерации, Налогового кодекса Российской Федерации, Гражданского кодекса Российской Федерации и других нормативно-правовых актов Российской Федерации;

принятия решения о трудоустройстве кандидата в Общество;

ведения учета персонала;

выполнения обязательств работодателя по трудовому договору;

начисления заработной платы;

исчисления и уплаты, предусмотренных законодательством Российской Федерации налогов, сборов, а также страховых взносов на обязательное пенсионное, социальное, медицинское страхование;

представления по формам, установленным законодательством, налоговой отчетности в ИФНС, расчетов по страховым взносам, расчетов по начисленным и уплаченным страховым взносам на обязательное социальное страхование от несчастных случаев на производстве и профессиональных заболеваний, а также по расходам на выплату страхового обеспечения, сведений персонифицированного учета в органы ПФР, ФСС РФ, а также статистической отчетности в Росстат;

предоставления сведений в банковские организации для открытия расчетного счета, оформления банковской карты и перечисления на нее заработной платы;

предоставления сведений третьим лицам для прохождения обязательных медицинских осмотров, а также для оформления полиса ДМС;

обеспечения безопасности условий труда;

контроля количества и качества выполняемой работы;

обеспечения сохранности имущества Общества;

обеспечения пропускного и внутриобъектового режимов;

содействия в получении социальных льгот;

содействия работникам в обучении и карьерном росте;

отбора поставщиков товаров/работ/услуг для нужд Общества;

обеспечения раскрытия информации в соответствии с требованиями законодательства Российской Федерации в области ценных бумаг;

обеспечения договорных обязательств между Обществом и контрагентами (физическими и юридическими лицами);

выполнения обязательств согласно «Соглашению о защите персональных данных», заключенному между юридическими лицами, входящими в Группу Компаний АО «Зарубежнефть», в законных интересах субъекта ПДн и АО «Зарубежнефть»;

иных законных целях.

4.2. Под обработкой ПДн в Обществе понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

4.3. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни в Обществе не осуществляется, за исключением, сведений о состоянии здоровья работников Общества, относящихся к вопросу возможности выполнения ими трудовой функции.

4.4. Обработка ПДн о судимости осуществляется только в случаях и в порядке, которые определяются в соответствии с федеральными законами.

4.5. В Обществе не производится принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические или иные последствия, затрагивающие права и законные интересы субъектов ПДн.

4.6. Общество осуществляет сбор, обработку и хранение видеозаписей, фотографических изображений и иных сведений, которые относятся к биометрическим персональным данным, и используются для обеспечения прохода на охраняемую территорию Общества и установления личности гражданина.

4.7. Общество не осуществляет обработку ПДн в целях продвижения товаров, работ, услуг на рынке путём осуществления прямых контактов с потенциальным потребителем с помощью средств связи.

4.8. Общество может осуществлять трансграничную передачу ПДн на территории иностранных государств при условии соблюдения требований законодательства Российской Федерации о персональных данных.

4.9. Общество осуществляет сбор, обработку и хранение ПДн субъектов ПДн с использованием баз данных, расположенных на территории Российской Федерации.

4.10. Обществом запрещается распространение ПДн. Режим конфиденциальности ПДн должен соблюдаться всеми работниками и третьими лицами, которые получили санкционированный доступ и осуществляют обработку ПДн.


V. СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ


5.1. Обработка персональных данных оператором осуществляется следующими способами:

неавтоматизированная обработка персональных данных;

автоматизированная обработка персональных данных;

смешанная обработка персональных данных.

5.2. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлечённых из такой системы считается осуществлённой без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.


VI. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ОБЩЕСТВА


6.1. Субъекты персональных данных, персональные данные которых обрабатываются оператором, имеют право на:

получение полной информации об обработке оператором его персональных данных;

уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

отзыв согласия на обработку персональных данных;

обжалование действия или бездействия оператора, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;

защиту своих прав и законных интересов, в том числе на возмещение убытков и / или компенсацию морального вреда в судебном порядке;

осуществление иных прав, предусмотренных законодательством Российской Федерации о персональных данных.

6.2. Общество вправе:

получать документы, содержащие персональные данные от субъектов персональных данных либо от представителей субъекта персональных данных;

требовать от субъекта персональных данных своевременного уточнения предоставленных персональных данных;

в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных, оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, установленных законодательством Российской Федерации.

6.3. Общество обязано:

осуществлять обработку персональных данных субъектов с соблюдением принципов и правил, предусмотренных действующим законодательством Российской Федерации о персональных данных и внутренними документами Общества в области обработки персональных данных;

сообщать субъекту персональных данных или его законному представителю по его запросу информацию о наличии у Общества персональных данных, относящихся к соответствующему субъекту персональных данных;

уведомлять субъектов персональных данных до начала обработки их персональных данных в случаях, если персональные данные получены не от субъекта персональных данных;

безвозмездно предоставить возможность ознакомления субъекта персональных данных или его законного представителя с персональными данными субъекта персональных данных при получении соответствующего запроса;

принимать меры по уточнению, уничтожению персональных данных субъекта персональных данных в связи с его либо его законного представителя обращением с законными и обоснованными требованиями.


VII. ТРЕБОВАНИЯ К СРОКАМ ОБРАБОТКИ, ХРАНЕНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ


7.1. Требования к срокам обработки персональных данных субъектов персональных данных, обрабатываемых в Обществе, определяются внутренними документами Общества в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

7.2. Сроки обработки персональных данных устанавливаются в согласии на обработку персональных данных субъекта персональных данных.

7.3. Обработка персональных данных без согласия субъекта возможна только в установленных законом случаях.

7.4. Обработка персональных данных начинается не ранее возникновения правовых оснований обработки персональных данных.

7.5. Обработка персональных данных прекращается при достижении целей обработки, утрате правовых оснований обработки, установленных законодательством.

7.6. По истечении срока обработки персональные данные уничтожаются или обезличиваются для использования в статистических или иных исследовательских целях.


VIII. МЕРЫ, ПРИНИМАЕМЫЕ ОБЩЕСТВОМ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ


8.1. Общество принимает следующие меры, необходимые для обеспечения выполнения обязанностей оператора, предусмотренных законодательством Российской Федерации о персональных данных, включая, но не ограничиваясь:

назначение Обществом лица, ответственного за организацию обработки ПДн;

издание локальных актов и внутренних нормативных документов, регулирующих вопросы обработки персональных данных в Обществе;

публикация настоящей Политики на своем официальном сайте, обеспечивая неограниченный доступ к ней, а также к сведениям о реализуемых требованиях к защите персональных данных, не относящихся к сведениям конфиденциального характера;

применение правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

осуществление внутреннего контроля и (или) аудита соответствия порядка обработки ПДн Обществом требованиям законодательства Российской Федерации о персональных данных, требованиям к защите ПДн, настоящей Политике, локальных нормативных актов Общества;

ознакомление работников Общества, осуществляющих Обработку ПДн, с правилами и требованиями законодательства Российской Федерации, с локальными нормативными актами Общества, касающимися обработки ПДн, в том числе с требованиями по обеспечению безопасности ПДн, а также обучение указанных работников;

осуществление обезличивания персональных данных, обрабатываемых в информационных системах персональных данных, а также прекращение обработки и уничтожение персональных данных в случаях, предусмотренных законодательством Российской Федерации о персональных данных;

при обработке персональных данных, осуществляемой без использования средств автоматизации, выполнение требований, установленных постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

при обработке персональных данных, осуществляемой в информационных системах персональных данных, выполнение требований, утвержденных постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах»;

уведомление в установленных законодательством Российской Федерации о персональных данных случаях уполномоченного органа по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных;

применение иных мер, предусмотренных законодательством Российской Федерации о персональных данных.


IX. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ


9.1. Общество при обработке персональных принимает необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

9.2. Обеспечение безопасности персональных данных достигается, в частности:

определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

учетом машинных носителей персональных данных;

обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и

контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.


X. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ


10.1. Общество проводит пересмотр положений настоящей Политики и её актуализацию по мере необходимости, но не реже одного раза в три года, а также:

при изменении положений законодательства Российской Федерации в области ПДн;

в случаях выявления несоответствий, затрагивающих обработку и (или) защиту ПДн;

по результатам контроля выполнения требований по обработке и (или) защите ПДн;

по решению Генерального директора Общества.

10.2. При обеспечении безопасности ПДн во всех случаях, не описанных в настоящей Политике, Общество руководствуется законодательством Российской Федерации.

  1. Политика в отношении обработки персональных данных.pdf