Кузбассоблгаз
Специализированная газораспределительная организация

Политика обработки персональных данных

Утверждена приказом ООО «Кузбассоблгаз»
от 09 января 2018 г. № 4

Политика обработки персональных данных
в ООО «Кузбассоблгаз»
г. Кемерово, 2018 год

1. Общие положения
1.1. Настоящая Политика обработки персональных данных в ООО «Кузбассоблгаз» (далее – Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в ООО «Кузбассоблгаз» (далее – Общество) персональных данных, функции Общества при обработке персональных данных, права субъектов персональных данных, а также реализуемые в Обществе требования к защите персональных данных.
1.2. Политика разработана с учетом требований законодательных и иных нормативных правовых актов Российской Федерации в области обработки персональных данных.
1.3. Положения Политики служат основой для разработки правовых и организационно-распорядительных документов Общества, регламентирующих процессы обработки персональных данных, а также меры по обеспечению безопасности персональных данных при их обработке в Обществе.
1.4. Сведения о персональных данных работников относятся к числу конфиденциальных (составляющих охраняемую законом тайну Общества). Режим конфиденциальности в отношении персональных данных снимается:
в случае их обезличивания;
по истечении 75 лет срока их хранения;
в других случаях, предусмотренных федеральным законодательством.

2. Законодательная и нормативная правовая база
2.1. Настоящая Политика определяется в соответствии со следующими нормативными правовыми актами:
Трудовым кодексом Российской Федерации;
Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
Указом Президента Российской Федерации от 06.03.97 № 188 «Об утверждении Перечня сведений конфиденциального характера»;
Постановлением Правительства Российской Федерации от 06.07.2008 № 512 «Об утверждении требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Приказом Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».

3. Основные понятия. Состав персональных данных работников
3.1. Для целей настоящей Политики используются следующие основные понятия и определения:
персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);
обработка персональных данных работника - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);
распространение персональных данных - действия, направленные на раскрытие персональных данных работников неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);
предоставление персональных данных - действия, направленные на раскрытие персональных данных работников определенному лицу или определенному кругу лиц (п. 6 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);
блокирование персональных данных - временное прекращение обработки персональных данных работников (за исключением случаев, если обработка необходима для уточнения персональных данных) (п. 7 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных работников и (или) в результате которых уничтожаются материальные носители персональных данных работников (п. 8 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному работнику (п. 9 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);
информация - сведения (сообщения, данные) независимо от формы их представления;
документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
3.2. Информация, представляемая работником при поступлении на работу в Общество, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 ТК РФ лицо, поступающее на работу, предъявляет:
паспорт или иной документ, удостоверяющий личность;
трудовую книжку, за исключением случаев, когда договор заключается впервые, или работник поступает на работу на условиях совместительства, или трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
страховое свидетельство государственного пенсионного страхования;
документы воинского учета - для лиц, подлежащих воинскому учету;
документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
свидетельство о присвоении ИНН (при его наличии у работника);
справку, выданную органами МВД России, о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям (при поступлении на работу, к которой в соответствии с Трудовым кодексом РФ или иным федеральным законом не допускаются лица, имеющие или имевшие судимость, подвергающиеся или подвергавшиеся уголовному преследованию).
3.3. При оформлении работника отделом кадров заполняется унифицированная форма Т-2 "Личная карточка работника", в которой отражаются следующие анкетные и биографические данные работника:
общие сведения (фамилия, имя, отчество, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);
сведения о воинском учете;
данные о приеме на работу;
сведения об аттестации;
сведения о повышенной квалификации;
сведения о профессиональной переподготовке;
сведения о наградах (поощрениях), почетных званиях;
сведения об отпусках;
сведения о социальных гарантиях;
сведения о месте жительства и о контактных телефонах.
3.4. В отделе кадров Общества создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:
3.4.1. Документы, содержащие персональные данные работников:
комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;
комплекс материалов по анкетированию, тестированию, проведению собеседований с кандидатом на должность;
подлинники и копии приказов (распоряжений) по кадрам;
личные дела и трудовые книжки;
дела, содержащие основания к приказу по личному составу;
дела, содержащие материалы аттестаций работников;
дела, содержащие материалы внутренних расследований;
справочно-информационный банк данных по персоналу (картотеки, журналы);
подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Общества, руководителям структурных подразделений;
копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения.
3.4.2. Документация по организации работы структурных подразделений:
положения о структурных подразделениях;
должностные инструкции работников;
приказы, распоряжения, указания руководства Общества;
документы планирования, учета, анализа и отчетности по вопросам кадровой работы.

4. Принципы и цели персональных данных
4.1. Общество, являясь оператором персональных данных, осуществляет обработку персональных данных работников Общества и иных субъектов персональных данных, не состоящих с Обществом в трудовых отношениях.
4.2. Обработка персональных данных в Обществе осуществляется с учетом необходимости защиты прав и свобод работников Общества и иных субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личной и семейной тайны, на основе следующих принципов:
обработка персональных данных осуществляется в Обществе на законной и справедливой основе;
обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
обработке подлежат только персональные данные, которые отвечают целям их обработки;
содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Общество принимает необходимые меры, либо обеспечивает их принятие, по удалению или уточнению неполных или неточных персональных данных;
обрабатываемые персональные данные уничтожаются либо обезличиваются по достижению целей обработки или в случае утраты необходимости достижения этих целей, если иное не предусмотрено законодательством Российской Федерации.
4.3. Персональные данные в Обществе обрабатываются в целях:
обеспечения соблюдения требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Общества;
осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Общество, в том числе по представлению персональных данных в органы государственной власти (Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования, а также иные органы государственной власти);
регулирования трудовых отношений с работниками Общества;
защиты жизни, здоровья и (или) иных жизненно важных интересов субъектов персональных данных;
подготовки, заключения, исполнения и прекращения договоров с контрагентами;
обеспечения пропускного и внутриобъектового режимов на объектах Общества;
исполнения судебных актов, актов надзорных органов и их должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации;
соблюдения прав и законных интересов Общества в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Общества, и (или) третьих лиц либо достижения общественно значимых целей;
в иных законных целях.

5. Перечень субъектов персональных данных
В Обществе обрабатываются персональные данные следующих субъектов персональных данных:
5.1. Работники Общества;
5.2. Работники дочерних и зависимых организаций Общества;
5.3. Иные субъекты персональных данных (для обеспечения реализации целей обработки, указанных в разделе 4 настоящей Политики).

6. Перечень обрабатываемых персональных данных
6.1. Перечень персональных данных, обрабатываемых в Обществе, определяется в соответствии с законодательством Российской Федерации, локальными нормативными актами Общества с учетом целей обработки персональных данных, указанных в разделе 4 настоящей Политики.
6.2. Обработка специальных категорий персональных данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных и (или) философских убеждений, интимной жизни в Обществе не осуществляется.

7. Функции Общества при осуществлении обработки
персональных данных
Общество при осуществлении обработки персональных данных выполняет следующие функции:
7.1. Принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации, локальных нормативных актов Общества в области обработки персональных данных.
7.2. Принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного и (или) случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных.
7.3. Назначает лицо, ответственное за организацию обработки персональных данных в Обществе.
7.4. Издает локальные нормативные акты, определяющие политику и вопросы обработки и защиты персональных данных в Обществе.
7.5. Осуществляет ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных с положениями законодательства Российской Федерации, локальных нормативных актов Общества в области обработки персональных данных, в том числе с требованиями к защите персональных данных, а также обучение указанных работников.
7.6. Публикует настоящую Политику на официальном сайте Общества и обеспечивает неограниченный доступ к ней.
7.7. Сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к субъектам, представляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации.
7.8. Прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Российской Федерации.
7.9. Совершает иные действия, предусмотренные законодательством Российской Федерации в области обработки персональных данных.

8. Условия обработки персональных данных
8.1. Обработка персональных данных в Обществе осуществляется с согласия субъекта персональных данных на их обработку, если иное не предусмотрено законодательством Российской Федерации.
8.2. Без согласия субъекта персональных данных Общество не передает третьим лицам и не распространяет его персональные данные, если иное не предусмотрено законодательством Российской Федерации.
8.3. Общество вправе поручит обработку персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанности такого лица соблюдать конфиденциальность персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
8.4. В целях внутреннего информационного обеспечения деятельности Общества могут создаваться внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.
8.5. Доступ к обрабатываемым персональным данным разрешается только работникам Общества, занимающим должности, включенные на основании приказа генерального директора Общества в перечень должностей структурных подразделений Общества, при замещении которых осуществляется обработка персональных данных.

9. Перечень действий с персональными данными
и способы их обработки
9.1. Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
9.2. Обработка персональных данных в Обществе осуществляется следующими способами:
неавтоматизированная обработка персональных данных;
автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
смешанная обработка персональных данных.

10. Права субъектов персональными данными
Субъекты персональных данных имеют право на:
10.1 Полную информацию об их персональных данных, обрабатываемых в Обществе.
10.2. Доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации.
10.3. Уточнение своих персональных данных, их блокирование и ли уничтожение в случае если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
10.4. Отзыв согласия на обработку персональных данных.
10.5. Принятие предусмотренных законодательством Российской Федерации мер по защите своих персональных данных.
10.6. Обжалование действия или бездействия Общества, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд.
10.7. Осуществление иных прав, предусмотренных законодательством Российской Федерации.

11. Меры принимаемые для выполнения обязанностей
оператора по обработке персональных данных
11.1. Меры, необходимые и достаточные для обеспечения выполнения Обществом обязанностей оператора, предусмотренных законодательством Российской Федерации в области обработки персональных данных, включают:
назначение лица, ответственного за организацию обработки персональных данных в Обществе;
принятие локальных нормативных актов и иных документов в области обработки персональных данных;
организацию обучения и проведение методической работы с работниками Общества, занимающими должности, включенные на основании приказа генерального директора Общества в перечень должностей структурных подразделений Общества, при замещении которых осуществляется обработка персональных данных;
получение согласия субъектов персональных данных на их обработку, за исключением случаев, предусмотренных законодательством Российской Федерации;
обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности, путем их фиксации на отдельных материальных носителях персональных данных, в специальных разделах;
обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых организована в разных целях и которые содержат разные категории персональных данных;
установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны и сети Интернет без применения в Обществе мер по обеспечению безопасности персональных данных;
хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих их сохранность и исключающих несанкционированный доступ к ним;
осуществление внутреннего контроля соответствия обработки персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативных правовых актов, требованиям настоящей Политике, а также локальных нормативных актов, принятых в Обществе;
иные меры, предусмотренные законодательством Российской Федерации.
11.2. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с требованиями законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Общества, регламентирующих вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Общества.
11.3. Лицо, ответственное за организацию обработки персональных данных и назначенное приказом генерального директора Общества, получает указания от руководства и подотчетно ему.
11.4. Лицо, ответственное за организацию обработки персональных данных обязано организовывать:
внутренний контроль за соблюдением работниками Общества законодательства Российской Федерации в области обработки персональных данных, в том числе требований к защите персональных данных;
доведение до сведения работников Общества требований законодательства Российской Федерации, локальных нормативных актов Общества в области обработки персональных данных, в том числе требований к защите персональных данных;
контроль за приемом и обработкой обращений и запросов субъектов персональных данных или их представителей.

12. Ответственность за нарушение норм, регулирующих
обработку персональных данных
12.1. Работники Общества, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
6.2. Руководитель Общества за нарушение порядка обращения с персональными данными несет административную ответственность согласно ст. ст. 5.27 и 5.39 КоАП РФ, а также возмещает работнику ущерб, причиненный неправомерным использованием информации, содержащей персональные данные об этом работнике 

Приказ
Лицензия