Политика обработки персональных данных
Политика обработки персональных данных в ООО «Газпром трансгаз Томск»
1 Область применения
1.1 Настоящий стандарт определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в ООО «Газпром трансгаз Томск» персональных данных, функции ООО «Газпром трансгаз Томск» при обработке персональных данных, права субъектов персональных данных, а также реализуемые в
ООО «Газпром трансгаз Томск» требования к защите персональных данных.
1.2 Положения настоящего стандарта обязательны для исполнения всеми работниками подразделений Администрации, служб при Администрации и филиалов ООО «Газпром трансгаз Томск», участвующими в процессе обработки персональных данных.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
СТО ГТТ 0106-265-2023 Положение об обработке персональных данных в ООО «Газпром трансгаз Томск»
СТО ГТТ 0106-276-2016 Инструкция по конфиденциальному делопроизводству в ООО «Газпром трансгаз Томск»
Примечание — При пользовании стандартами ПАО «Газпром», стандартами других категорий и классификаторами необходимо проверять их действие по соответствующим информационным указателям:
— национального органа Российской Федерации по стандартизации;
— международных организаций по стандартизации ИСО и МЭК;
— региональных организаций по стандартизации (в том числе Межгосударственного совета по стандартизации, метрологии и сертификации, если применяемый в ПАО «Газпром» межгосударственный стандарт не введен в действие в Российской Федерации);
— на сайте ПАО «Газпром» (http://vniigaz.gazprom.ru/activities/other/standardization-and-certification/zakaz-dokumentov-sistemy-stand/), — «Журнал регистрации стандартов ПАО „Газпром“;
— в Журнале регистрации внутренней нормативной документации ООО «Газпром трансгаз Томск» (S:/Техническое регулирование).
Если ссылочный документ заменен (изменен), то при пользовании настоящим стандартом следует руководствоваться замененным (измененным) стандартом. Если ссылочный документ отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.
3 Термины, определения и сокращения
3.1 В настоящем стандарте применены термины с соответствующими определениями:
персональные данные: Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
[Федеральный закон № 152-ФЗ, статья 3,]
персональные данные, разрешенные субъектом персональных данных для распространения: Персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом «О персональных данных» [1];
[Федеральный закон № 152-ФЗ, статья 3,]
специальные категории персональных данных: Сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости;
биометрические персональные данные: Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных;
информация: Сведения (сообщения, данные) независимо от формы их представления;
[Федеральный закон № 149-ФЗ, статья 2,]
оператор: Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
[Федеральный закон № 152-ФЗ, статья 3,]
обработка персональных данных: Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
[Федеральный закон № 152-ФЗ, статья 3,]
автоматизированная обработка персональных данных: Обработка персональных данных с помощью средств вычислительной техники;
[Федеральный закон № 152-ФЗ, статья 3,]
предоставление персональных данных: Действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
[Федеральный закон № 152-ФЗ, статья 3,]
распространение персональных данных: Действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
[Федеральный закон № 152-ФЗ, статья 3,]
трансграничная передача персональных данных: Передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
[Федеральный закон № 152-ФЗ, статья 3,]
блокирование персональных данных: Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
[Федеральный закон № 152-ФЗ, статья 3,]
уничтожение персональных данных: Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
[Федеральный закон № 152-ФЗ, статья 3,]
обезличивание персональных данных: Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
[Федеральный закон № 152-ФЗ, статья 3,]
информационная система персональных данных: Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
[Федеральный закон № 152-ФЗ, статья 3,]
3.2 В настоящем стандарте применены следующие сокращения:
| ИНН | — | идентификационный номер налогоплательщика |
| ИСПД | — | информационная система персональных данных |
| Общество | — | ООО «Газпром трансгаз Томск» |
| Регламент ЕС | — | Регламент № 2016/679 Европейского парламента и Совета Европейского союза о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС |
| Роскомнадзор | — | Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций Российской Федерации |
| СМИ | — | средство массовой информации |
| СНИЛС | — | номер страхового свидетельства обязательного пенсионного страхования |
| ФСТЭК | — | Федеральная служба по техническому и экспортному контролю Российской Федерации |
4 Общие положения
4.1 Настоящий стандарт разработан с учетом требований Конституции Российской Федерации [4], законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных, а также требований Регламента ЕС [3].
4.2 Положения настоящего стандарта служат основой для разработки локальных нормативных актов, регламентирующих в Обществе вопросы обработки персональных данных работников Общества и других субъектов персональных данных.
4.3 Политика обработки персональных данных в Обществе определяется в соответствии со следующими нормативными правовыми актами:
— Конституция Российской Федерации;
— Гражданский кодекс Российской Федерации;
— Трудовой кодекс Российской Федерации;
— Федеральный закон Российской Федерации «О персональных данных»;
— Указ президента Российской Федерации «Об утверждении Перечня сведений конфиденциального характера»;
— постановление Правительства Российской Федерации
«Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
— постановление Правительства Российской Федерации
«Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
— постановление Правительства Российской Федерации
«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
— приказ ФСТЭК России «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
— приказ Роскомнадзора «Об утверждении требований и методов по обезличиванию персональных данных»;
— приказ Роскомнадзора «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения»;
— приказ Роскомнадзора «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона „О персональных данных“;
— приказ Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных»;
— иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.
4.4 В целях реализации положений настоящего стандарта в Обществе разрабатываются соответствующие локальные нормативные акты и иные документы, в том числе:
— Положение об обработке персональных данных в ООО «Газпром трансгаз Томск»;
— Перечень должностей подразделений Администрации, служб при Администрации и филиалов Общества, при замещении которых осуществляется обработка персональных данных;
— регламенты обработки персональных данных подразделений Администрации, служб при Администрации, филиалов Общества;
— иные локальные нормативные акты и документы, регламентирующие в Обществе вопросы обработки персональных данных.
5 Принципы обработки персональных данных в Обществе
5.1 Общество, являясь оператором персональных данных, осуществляет обработку персональных данных работников Общества и других субъектов персональных данных, не состоящих с Обществом в трудовых отношениях.
5.2 Обработка персональных данных в Обществе осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Общества и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
— обработка персональных данных осуществляется на законной и справедливой основе;
— обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
— не допускается обработка персональных данных, не совместимая с целями сбора персональных данных;
— не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
— обработке подлежат только персональные данные, которые отвечают целям их обработки;
— содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
— при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Обществом принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных персональных данных;
— хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
— обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
6 Условия обработки персональных данных в Обществе
6.1 Обработка персональных данных в Обществе осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.
6.2 Общество без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.
6.3 Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных».
6.4 В целях внутреннего информационного обеспечения Общество может создавать справочники, адресные книги и другие источники, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его персональные данные.
6.5 Доступ к обрабатываемым в Обществе персональным данным разрешается только работникам Общества, занимающим должности, включенные в Перечень должностей подразделений Администрации, служб при Администрации, филиалов Общества, при замещении которых осуществляется обработка персональных данных.
6.6 Обработка персональных данных субъектов персональных данных, находящихся на территории государств — членов Европейского союза, осуществляется в порядке, определенном положениями Регламента ЕС, в случаях, когда к деятельности Общества по обработке персональных данных применяются критерии территориального действия Регламента ЕС.
7 Цели обработки персональных данных в Обществе
7.1 Обработка персональных данных субъектов персональных данных осуществляется в Обществе в заранее определенных целях.
7.2 Персональные данные обрабатываются в Обществе в целях:
— обеспечения соблюдения Конституции Российской Федерации [1], законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Общества, Регламента ЕС;
— осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Общество, в том числе по предоставлению персональных данных в органы государственной власти, в Социальный фонд Российской Федерации, в Федеральный фонд обязательного медицинского страхования, в Федеральную налоговую службу, а также в иные государственные органы;
— регулирования трудовых отношений с работниками Общества (содействие в трудоустройстве, обучение и продвижение по службе, организация расчетов с персоналом, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
— предоставления работникам, пенсионерам Общества и членам их семей, иным лицам, имеющим право на социальное обеспечение, дополнительных гарантий и компенсаций, в том числе негосударственного пенсионного обеспечения, добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения в соответствии с Коллективным договором Общества и локальными нормативными актами Общества;
— организации прохождения студентами практики в Обществе и обучения школьников и студентов по направлению Общества;
— защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
— подготовки, заключения, исполнения и прекращения договоров с контрагентами;
— обеспечения пропускного и внутриобъектового режимов на объектах Общества;
— организации допуска иностранных граждан на объекты Общества;
— формирования справочных материалов для внутреннего информационного обеспечения деятельности Общества;
— исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
— осуществления прав и законных интересов Общества в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Общества, или третьих лиц либо достижения общественно значимых целей;
— оказания спортивно-оздоровительных услуг на объектах Общества;
— организации культурно-массовых и спортивных мероприятий на объектах Общества, ПАО «Газпром» и компаний Группы Газпром;
— осуществления деятельности СМИ, освещение деятельности Общества в СМИ, на официальном сайте в информационно-телекоммуникационной сети «Интернет» и страницах в социальных сетях Общества;
— рассмотрения обращений граждан в Обществе.
7.3 Цели обработки персональных данных могут быть уточнены в
Положении об обработке персональных данных в ООО «Газпром трансгаз Томск», регламентах обработки персональных данных в структурных подразделениях и филиалах Общества в соответствии с законодательством Российской Федерации и локальными нормативными актами ПАО «Газпром» и Общества.
7.4 Для каждой цели обработки персональных данных в Обществе определены категории субъектов персональных данных, категории и перечень обрабатываемых персональных данных, способы, сроки обработки и хранения персональных данных, а также порядок уничтожения персональных данных в соответствии с приложением А.
8 Перечень субъектов, персональные данные которых обрабатываются в Обществе
8.1 Для обеспечения реализации целей обработки персональных данных, указанных в пункте 7.2 настоящего стандарта, в Обществе обрабатываются персональные данные следующих категорий субъектов:
— работники Общества;
— бывшие работники Общества, трудовые отношения с которыми прекращены;
— кандидаты на замещение вакантных должностей в Обществе, включая его филиалы;
— пенсионеры Общества;
— члены семей и близкие родственники работников Общества;
— члены семей и близкие родственники пенсионеров Общества;
— лица, имеющие право на социальное обеспечение в соответствии с коллективными договорами и локальными нормативными актами Общества;
— лица, наделенные правом подписи от имени Общества (договоров, контрактов, соглашений, актов и т.д.);
— члены семей работников или пенсионеров Общества (по договорам добровольного медицинского страхования);
— посетители, пропускаемые на объекты Общества;
— участники маркетинговых исследований (физические лица);
— контрагенты Общества (физические лица);
— физические лица в цепочке собственников контрагентов Общества;
— акционеры ПАО «Газпром»;
— представители организаций, участвующих в третейских разбирательствах;
— третьи лица, участвующие в третейских разбирательствах;
— студенты, проходящие практику в Обществе;
— студенты, обучающиеся по направлению Общества;
— школьники, учащиеся по направлению Общества;
— законные представители несовершеннолетних школьников, студентов, обучающихся по направлению Общества;
— иностранные граждане;
— физические лица, направляющие обращения в Общество;
— физические лица, в пользу которых производятся удержания по исполнительным документам;
— посетители, получающие спортивно-оздоровительные услуги на объектах Общества;
— физические лица, являющиеся участниками культурно-массовых и спортивных мероприятий;
— пользователи официального сайта Общества в информационно-телекоммуникационной сети «Интернет»;— другие субъекты персональных данных (для обеспечения реализации целей обработки персональных данных, указанных в пункте 7.2 настоящего стандарта).
8.2 Категории субъектов персональных данных могут быть уточнены в Положении об обработке персональных данных в ООО «Газпром трансгаз Томск», регламентах обработки персональных данных в структурных подразделениях и филиалах Общества в соответствии с законодательством Российской Федерации и локальными нормативными актами ПАО «Газпром» и Общества.
9 Перечень персональных данных, обрабатываемых в Обществе
9.1 Перечень персональных данных, обрабатываемых в Обществе, определяется в соответствии с законодательством Российской Федерации, Регламентом ЕС и локальными нормативными актами Общества с учетом целей обработки персональных данных, указанных в пункте 7.1 настоящего стандарта.
9.2 Для обеспечения реализации целей обработки персональных данных, указанных в пункте 7.2 настоящего стандарта, в Обществе осуществляется обработка следующих персональных данных:
— фамилия, имя, отчество;
— дата рождения;
— место рождения;
— дата смерти;
— сведения, содержащиеся в документах, удостоверяющих личность;
— пол;
— гражданство (подданство);
— адрес регистрации;
— адрес фактического проживания;
— место работы;
— сведения о занимаемой должности;
— телефонный абонентский номер (служебный, личный);
— адрес электронной почты;
— ИНН;
— СНИЛС;
— сведения, содержащиеся в документах об образовании, квалификации;
— данные о трудовой деятельности;
— сведения о доходах;
— сведения о семейном положении;
— сведения о составе семьи;
— сведения, содержащиеся в документах воинского учета;
— данные о допуске к сведениям, составляющим государственную тайну;
— сведения, содержащиеся в документах о наградах;
— сведения об отнесении к категориям ветеранов;
— сведения о социальных льготах, которые предоставляются в соответствии с законодательством Российской Федерации, а также коллективными договорами и локальными нормативными актами Общества;
— сведения о владении иностранными языками;
— сведения о наличии ученой степени, ученого звания;
— информация о членстве в выборных органах;
— сведения об участии в коммерческих организациях;
— сведения о физических лицах из состава информации о цепочке собственников контрагентов;
— сведения о принадлежащих акциях, долях участия в уставных капиталах юридических лиц;
— сведения об участии в органах управления юридических лиц;
— сведения об аттестации;
— сведения о дисциплинарных взысканиях;
— сведения, содержащиеся в трудовом договоре;
— адрес выполнения трудовой функции дистанционно (удаленно);
— сведения о наличии (отсутствии) судимости — в случаях, предусмотренных законодательством Российской Федерации;
— сведения о состоянии здоровья — в случаях, установленных частями 3 и 4 статьи 13 Федерального закона «Об основах охраны здоровья граждан в Российской Федерации»;
— информация, указываемая в обращениях граждан;
— сведения, содержащиеся в документах, подтверждающих право нахождения лица на территории Российской Федерации;
— фотография;
— данные, образующиеся при посещении пользователем официального сайта Общества в информационно-телекоммуникационной сети «Интернет» (файлы cookies);
— другие персональные данные, необходимые для обеспечения реализации целей обработки, указанных в пункте 7.2 настоящего стандарта.
9.3 Перечень персональных данных, обрабатываемых в Обществе, может быть уточнен в Положении об обработке персональных данных в
ООО «Газпром трансгаз Томск», регламентах обработки персональных данных в структурных подразделениях и филиалах Общества в соответствии с законодательством Российской Федерации и локальными нормативными актами ПАО «Газпром» и Общества.
9.4 Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости, в Обществе не осуществляется за исключением случаев, предусмотренных законодательством Российской Федерации.
9.5 Обработка биометрических персональных данных в Обществе допускается только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации.
9.6 Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется в Обществе на основании согласия субъекта персональных данных на распространение в письменной форме с соблюдением установленных субъектом персональных данных запретов и условий на обработку персональных данных.
9.7 Трансграничная передача персональных данных в Обществе не осуществляется.
10 Перечень действий с персональными данными, способы их обработки, сроки обработки, в том числе хранения, персональных данных, условия и порядок прекращения обработки персональных данных, порядок их уничтожения
10.1 Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
10.2 Для обеспечения реализации каждой цели обработки персональных данных, указанной в пункте 7.2 настоящего стандарта, используется один из способов обработки персональных данных:
— неавтоматизированный (путем ведения журналов, дел в соответствии с номенклатурой дел и на бумажных носителях в соответствии с приложением к регламентам обработки персональных данных подразделений Общества);
— автоматизированный (с применением средств вычислительной техники и специальных сетевых каталогов, предназначенных для работы с конфиденциальной информацией, и (или) в ИСПД);
— смешанный (совокупность неавтоматизированного и автоматизированного способов).
10.3 Сроки обработки, в том числе хранения, персональных данных работников Общества и других субъектов персональных данных на бумажных и иных материальных носителях, а также в ИСПД определяются структурными подразделениями в соответствии с законодательством Российской Федерации.
Если сроки обработки персональных данных не установлены федеральным законом, их обработка и хранение осуществляются не дольше, чем этого требуют цели обработки, в том числе хранения, персональных данных.
10.4 Структурные подразделения Общества осуществляют контроль за сроками обработки и хранения персональных данных и уничтожают документы, иные материальные носители, содержащие персональные данные, а также удаляют персональные данные, содержащиеся в ИСПД, в специально созданных файловых каталогах локальной вычислительной сети Общества или на внешних перезаписываемых электронных носителях, установленным порядком по достижении цели обработки, с истекшими сроками хранения, предусмотренными законодательством Российской Федерации, или при наступлении иных законных оснований:
— в случае утраты необходимости достижения цели обработки персональных данных, если иное не установлено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, и (или) иными применимыми нормативными правовыми актами Российской Федерации;
— при выявлении факта неправомерной обработки персональных данных;
— в случае отзыва субъектом персональных данных согласия на обработку персональных данных, если иное не предусмотрено законодательством Российской Федерации;
— по истечении срока обработки персональных данных, установленного при сборе персональных данных;
— в случае обращения субъекта персональных данных с требованием о прекращении обработки персональных данных, за исключением случаев, установленных Федеральным законом «О персональных данных».
10.5 В случае достижения цели обработки персональных данных Общество обеспечивает прекращение обработки и их уничтожение в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Обществом и субъектом персональных данных либо если Общество не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральным законодательством.
10.6 В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Общество обеспечивает прекращение их обработки и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, их уничтожение в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Обществом и субъектом персональных данных либо если Общество не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.
10.7 В случае выявления неправомерной обработки персональных данных, осуществляемой Обществом, Общество в срок, не превышающий трех рабочих дней с даты этого выявления, обеспечивает прекращение неправомерной обработки персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, Общество в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обеспечивает уничтожение таких персональных данных.
10.8 В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 10.5 — 10.7 настоящего стандарта, Общество обеспечивает блокирование таких персональных данных и уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
10.9 Порядок и способы уничтожения персональных данных определяются локальными нормативными актами Общества в области персональных данных и конфиденциального делопроизводства в зависимости от способов обработки персональных данных и материальных носителей персональных данных, на которых осуществляется запись и хранение персональных данных.
Уничтожение учтенных в установленном порядке документов, содержащих персональные данные, на материальных носителях производится комиссией, создаваемой в структурных подразделениях, в составе не менее трех работников, с участием лица, ответственного за обработку персональных данных в соответствующем структурном подразделении (при его наличии), согласно требованиям СТО ГТТ 0106–276, предъявляемым к уничтожению материалов, содержащих конфиденциальную информацию, а также с учетом требований к работе с документами, содержащими персональные данные, в ООО «Газпром трансгаз Томск» (приложение С к СТО ГТТ 0106–265).
Уничтожение персональных данных в ИСПД производится комиссией, создаваемой в структурных подразделениях, в составе не менее трех работников, с обязательным участием лица, ответственного за обработку персональных данных, в соответствующем структурном подразделении Общества (при его наличии).
Решение комиссии об уничтожении персональных данных, обрабатываемых с использованием средств автоматизации, оформляется актом и подтверждается выгрузкой из журнала регистрации событий в информационной системе персональных данных, содержание которой должно соответствовать требованиям к подтверждению уничтожения персональных данных, утвержденным уполномоченным органом по защите прав субъектов персональных данных.
Уничтожение персональных данных, содержащихся на внешних неперезаписываемых электронных носителях, по окончании срока обработки производится путем механического нарушения целостности внешнего электронного носителя, не позволяющего произвести считывание или восстановление содержания персональных данных.
При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
Уничтожение или обезличивание части персональных данных, если это допускает материальный носитель, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
Уничтожение персональных данных, содержащихся в ИСПД, а также хранящихся в специально созданных файловых каталогах локальной вычислительной сети Общества или на внешних перезаписываемых электронных носителях, осуществляется с использованием средств, реализующих функции удаления, в результате действия которых становится невозможным восстановить содержание персональных данных.
11 Права субъектов персональных данных
Субъекты персональных данных имеют право на:
— полную информацию об их персональных данных, обрабатываемых в Обществе;
— доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом, а также на доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
— уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
— отзыв согласия на обработку персональных данных;
— принятие предусмотренных законом мер по защите своих прав;
— обжалование действия или бездействия Общества, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;
— осуществление иных предусмотренных законодательством прав.
12 Функции Общества при осуществлении обработки персональных данных
Общество при осуществлении обработки персональных данных:
— принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации, Регламента ЕС и локальных нормативных актов Общества в области персональных данных;
— принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
— назначает лицо, ответственное за организацию обработки персональных данных в Обществе;
— издает локальные нормативные акты, определяющие политику и вопросы обработки и защиты персональных данных в Обществе;
— осуществляет ознакомление работников подразделений Администрации, служб при Администрации, филиалов Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации и локальных нормативных актов Общества в области персональных данных, в том числе с требованиями к защите персональных данных, а также осуществляет обучение указанных работников;
— публикует или иным образом обеспечивает неограниченный доступ к настоящему стандарту;
— сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации;
— прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Российской Федерации в области персональных данных, Регламентом ЕС;
— совершает иные действия, предусмотренные законодательством Российской Федерации в области персональных данных, Регламентом ЕС.
13 Меры, принимаемые Обществом для обеспечения выполнения обязанностей оператора при обработке персональных данных
13.1 Меры, необходимые и достаточные для обеспечения выполнения Обществом обязанностей оператора, предусмотренных законодательством Российской Федерации в области персональных данных, включают:
— назначение лица, ответственного за организацию обработки персональных данных в Обществе;
— принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;
— организацию обучения и проведение методической работы с работниками подразделений Администрации, служб при Администрации, филиалов Общества, занимающими должности, включенные в Перечень должностей подразделений Администрации, служб при Администрации, филиалов Общества, при замещении которых осуществляется обработка персональных данных;
— получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
— обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях персональных данных, в специальных разделах;
— обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных;
— обеспечение безопасности персональных данных при их передаче по открытым каналам связи;
— хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
— осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящему стандарту, локальным нормативным актам Общества;
— проведение оценки вреда, который может быть причинен работникам Общества и другим субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» [1], соотношение указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом
«О персональных данных» [1], в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных;
— иные меры, предусмотренные законодательством Российской Федерации в области персональных данных и Регламентом ЕС.
13.2 Меры по обеспечению безопасности персональных данных при их обработке в ИСПД устанавливаются в соответствии с локальными нормативными актами Общества, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в ИСПД Общества.
13.3 В случае выявления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Общество уведомляет уполномоченный орган по защите прав субъектов персональных данных:
— в течение 24 часов с момента выявления о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, включая сведения о лице, уполномоченном на взаимодействие по вопросам, связанным с выявленным инцидентом;
— в течение 72 часов с момента выявления о результатах внутреннего расследования инцидента, а также о лицах, действия которых стали причиной инцидента (при наличии).
14 Контроль за соблюдением законодательства Российской Федерации и локальных нормативных актов Общества в области персональных данных, в том числе требований к защите персональных данных
14.1 Контроль за соблюдением подразделениями Администрации, службами при Администрации, филиалами Общества законодательства Российской Федерации и локальных нормативных актов Общества в области персональных данных, в том числе требований к защите персональных данных, осуществляется с целью проверки соответствия обработки персональных данных в подразделениях Администрации, службах при Администрации, филиалах Общества законодательству Российской Федерации и локальным нормативным актам Общества в области персональных данных, в том числе требованиям к защите персональных данных, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства Российской Федерации в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.
14.2 Внутренний контроль за соблюдением подразделениями Администрации, службами при Администрации, филиалами Общества законодательства Российской Федерации и локальных нормативных актов Общества в области персональных данных, в том числе требований к защите персональных данных, осуществляется лицом, ответственным за организацию обработки персональных данных в Обществе.
14.3 Внутренний контроль соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящему стандарту, локальным нормативным актам Общества осуществляет служба корпоративной защиты Общества.
14.4 Персональная ответственность за соблюдение требований законодательства Российской Федерации и локальных нормативных актов Общества в области персональных данных в подразделениях Администрации, службах при Администрации, филиалах Общества, а также за обеспечение конфиденциальности и безопасности персональных данных в указанных подразделениях Общества возлагается на их руководителей.
15 Процедуры внутреннего контроля
15.1 Процедуры внутреннего контроля разрабатываются в СТО ГТТ 0106–265 «Положение об обработке персональных данных в ООО „Газпром трансгаз Томск“.