Политика конфиденциальности
Настоящая Политика оператора в отношении обработки ПДн АО «НЗПП «Восток» (далее — Политика) определяет основные принципы получения, хранения, обработки, передачи и любого другого использования персональных данных, обрабатываемых в Информационных системах персональных данных АО «НЗПП «Восток» (далее — ИСПДн АО «НЗПП «Восток») в соответствии с законодательством Российской Федерации.
2. Общие положения
Действие настоящей Политики распространяется на процессы Оператора персональных данных, в рамках которых осуществляется обработка персональных данных, как с использованием средств вычислительной техники, в том числе с использованием информационно-телекоммуникационных сетей, так и без использования таких средств. Оператором персональных данных (оператор), при обработке персональных данных в ИСПДн является Акционерное общество «Новосибирский завод полупроводниковых приборов «Восток» (далее — АО «НЗПП «Восток»).
3. Обязанности субъекта персональных данных и Оператора
В целях обеспечения достоверности персональных данных субъект персональных данных обязан:
• предоставлять АО «НЗПП «Восток» полные и достоверные данные о себе;
• в случае изменения своих персональных данных сообщать данную информацию АО «НЗПП «Восток».
Оператор обязан:
• осуществлять защиту персональных данных субъекта персональных данных;
• вести журнал учета обращений субъектов персональных данных по вопросам обработки их персональных данных в ИСПДн АО «НЗПП «Восток»;
• ограничить доступ к журналу учета обращений субъектов персональных данных по вопросам обработки их персональных данных в ИСПДн АО «НЗПП «Восток» (в электронной и бумажной форме) кругом должностных лиц, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей;
• обеспечивать хранение документации, содержащей персональные данные субъектов персональных данных, при этом персональные данные не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные.
4. Права субъекта ПДн
Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
• подтверждение факта обработки персональных данных Оператором;
• правовые основания и цели обработки персональных данных;
• цели и применяемые Оператором способы обработки персональных данных;
• сроки обработки персональных данных, в том числе сроки их хранения.
Субъект персональных данных имеет право на определение представителей для защиты своих персональных данных.
Субъект персональных данных имеет право требовать исключить или исправить неверные или неполные персональные данные, а также данные, обрабатываемые с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Субъект персональных данных имеет право требовать об извещении всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта ПДн, обо всех произведенных в них исключениях, исправлениях или дополнениях.
Если субъект персональных данных считает, что АО «НЗПП «Восток» осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие АО «НЗПП «Восток» в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
5. Основание и цели обработки персональных данных
Персональные данные в ИСПДн АО «НЗПП «Восток» обрабатываются в целях:
• выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
• исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
• принятия решения о трудоустройстве кандидата;
• оформления трудовых отношений с работником АО «НЗПП «Восток», предоставления работнику дополнительного медицинского страхования, повышения уровня квалификации и получения дополнительного образования, обеспечения личной безопасности работников АО «НЗПП «Восток», организации прохождения медицинского освидетельствования, предусмотренного законодательством РФ об охране труда, контроля количества и качества выполняемой работы и обеспечения сохранности имущества АО «НЗПП «Восток», выполнения работником АО «НЗПП «Восток» трудовой функции, предусмотренной трудовым договором и должностной инструкцией;
• предоставления доступа субъектов ПДн на территорию АО «НЗПП «Восток»;
• в иных законных целях.
Обработка ПДн осуществляется на законной и справедливой основе.
Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей.
Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
Обработке подлежат только ПДн, которые отвечают целям их обработки.
Не допускается избыточность обрабатываемых ПДн по отношению к заявленным целям их обработки.
Хранение персональных данных осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации и/или договором, стороной которого является субъект ПДн.
При обработке ПДн обеспечиваются точность ПДн, их достаточность и актуальность по отношению к целям обработки ПДн. Оператор не проверяет достоверность персональных данных, предоставляемых субъектами персональных данных. При этом Оператор исходит из того, что субъект персональных данных предоставляет достоверную и достаточную для достижения целей обработки персональную информацию.
Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
6. Перечень персональных данных о субъекте персональных данных, обрабатываемых в информационной системе, и категории субъектов, персональные данных которых обрабатываются
Оператором обрабатываются персональные данные следующих категорий субъектов персональных данных:
• субъектов персональных данных, обработка персональных данных которых связана с выполнением возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
• субъектов персональных данных, обработка персональных данных которых связана с исполнением договоров, стороной которого либо выгодоприобретателем по которому является субъект персональных данных;
• авторов обращений в адрес Оператора;
• других субъектов персональных данных (для обеспечения реализации целей обработки персональных данных, установленных в настоящей Политике).
Перечень персональных данных, обрабатываемых в ИСПДн АО «НЗПП «Восток» определяется в соответствии с законодательством Российской Федерации о персональных данных и указывается во внутренних нормативных документах Оператора в соответствии с целями обработки персональных данных, установленных в п. 2.1. настоящей Политики.
Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни оператором не осуществляется.
Обработка биометрических персональных данных в ИСПДн АО «НЗПП «Восток» допускается только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации.
7. Порядок и условия обработки персональных данных
Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных (Приложение № 1 к настоящей Политике).
Обработка персональных данных, разрешенных субъектом персональных данных для передачи, осуществляется на основании согласия субъекта персональных данных на передачу (распространение, предоставление, доступ) (Приложение № 2 к настоящей Политике) с соблюдением установленных субъектом персональных данных запретов и условий на обработку персональных данных.
В случае отказа субъекта ПДн предоставить свои ПДн, ему должны быть разъяснены юридические последствия такого отказа (Приложение № 3 к настоящей Политике).
Обработка полученных персональных данных осуществляется Оператором с использованием средств автоматизации, так и на бумажных носителях (без использования средств автоматизации).
Трансграничная передача ПДн Оператором не осуществляется.
Оператор и иные лица, получившие доступ к персональным данным на законном основании, с целью обеспечения конфиденциальности ПДн в соответствии со ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обязуются не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных».
Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
В соответствии с требованиями ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» настоящая Политика открыто опубликована и доступна для ознакомления в информационно-телекоммуникационной сети Интернет.
Во исполнение требований ч.1 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» Оператором приняты необходимые правовые, организационные и технические меры для защиты персональных данных при их обработке от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии с утвержденным Оператором комплектом организационно-распорядительной документации в области защиты персональных данных при их обработке в ИСПДн АО «НЗПП «Восток».
Условием прекращения обработки персональных данных является достижение целей обработки персональных данных или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
Для организации хранения персональных данных в случае автоматизированной обработки Оператор в соответствии с ч. 5 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» использует сервера, находящиеся на территории Российской Федерации.
При обработке персональных данных без использования средств автоматизации хранение организовано в соответствии с требованиями Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.2008 № 687, а именно:
• Оператором определены места хранения персональных данных (материальных носителей) и установлены перечни лиц, осуществляющих обработку персональных данных без использования средств автоматизации, либо имеющих к ним доступ;
• обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
• Оператором определен перечень лиц, ответственных за реализацию организационно-режимных мер, направленных на обеспечение сохранности персональных данных, обработка которых осуществляется без использования средств автоматизации, и исключающих несанкционированный к ним доступ, и обеспечен контроль за их соблюдением.
8. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
Согласно ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в случае подтверждения факта неточности персональных данных или неправомерности их обработки, Оператор принимает необходимые меры, либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных и временному прекращению обработки до момента устранения выявленных нарушений.
Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, а также в случае отзыва согласия субъекта персональных данных на обработку его персональных данных, или в случае выявления неправомерной обработки персональных данных, если иное не предусмотрено договором, стороной которого является субъект персональных данных, или иным соглашением между Оператором и субъектом персональных данных.
Оператор обязуется сообщать субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по его запросу.
Правила рассмотрения запросов субъектов персональных данных или их представителей, а также соответствующие формы запросов/обращений, предоставляются Оператором по запросу не позднее семи рабочих дней со дня получения запроса.
9. Реагирование на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов
Субъект персональных данных имеет право на получение сведений об Операторе, о месте его нахождения, о наличие у Оператора персональных данных в отношении себя, а также на ознакомление с такими персональными данными.
Субъект персональных данных вправе требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Сведения о наличии персональных данных должны быть представлены субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
Доступ к своим персональным данным представляется субъекту персональных данных или его законному представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с действующим законодательством Российской Федерации.
Законный представитель представляет Оператору документ, подтверждающий его полномочия.
Оператором рассматривается запрос и проходит проверка факта обработки персональных данных субъекта.
Если запрос субъекта персональных данных связан с внесением изменений в персональные данные субъекта в связи с тем, что персональные данные, обрабатываемые Оператором, являются неполными, устаревшими, недостоверными, то в таком запросе субъект персональных данных должен указать какие именно персональные данные изменяются или уточняются.
Если для внесения изменений в персональные данные необходимы подтверждающие документы, то субъект персональных данных прикладывает к своему запросу об изменении персональных данных доказательства, на основании которых оператор должен внести изменения или уточнить персональные данные.
В случае отсутствия доказательств, на которые ссылается субъект персональных данных, оператор оставляет персональные данные в неизменном виде. Внесение изменений или уточнение персональных данных Оператором должны быть выполнены в течение 7 рабочих дней со дня предоставления таких сведений.
Изменения, уничтожение или блокирование персональных данных соответствующего субъекта осуществляется Оператором на безвозмездной основе.
При получении запроса субъекта ПДн на наличие ПДн (Приложение № 4 к настоящей Политике) необходимо в течение 10 дней с даты получения запроса (согласно части 1 статьи 20 Федерального закона № 152-ФЗ) подтвердить обработку ПДн в случае ее осуществления. Если обработка ПДн субъекта не ведется, то в течение 10 дней с даты получения запроса (согласно части 2 статьи 20 Федерального закона № 152-ФЗ) необходимо отправить уведомление об отказе в предоставлении информации о наличии ПДн.
При получении запроса субъекта ПДн или его представителя на уточнение ПДн (Приложение № 5 к настоящей Политике) необходимо внести в них требуемые изменения (по предоставленным субъектом ПДн или его представителем сведениям) в срок, не превышающий 7 рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными (согласно части 3 статьи 20 Федерального закона № 152-ФЗ) и отправить уведомление о внесенных изменениях. Если обработка ПДн субъекта не ведется или не были предоставлены сведения, подтверждающие, что ПДн, которые относятся к соответствующему субъекту и обработку которых осуществляет Оператор, являются неполными, неточными или неактуальными, то необходимо в течение 10 дней с даты получения запроса отправить уведомление об отказе в осуществлении изменения ПДн.
При получении запроса субъекта ПДн на уничтожение ПДн (Приложение № 5 к настоящей Политике) необходимо уничтожить их в срок, не превышающий 7 рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки (согласно части 3 статьи 20 Федерального закона № 152-ФЗ), и отправить уведомление об уничтожении. Если обработка ПДн субъекта не ведется или не были предоставлены сведения, подтверждающие, что ПДн, которые относятся к соответствующему субъекту и обработку которых осуществляет АО «НЗПП «Восток», являются незаконно полученными или не являются необходимыми для заявленной цели обработки, а также в силу необходимости обработки ПДн по требованиям иных законодательных актов, то необходимо в течение 10 дней с даты получения запроса отправить уведомление об отказе в уничтожении ПДн.
При получении запроса субъекта ПДн на прекращение передачи (распространение, предоставление, доступ) ПДн (Приложение № 6 к настоящей Политике) необходимо прекратить передачу (распространение, предоставление, доступ) ПДн в течение 3 рабочих дней с момента получения требования субъекта ПДн или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу (согласно части 14 статьи 10.1 Федерального закона № 152-ФЗ).
При получении запроса на отзыв согласия субъекта ПДн на обработку ПДн (Приложение № 6 к настоящей Политике) необходимо прекратить их обработку и, в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн в срок, не превышающий 30 дней с даты поступления указанного отзыва (согласно части 5 статьи 21 Федерального закона № 152-ФЗ).
При выявлении недостоверности ПДн при обращении или по запросу субъекта персональных данных (Приложение № 5 к настоящей Политике) необходимо их блокировать с момента такого обращения или получения такого запроса на период проверки (согласно части 1 статьи 21 Федерального закона № 152 ФЗ). Если факт недостоверности ПДн подтвержден на основании сведений, представленных субъектом ПДн или его представителем, или посредством иных источников, необходимо уточнить ПДн в течение 7 рабочих дней со дня представления таких сведений и снять блокирование ПДн (согласно части 2 статьи 21 Федерального закона № 152-ФЗ). Если факт недостоверности ПДн не подтвержден, то необходимо отправить уведомление об отказе в изменении ПДн.
При выявлении неправомерных действий с ПДн Оператором по запросу субъекта персональных данных (Приложение № 5 к настоящей Политике) необходимо в срок, не превышающий 3 рабочих дней с даты этого выявления, прекратить неправомерную обработку ПДн (согласно части 3 статьи 21 Федерального закона № 152-ФЗ). В случае, если обеспечить правомерность обработки ПДн невозможно, Оператор в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки ПДн (согласно части 3 статьи 21 Федерального закона № 152-ФЗ), обязан уничтожить такие ПДн и отправить субъекту ПДн уведомление об уничтожении.
10. Действия Оператора при получении запроса уполномоченного органа по защите прав субъектов ПДн
При получении запроса необходимо в течение 10 дней (согласно части 4 статьи 20 Федерального закона № 152-ФЗ) предоставить информацию, необходимую для осуществления деятельности указанного органа.
При выявлении недостоверных ПДн по запросу уполномоченного органа по защите прав субъекта ПДн необходимо осуществить их блокирование или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения такого запроса на период проверки (согласно части 1 статьи 21 Федерального закона № 152-ФЗ). Если факт недостоверности ПДн подтвержден на основании документов, предоставленных субъектом ПДн или его представителем, необходимо в течение 7 рабочих дней уточнить ПДн либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и снять их блокирование (согласно части 2 статьи 21 Федерального закона № 152-ФЗ). Если факт недостоверности ПДн не подтвержден, то необходимо отправить уведомление об отказе изменения и снять блокирование ПДн.
При выявлении неправомерной обработки Оператором ПДн по запросу уполномоченного органа по защите прав субъекта ПДн Оператору необходимо прекратить неправомерную обработку ПДн в срок, не превышающий 3 рабочих дней с момента такого обращения или получения такого запроса на период проверки (согласно части 1 статьи 21 Федерального закона № 152-ФЗ). В случае невозможности обеспечения правомерности обработки ПДн Оператором в срок, не превышающий 10 рабочих дней с даты выявления неправомерности действий с ПДн, необходимо уничтожить ПДн и отправить уведомление об уничтожении ПДн.