Ru
En
МЕНЮ
О предприятии
Деятельность
Основное производство
Продукция
Экология
Общая информация о снижении воздействия на окружающую среду
Безопасность производства
Персонал
Вакансии
Отправить резюме
Политика обработки персональных данных
Корпоративные программы
Охрана и профилактика здоровья, медицинская помощь
Подготовка и обучение кадров
Поддержка ветеранов
Соглашение о порядке использования топливных карт
Профсоюзная организация
Бизнес
Акционеру и инвестору
Поставщику
Клиенту
Раскрытие информации
Соцответственность
Социально-экономическое сотрудничество
Поддержка культуры
Поддержка спорта
Патриотическое воспитание
Духовность
Благотворительность
Пресс-центр
Новости
Пресс-служба
Фотогалерея
Контакты
Карта сайта
Карта сайта
RU
EN
Персонал Политика обработки персональных данных

Политика обработки персональных данных

1 Общие положения

1.1 Настоящая Политика обработки и защиты персональных данных в АО «Богословское рудоуправление» (далее – Политика) определяет цели, задачи и основные мероприятия по обеспечению безопасности персональных данных АО «Богословское рудоуправление» от несанкционированного доступа, неправомерного их использования или утраты.

1.2 Настоящая Политика разработана в соответствии со следующими действующими законодательными актами Российской Федерации в области защиты персональных данных:

- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

- Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

- Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

- нормативные документы уполномоченных органов.

1.3 Настоящая Политика является основой для разработки локальных нормативных актов АО «БРУ» по обеспечению безопасности ПДн.

1.4 Настоящая политика распространяется на:

- работников АО «БРУ»;

- лиц, работающих по договору подряда;

- работников сторонних организаций, взаимодействующих с АО «БРУ» на основании соответствующих нормативных, правовых и организационно-распорядительных документов;

- физических лиц, находящихся в гражданско-правовых отношениях с АО «БРУ».

1.5 Настоящая Политика вступает в силу с даты ее утверждения и действует до ее замены новой.

1.6 Настоящая Политика размещается на общедоступном ресурсе – на сайте АО «БРУ» в сети Интернет по адресу: bru.ugmk.com.

2 Термины, определения и сокращения

2.1 В настоящей Политике применены следующие термины с соответствующими определениями:

2.1.1 персональные данные: Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.1.2 субъект персональных данных: Физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.

2.1.3 оператор персональных данных: Юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. В целях настоящей Политики оператором персональных данных является АО «БРУ».

2.1.4 обработка персональных данных: Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.1.5 автоматизированная обработка персональных данных: Обработка персональных данных с помощью средств вычислительной техники.

2.1.6 информационная система персональных данных: Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.1.7 персональные данные, сделанные общедоступными субъектом персональных данных: Персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.

2.1.8 блокирование персональных данных: Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.1.9 уничтожение персональных данных: Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.2 В настоящей Политике используются следующие сокращения:

2.2.1 АО «БРУ» - Акционерное общество «Богословское рудоуправление»;

2.2.2 ИСПДн      - информационная система персональных данных;

2.2.3 ПДн            - персональные данные;

2.2.4 СЗПДн       - система защиты персональных данных;

2.2.5 ПО              - программное обеспечение;

2.2.6 РФ              - Российская Федерация;

2.2.7 ИНН           - идентификационный номер налогоплательщика.

3 Обработка персональных данных

3.1 Получение персональных данных

3.1.1 Все ПДн следует получать от самого субъекта ПДн. Если ПДн субъекта можно получить только у третьей стороны, то субъект ПДн должен быть уведомлен об этом или от него должно быть получено согласие.

3.1.2 Оператор ПДн должен сообщить субъекту ПДн о целях, предполагаемых источниках и способах получения ПДн, перечне действий с ПДн, сроке, в течение которого действует согласие и порядке его отзыва, а также о последствиях отказа субъекта ПДн дать письменное согласие на их получение.

3.1.3 Документы, содержащие ПДн, создаются путем:

-   копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.);

-   внесения сведений в учетные формы;

-   получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).

3.2 Обработка персональных данных

3.2.1 Обработка ПДн осуществляется:

-   с согласия субъекта ПДн на обработку его ПДн;

-   в случаях, когда обработка ПДн необходима для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей;

-   в случаях, когда осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе (ПДн, сделанные общедоступными субъектом ПДн).

3.2.2 Цели обработки ПДн:

-   осуществление трудовых отношений;

-   осуществление гражданско-правовых отношений;

-   обеспечение пропускного и внутриобъектового режима, установленного в АО «БРУ»;

-   оказание услуг гражданам РФ;

-   организация деятельности по охране труда в АО «БРУ».

3.2.3 Категории субъектов ПДн:

-   физические лица, состоящие (состоявшие) в трудовых отношениях с АО «БРУ» и/или работающие (работавшие) по договорам гражданско-правового характера;

-   близкие родственники лиц, состоящих (состоявших) в трудовых отношениях с АО «БРУ» и/или работающих (работавших) по договорам гражданско-правового характера;

-   физические лица - претенденты на замещение вакантной должности;

-   физические лица - практиканты/стажеры;

-   физические лица, являющиеся контрагентами (возможными контрагентами) АО «БРУ», индивидуальные предприниматели, а также физические лица – работники организаций, оказывающих АО «БРУ» услуги/выполняющих работу.

3.2.5 Обработка ПДн ведется:

-   с использованием средств автоматизации с передачей по внутренней сети оператора ПДн, имеющей выход в сеть Интернет. Используемые линии связи имеют выход за пределы контролируемой зоны АО «БРУ»;

-   без использования средств автоматизации.

3.3 Хранение персональных данных

3.3.1 ПДн субъекта могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

3.3.2 ПДн, зафиксированные на бумажных носителях хранятся в запираемых шкафах или в специально выделенных помещениях для хранения ПДн.

3.3.3 ПДн субъекта, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках (вкладках).

3.3.4 Не допускается хранение и размещение документов, содержащих ПДн, в открытых электронных каталогах (файлообменниках) в ИСПДн.

3.3.5 Хранение ПДн в форме, позволяющей определить субъекта ПДн, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

3.4 Уничтожение персональных данных

3.4.1 Уничтожение документов (носителей), содержащих ПДн производится путем сожжения, дробления (измельчения). Для уничтожения бумажных документов допускается применение шредера.

3.4.2 ПДн на электронных носителях уничтожаются путем стирания или форматирования носителя.

3.4.3 Уничтожение производится комиссией, назначенной приказом, в которую включаются лицо, ответственное за организацию обработки ПДн и (или) администратор безопасности ИСПДн и другие работники Оператора. Факт уничтожения ПДн подтверждается документально актом об уничтожении носителей, подписанным членами комиссии.

3.5 Передача персональных данных

3.5.1 АО «БРУ» поручает обработку ПДн третьим лицам в следующих случаях:

-   субъект выразил свое согласие на такие действия;

-   передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.

3.5.2 Перечень лиц, которым передаются ПДн, указан в согласии на обработку ПДн, подписанном субъектом ПДн.

4 Защита персональных данных

4.1 В соответствии с требованиями нормативных документов в АО «БРУ» создана СЗПДн, включающая в себя следующие подсистемы:

- правовая;

- организационная;

- техническая.

4.2 Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПДн.

4.3 Подсистема организационной защиты включает в себя организацию структуры управления СЗПДн, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами, защиты информации в открытой печати, публикаторской и рекламной деятельности, аналитической работы.

4.4 Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПДн.

4.5 Основными мерами защиты ПДн, используемыми АО «БРУ», являются:

4.5.1 Назначение администратора информационной безопасности, который осуществляет организацию обработки ПДн, обучение и инструктаж, внутренний контроль за соблюдением АО «БРУ» и его работниками требований по защите ПДн.

4.5.2 Определение актуальных угроз безопасности ПДн при их обработке в ИСПДн, и разработка мер и мероприятий по защите ПДн.

4.5.3 Разработка локальных нормативных актов, регламентирующих обработку и обеспечение безопасности ПДн.

4.5.4 Установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечения регистрации и учета всех действий, совершаемых с ПДн в ИСПДн.

4.5.5 Установление индивидуальных паролей доступа работников АО «БРУ» в информационную систему в соответствии с их должностными обязанностями.

4.5.6 Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации и средств криптографической защиты информации.

4.5.7 Регулярное обновление применяемых средств защиты информации, средств криптографической защиты информации, а также системного и прикладного ПО.

4.5.8 Соблюдение условий, обеспечивающих сохранность ПДн и исключающих несанкционированный к ним доступ.

4.5.9 Обнаружение фактов несанкционированного доступа к ПДн и принятия мер по их устранению.

4.5.10 Восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

4.5.11 Обучение работников АО «БРУ», непосредственно осуществляющих обработку ПДн, в рамках требований законодательства РФ в части защиты ПДн, в том числе документам, определяющими политику АО «БРУ» в отношении обработки ПДн, локальным нормативным актам по вопросам обработки ПДн.

4.5.12 Осуществление внутреннего контроля и (или) аудитов соответствия обработки ПДн Федеральному закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, настоящей Политике, локальным актам Оператора.

5 Основные права субъекта и обязанности оператора

5.1 Основные права субъекта персональных данных

5.1.1 Субъект ПДн имеет право требовать от оператора ПДн уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

5.1.2 Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:

1) подтверждение факта обработки его ПДн оператором ПДн;

2) правовые основания и цели обработки его ПДн;

3) цели и применяемые оператором ПДн способы обработки ПДн;

4) наименование и место нахождения оператора ПДн, сведения о лицах (за исключением работников АО «БРУ»), которые имеют доступ к его ПДн или которым могут быть раскрыты ПДн на основании договора с АО «БРУ» или на основании федерального закона РФ;

5) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПНд, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом РФ;

6) сроки обработки ПДн, в том числе сроки их хранения;

7) порядок осуществления субъектом ПНд прав, предусмотренных Федеральным законом № 152-ФЗ;

8) информацию об осуществленной или о предполагаемой трансграничной передаче ПНд;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПНд по поручению оператора ПДн, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами РФ.

5.1.3 Субъект ПНд имеет право на обжалование действий или бездействия оператора ПНд.

5.2 Обязанности оператора персональных данных

Оператор обязан:

1) при сборе ПНд субъекту ПНд по его просьбе информацию о полученных ПДн;

2) в случаях если ПДн были получены не от субъекта ПДн, уведомить субъекта ПНд;

3) в случае отказа субъекта ПДн в предоставлении ПДн субъекту разъясняются юридические последствия такого отказа;

4) опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн;

5) принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;

6) давать ответы на запросы и обращения субъектов ПНд, их представителей и уполномоченного органа по защите прав субъектов ПНд.