1. Общие положения
1.1. Политика АО «НПК «БИС» в отношении обработки персональных данных (далее — Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и иными нормативными правовыми актами в сфере обработки персональных данных и является основополагающим внутренним документом АО «НПК «БИС» в области обработки персональных данных.
1.2. Настоящая Политика определяет цели, условия и способы обработки персональных данных в АО «НПК «БИС» (далее также — Общество), перечень субъектов персональных данных и их права, основные меры, принимаемые при обработке персональных данных.
1.3. Положения настоящей Политики являются основой для разработки и актуализации локальных нормативных актов АО «НПК «БИС», регламентирующих процессы обработки персональных данных различных категорий субъектов персональных данных, а также порядок реализации мер для защиты обрабатываемых персональных данных.
1.4. В настоящей Политике используются следующие основные понятия:
Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор персональных данных (оператор) – АО «НПК «БИС».
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность, и которые используются Обществом для установления личности субъекта персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Сайт АО «НПК «БИС» – сайт, расположенный в сети Интернет по адресу: http://www.npkbis.ru/
1.5. Настоящая Политика является общедоступным документом и подлежит размещению (опубликованию) на сайте АО «НПК «БИС».
2. Правовые основания и цели обработки (сбора) персональных данных
2.1. Правовые основания обработки персональных данных в АО «НПК «БИС»:
— Конституция Российской Федерации;
— Трудовой кодекс Российской Федерации;
— Федеральный закон от 26.12.1995 № 208-ФЗ «Об акционерных обществах»;
— Положение Банка России от 16.11.2018 № 660-П «Об общих собраниях акционеров»;
— Устав АО «НПК «БИС»;
— трудовые договоры с работниками АО «НПК «БИС»;
— гражданско-правовые договоры, заключаемые АО «НПК «БИС»;
— согласия на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Общества).
2.2. АО «НПК «БИС» осуществляет обработку персональных данных в целях:
— обеспечения соблюдения Конституции РФ, законодательных и иных нормативных правовых актов РФ, локальных нормативных актов Общества;
— подбора персонала, содействия соискателям на замещение вакантных должностей в трудоустройстве, формирования внешнего кадрового резерва;
— содействия работникам в обучении и продвижении по службе, контроля количества и качества выполняемой работы, обеспечения личной безопасности работников, формирования справочных материалов для внутреннего информационного обеспечения деятельности Общества, включения в корпоративные справочники и другие общедоступные источники информации Общества, размещения сведений на доске почета (внутренних информационных стендах); идентификации и аутентификации работника в информационных системах Общества; осуществления расчетов с работниками; предоставления гарантий и льгот, предусмотренных законодательством РФ, локальными нормативными актами Общества, трудовым договором;
— подготовки, заключения, исполнения и прекращения гражданско-правовых договоров;
— прохождения практики студентами (учащимися) учебных заведений;
— формирования отчетности или подготовки предусмотренных законодательством РФ заявлений, уведомлений и т.д. в государственные органы и службы;
— соблюдения требований законодательства об акционерных обществах;
— подготовки, заключения договоров, выполнения обязательств по договорным отношениям, защиты интересов Общества при неисполнении и/или ненадлежащем исполнении обязательств по заключенным с Обществом договорам/соглашениям;
— обеспечения пропускного и внутриобъектового режимов на территории Общества, обеспечения сохранности имущества.
3. Обрабатываемые персональные данные
3.1. Перечень персональных данных, обрабатываемых в АО «НПК «БИС», определяется в соответствии с законодательством Российской Федерации и конкретизируется в локальных нормативных актах Общества в соответствии с целями обработки персональных данных, установленных в п. 2.2 настоящей Политики.
3.2. АО «НПК «БИС» обрабатывает биометрические персональные данные только в целях обеспечения пропускного и внутриобъектового режимов на территории Общества, обеспечения безопасности работников, сохранности имущества.
3.3. Общество не обрабатывает специальные категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
4. Субъекты персональных данных, их права
4.1. АО «НПК «БИС» осуществляет обработку персональных данных следующих категорий субъектов:
— соискатели (кандидаты) на замещение вакантных должностей в Обществе;
— работники Общества, их родственники;
— лица, имевшие ранее трудовые отношения с Обществом (бывшие работники);
— лица, заключающие гражданско-правовой договор с Обществом;
— лица, проходящие различного рода практику в Обществе (студенты, учащиеся учебных заведений);
— акционеры Общества – физические лица;
— члены Совета директоров Общества, кандидаты в члены Совета директоров;
— индивидуальные предприниматели (ИП), представители контрагентов Общества (юридических лиц и ИП), в том числе потенциальных (далее – контрагенты и их представители).
4.2. Субъекты персональных данных имеют право:
4.2.1. Получать доступ к своим персональным данным и знакомиться с ними.
4.2.2. Требовать от Общества уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющих необходимыми для Общества персональных данных.
4.2.3. Получать от Общества:
— сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ (за исключением работников Общества);
— перечень обрабатываемых персональных данных и источник их получения;
— сроки обработки персональных данных, в том числе сроки их хранения;
— разъяснения в случае разглашения персональных данных субъекта без его согласия;
— сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных, а также отказ от предоставления персональных данных или отзыв согласия на обработку персональных данных.
4.2.4. Требовать извещения Обществом всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
4.2.5. Отозвать согласие на обработку своих персональных данных.
4.2.6. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Общества при обработке и защите его персональных данных.
4.3. АО «НПК «БИС» имеет право:
4.3.1. Получать документы, содержащие персональные данные, от субъектов персональных данных либо от их представителей.
4.3.2. Требовать от субъекта персональных данных своевременного уточнения предоставленных персональных данных.
4.3.3. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных, при наличии оснований, предусмотренных законодательством Российской Федерации, продолжить их обработку без согласия субъекта персональных данных.
5. Условия обработки персональных данных
5.1. Обработка персональных данных в АО «НПК «БИС» осуществляется с согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ.
5.2. Обработка персональных данных в АО «НПК «БИС» осуществляется с помощью средств вычислительной техники (автоматизированная обработка) либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).
Общество не основывается на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения, при принятии решений, затрагивающих интересы субъекта и порождающих юридические последствия.
5.3. Перечень действий, совершаемых Обществом с персональными данными при их обработке: сбор (получение), запись, систематизация, накопление, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, передача (предоставление, доступ, распространение), хранение, удаление, уничтожение.
5.4. АО «НПК «БИС» не осуществляет трансграничную передачу данных.
5.5. В целях реализации прав субъектов персональных данных АО «НПК «БИС» при обработке их персональных данных:
— принимает необходимые меры для выполнения обязанностей, предусмотренных законодательством Российской Федерации;
— разъясняет субъекту персональных данных юридические последствия отказа предоставить персональные данные, если это является обязательным в соответствии с законодательством Российской Федерации;
— осуществляет блокирование, уточнение и уничтожение неправомерно обрабатываемых персональных данных, а также прекращение их неправомерной обработки;
— уведомляет субъекта персональных данных об устранении допущенных нарушений или уничтожении его персональных данных;
— предоставляет по просьбе субъекта персональных данных или его представителя информацию, касающуюся обработки его персональных данных, в порядке, установленном законодательством Российской Федерации, а также локальными нормативными актами АО «НПК «БИС».
5.6. В Обществе назначено лицо, ответственное за организацию обработки персональных данных, которое в соответствии с установленными полномочиями обеспечивает:
— разработку и актуализацию локальных нормативных актов АО «НПК «БИС» по вопросам обработки и защиты персональных данных;
— доведение до сведения работников положения законодательства Российской Федерации и локальных актов Общества по вопросам обработки персональных данных, требований к защите персональных данных;
— внутренний контроль за соблюдением Обществом и его работниками законодательства Российской Федерации и локальных нормативных актов в области персональных данных, в том числе требований к защите персональных данных;
— контроль за приемом и обработкой обращений и запросов субъектов персональных данных или их представителей;
— взаимодействие с государственными органами по вопросам защиты персональных данных.
5.7. К обработке персональных данных в АО «НПК «БИС» допускаются только работники, занимающие должности, включенные в перечень должностей, допущенных к обработке персональных данных.
Работники Общества имеют право получать доступ только к тем персональным данным субъектов персональных данных, которые им необходимы для выполнения должностных обязанностей.
Работникам, получившим доступ к персональным данным, обрабатываемым в Обществе, запрещается раскрывать их работникам Общества, не имеющим отношение к обработке персональных данных, а также третьим лицам (не являющимся работниками Общества) и распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ.
5.8. Передача персональных данных в государственные органы осуществляется в соответствии с требованиями законодательства Российской Федерации.
5.9. Общество хранит персональные данные не дольше, чем того требуют цели обработки персональных данных, за исключением случаев, когда сроки хранения персональных данных определяются федеральными законами.
Сроки хранения персональных данных в АО «НПК «БИС» отражены в локальных нормативных актах АО «НПК «БИС» в области обработки персональных данных.
5.10. При обработке персональных данных обеспечиваются их точность, достаточность и актуальность по отношению к целям обработки персональных данных.
При подтверждении факта неточности персональных данных они подлежат актуализации, а при подтверждении факта неправомерности обработки персональных данных их обработка прекращается.
5.11. Работники, допущенные к обработке персональных данных, реагируют на запросы (обращения) субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным в соответствии с регламентом обработки запросов (обращений) субъектов персональных данных, утвержденном в АО «НПК «БИС».
5.12. При достижении целей обработки персональных данных, истечении срока действия согласия или отзыва субъектом персональных данных согласия на их обработку персональные данные уничтожаются или обезличиваются, если:
— оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами;
— иное не предусмотрено договором или иным соглашением между Обществом и субъектом персональных данных.
6. Меры, принимаемые при обработке персональных данных
6.1. АО «НПК «БИС» принимает следующие меры, необходимые для обеспечения выполнения обязанностей оператора, предусмотренных законодательством РФ о персональных данных:
— назначение лица, ответственного за организацию обработки персональных данных;
— назначение лица, ответственного за обеспечение безопасности персональных данных;
— издание локальных нормативных актов по вопросам обработки и защиты персональных данных, направленных на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
— опубликование настоящей Политики, а также сведений о реализуемых требованиях к защите персональных данных на сайте АО «НПК «БИС»;
— получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
— ознакомление под подпись работников, допущенных к обработке персональных данных, с положениями законодательства о персональных данных, настоящей Политикой, а также локальными нормативными актами Общества в области обработки персональных данных;
— хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
— осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным нормативным актам АО «НПК «БИС» в области обработки персональных данных;
— применение различных мер по обеспечению безопасности персональных данных в соответствии с законодательством о персональных данных;
— иные меры, предусмотренные законодательством Российской Федерации в области персональных данных.
6.2. Меры по обеспечению безопасности персональных данных устанавливаются в соответствии с локальными нормативными актами АО «НПК «БИС», регламентирующими вопросы защиты и обеспечения безопасности персональных данных.
7. Ответственность
7.1. Лица, виновные в нарушении норм, регулирующих обработку персональных данных, могут быть привлечены к ответственности в соответствии с действующим законодательством РФ, в том числе к административной или уголовной ответственности.
7.2. В случае причинения ущерба АО «НПК «БИС» посредством разглашения сведений, составляющих персональные данные, работник, совершивший указанный дисциплинарный проступок, несет полную материальную ответственность.