ПОЛИТИКА АО «КЕРАМОГРАНИТНЫЙ ЗАВОД» В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Назначение и область применения
Настоящая Политика в отношении обработки ПДн (далее – «Политика»)
разработана на основании ст.18.1 Федерального закона № 152-ФЗ «О персональных
данных» (далее – «152-ФЗ), с учетом требований Конституции Российской Федерации,
Конвенции Совета Европы о защите физических лиц при автоматизированной обработке
персональных данных, международных договоров Российской Федерации, федеральных
законов и иных нормативных правовых актов Российской Федерации в области
персональных данных.
Действие настоящей Политики распространяется на отношения по обработке
и обеспечению безопасности информации ограниченного доступа, относящейся
в соответствии с законодательством Российской Федерации к персональным данным
(далее — ПДн).
Настоящая Политика определяет принципы, цели, порядок и условия
обработки персональных данных работников АО «Керамогранитный Завод» (далее —
Общество) и иных субъектов, чьи ПДн обрабатываются Обществом. В настоящей
Политике содержатся положения об ответственности Общества и ее работников в случае
выявления нарушений обработки ПДн законодательству.
Положениями настоящей Политики руководствуются все работники
Общества.
2. Принципы обработки персональных данных
Общество в своей деятельности обеспечивает соблюдение принципов
обработки персональных данных, указанных в ст. 5 Федерального закона от 27.07.2006 №
152-ФЗ «О персональных данных».
Обработка Обществом персональных данных осуществляется только в
соответствии с целями, определившими их получение, при этом персональные данные,
полученные работниками Общества, при исполнении ими должностных обязанностей
подлежат защите.
В Обществе не допускается объединение баз данных, содержащих
персональные данные, обработка которых осуществляется в целях, несовместимых между
собой.
На работников Общества возлагается обязанность по соблюдению
конфиденциальности полученной информации. Право доступа для обработки
персональных данных имеют только ответственные должностные лица (работники
Общества) в соответствии с возложенными на них функциональными обязанностями.
Обработка персональных данных Обществом осуществляется с учетом
соответствия объема и характера обрабатываемых персональных данных, способов
обработки персональных данных целям обработки персональных данных, достоверности
персональных данных, их достаточности для целей обработки, а в необходимых случаях и
актуальности по отношению к целям обработки персональных данных, недопустимости
обработки персональных данных, избыточных по отношению к целям, заявленным при
сборе персональных данных. Общество принимает необходимые меры по удалению или
уточнению неполных, или неточных данных в соответствии с локальными нормативными
актами Общества.
Хранение персональных данных в Обществе осуществляется в форме,
позволяющей определить субъекта персональных данных, не дольше, чем этого требуют
цели обработки персональных данных, если срок хранения персональных данных не
установлен федеральным законом, договором, стороной которого, выгодоприобретателем
или поручителем, по которому является субъект персональных данных. Обрабатываемые
персональные данные подлежат уничтожению либо обезличиванию по достижении целей
обработки или в случае утраты необходимости в достижении этих целей, если иное не
предусмотрено федеральным законом.
Сроки хранения персональных данных определяются в соответствии со сроком
действия гражданско-правовых отношений между субъектом персональных данных и
Обществом, сроком исковой давности, сроками хранения документов на бумажных
носителях и документов в электронных базах данных, иными требованиями
законодательства Российской Федерации, а также сроком действия согласия субъекта на
обработку его персональных данных.
Обработка персональных данных в целях проведения маркетинговых
мероприятий путем осуществления прямых контактов с субъектами персональных данных
с помощью средств связи допускается только при условии получения согласия от субъекта
персональных данных. Общество не размещает персональные данные субъекта
персональных данных в общедоступных источниках без его предварительного согласия.
Обработка персональных данных осуществляется с соблюдением принципов и
правил, предусмотренных настоящей Политикой.
Обработка персональных данных Обществом включает в себя сбор, запись,
систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение,
использование, передачу (распространение, предоставление, доступ), обезличивание,
блокирование, удаление, уничтожение персональных данных.
Общество не осуществляет обработку биометрических персональных данных
(сведения, которые характеризуют физиологические и биологические особенности
человека, на основании которых можно установить его личность).
Общество не выполняет обработку специальных категорий персональных
данных, касающихся расовой, национальной принадлежности, политических взглядов,
религиозных или философских убеждений, состояния здоровья, интимной жизни.
При сборе персональных данных, в том числе посредством информационно-
телекоммуникационной сети "Интернет", Общество обеспечивает запись, систематизацию,
накопление, хранение, уточнение (обновление, изменение), извлечение персональных
данных граждан Российской Федерации с использованием баз данных, находящихся на
территории Российской Федерации.
Обществом не принимаются решения, порождающие юридические
последствия в отношении субъектов персональных данных или иным образом
затрагивающие их права и законные интересы, на основании исключительно
автоматизированной обработки их персональных данных.
Общество осуществляет смешанную обработку персональных данных с
использованием средств автоматизации и без использования средств автоматизации.
3. Цели обработки персональных данных
Общество осуществляет обработку персональных данных в целях
осуществления деятельности Общества согласно законодательству Российской Федерации
и Уставу Общества.
4. Обработка и обеспечение безопасности персональных данных
Общество при обработке персональных данных принимает все необходимые
правовые, организационные и технические меры для их защиты от неправомерного или
случайного доступа, уничтожения, изменения, блокирования, копирования,
предоставления, распространения, а также от иных неправомерных действий в отношении
них. Обеспечение безопасности персональных данных достигается, в частности,
следующими способами:
Назначением ответственного лица за организацию обработки и
обеспечение безопасности персональных данных.
Осуществлением внутреннего контроля и/или аудита соответствия
обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О
персональных данных» и принятым в соответствии с ним нормативным правовым актам,
требованиям к защите персональных данных, локальным актам.
Ознакомлением работников Обществе, непосредственно
осуществляющих обработку персональных данных, с положениями законодательства
Российской Федерации о персональных данных, в том числе с требованиями к защите
персональных данных, локальными актами в отношении обработки персональных данных
и/или обучением указанных работников.
Определением угроз безопасности персональных данных при их
обработке в информационных системах персональных данных.
Применением организационных и технических мер по обеспечению
безопасности персональных данных при их обработке в информационных системах
персональных данных, необходимых для выполнения требований к защите персональных
данных.
Оценкой эффективности принимаемых мер по обеспечению
безопасности персональных данных до ввода в эксплуатацию информационной системы
персональных данных.
Учетом машинных носителей персональных данных.
Выявлением фактов несанкционированного доступа к персональным
данным и принятием соответствующих мер.
Восстановлением персональных данных, модифицированных или
уничтоженных вследствие несанкционированного доступа к ним.
Установлением правил доступа к персональным данным,
обрабатываемым в информационной системе персональных данных, а также обеспечением
регистрации и учета всех действий, совершаемых с персональными данными в
информационной системе персональных данных.
Контролем над принимаемыми мерами по обеспечению безопасности
персональных данных и уровнем защищенности информационных систем персональных
данных.
Общество вправе поручить обработку ПДн другому лицу только с согласия
субъекта ПДн, если иное не предусмотрено федеральным законом, на основании
заключаемого с этим лицом договора (далее — поручение оператора). При этом Общество
обязывает лицо, осуществляющее обработку ПДн по поручению, соблюдать принципы и
правила обработки ПДн, предусмотренные федеральным законом. В случае если Общество
поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия
указанного лица несет Общество. Лицо, осуществляющее обработку ПДн по поручению
Общества, несет ответственность перед Обществом.
Общество обязуется и обязывает иных лиц, получивших доступ к ПДн
не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если
иное не предусмотрено федеральным законом.
Общество зарегистрировано в Реестре операторов персональных данных
(http://rkn.gov.ru/personal-data/register) под номером 77-12-000507 на основании приказа №
290-од от 10.12.2012.
5. Категории субъектов персональных данных
Субъектами, ПДн которых обрабатываются в Обществе с использованием
средств автоматизации или без использования таковых, являются:
кандидаты на замещение вакантных должностей в Обществе;
работники Общества и члены их семей (супруги и близкие
родственники);
лица, имевшие ранее трудовые отношения с Обществом;
лица, имеющие гражданско-правовой характер договорных отношений
с Обществом, или находящиеся на этапе преддоговорных или выполненных отношений
подобного характера;
контрагенты Общества, представленные индивидуальными
предпринимателями, их работниками; учредителями, руководителями, представителями
(лицами, действующими на основании доверенностей) и работниками юридических лиц,
имеющих или имевших договорные отношения с Обществом, либо желающих заключить
договоры с Обществом.
6. Контакты и права субъекта персональных данных
Субъекты, чьи ПДн обрабатываются в Обществе, могут получить разъяснения
по вопросам обработки своих ПДн, обратившись лично в Компанию или направив
соответствующий письменный запрос по адресу местонахождения АО «Керамогранитный
Завод», 142800, Московская обл, Ступино г, Староситненское ш, д. 32.
В случае направления официального запроса в Компанию в тексте запроса
необходимо указать:
фамилию, имя, отчество субъекта ПДн или его представителя;
номер основного документа, удостоверяющего личность субъекта ПДн
или его представителя, сведения о дате выдачи указанного документа и выдавшем его
органе;
сведения, подтверждающие наличие у субъекта ПДн отношений с ИФ
(номер договора, дата заключения договора, условное словесное обозначение и (или) иные
сведения);
подпись субъекта ПДн (или его представителя).
Субъект персональных данных имеет право на получение информации,
касающейся обработки его персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных оператором;
правовые основания и цели обработки персональных данных;
цели и применяемые Обществом способы обработки персональных
данных;
наименование и место нахождения Общества, сведения о лицах (за
исключением работников оператора), которые имеют доступ к персональным данным или
которым могут быть раскрыты персональные данные на основании договора с оператором
или на основании Федерального закона № 152-ФЗ;
обрабатываемые персональные данные, относящиеся к
соответствующему субъекту, источник их получения;
сроки обработки персональных данных, в том числе сроки их хранения;
информацию об осуществленной или о предполагаемой трансграничной
передаче данных;
наименование лица, осуществляющего обработку персональных данных
по поручению Общества, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные Федеральным законом № 152-ФЗ или
другими федеральными законами.
Право субъекта персональных данных на доступ к его персональным данным
может быть ограничено в соответствии с федеральными законами, в том числе если доступ
субъекта к его персональным данным нарушает права и законные интересы третьих лиц;
Субъект персональных данных вправе требовать от Общества уточнения его
персональных данных, их блокирования или уничтожения в случае, если персональные
данные являются неполными, устаревшими, неточными, незаконно полученными или не
являются необходимыми для заявленной цели обработки, а также принимать
предусмотренные законом меры по защите своих прав.
Для реализации и защиты своих прав и законных интересов субъект
персональных данных имеет право обратиться в Компанию. Общество рассматривает
обращения и жалобы со стороны субъектов персональных данных, тщательно расследует
факты нарушений и принимает все необходимые меры для их немедленного устранения,
наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном
порядке.
Субъект персональных данных вправе обжаловать действия или бездействие
Общества путем обращения в уполномоченный орган по защите прав субъектов
персональных данных.
Субъект персональных данных имеет право на защиту своих прав и законных
интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в
судебном порядке.
7. Заключительные положения
Настоящая Политика является общедоступной и подлежит размещению:
на официальном сайте Общества http://www.italonceramica.ru/
на информационной доске на территории Общества
на всех информационных ресурсах, на которых Обшществом
осуществляется сбор персональных данных.
Настоящая Политика подлежит изменению, дополнению в случае появления
новых законодательных актов и специальных нормативных документов по обработке и
защите персональных данных, но не реже 1 раза в три года.
Общество несет ответственность за соответствие обработки и обеспечение
безопасности персональных данных законодательству. Все работники Общества,
осуществляющие обработку персональных данных, несут ответственность за соблюдение
настоящей Политики и иных локальных актов Обществе по вопросам обработки
и обеспечению безопасности персональных данных.
Любой работник, которому стало известно о нарушении настоящей Политики
или который подозревает о существовании такого нарушения, должен сообщить об этом
лицу, ответственному за организацию обработки ПДн в Обществе.
Контроль исполнения требований настоящей Политики осуществляется
Ответственным за организацию обработки персональных данных Общества.
Ответственность должностных лиц Общества, имеющих доступ к
персональным данным, за невыполнение требований норм, регулирующих обработку и
защиту персональных данных, определяется в соответствии с законодательством
Российской Федерации и внутренними документами Общества.