Политика о персональных данных

ПОЛИТИКА

Акционерного общества «Государственный ракетный центр имени академика В.П.Макеева» (АО «ГРЦ Макеева») в отношении обработки персональных данных

1. Общие положения
   1. Настоящая Политика Акционерного общества «Государственный ракетный центр имени академика В.П.Макеева» (АО «ГРЦ Макеева») в отношении обработки персональных данных (далее – Политика) разработанная во исполнение требований пункта 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о Персональных данных), устанавливает цели, основные принципы, правила и правовые основания обработки персональных данных, а также содержит сведения о реализуемых в АО «ГРЦ Макеева» (далее - Общество) требованиях к защите персональных данных.
   2. Политика действует в отношении всех персональных данных, которые обрабатываются в Обществе.
   3. Во исполнение требований ч. 2 ст. 18.1 Закона о Персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте (сайтах) Общества, в том числе на страницах, с использованием которых осуществляется сбор персональных данных.
   4. Основные понятия, используемые в Политике:
      • персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
      • оператор - Общество, как юридическое лицо, самостоятельно организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
      • обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных;
      • автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
      • распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
      • предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
      • блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
      • уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
      • информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
      • трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
   5. Основные права и обязанности Общества в качестве оператора персональных данных.
      1. Общество имеет право:
         1. самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о Персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством РФ;
         2. поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ, на основании заключаемого с этим лицом договора. Такая обработка персональных данных осуществляется с соблюдением принципов и правил обработки персональных данных, предусмотренных Законом о персональных данных, с соблюдением конфиденциальности и обеспечением безопасности при их обработке;
         3. в случае отзыва субъектом персональных данных согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о Персональных данных;
         4. отказать в предоставлении информации, касающейся обработки Обществом персональных данных субъекта персональных данных или их наличия, в случаях, предусмотренных частями 6 и 8 статьи 14 и частью 2 статьи 20 Закона о Персональных данных;
         5. привлекать к дисциплинарной ответственности работников Общества, к должностным обязанностям которых относится обработка персональных данных, за нарушение требований к защите персональных данных.
      2. Общество обязано:
         1. организовывать обработку персональных данных в соответствии с требованиями Закона о Персональных данных;
         2. отвечать на обращения и запросы субъектов персональных данных и их представителей в соответствии с требованиями Закона о Персональных данных;
         3. сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в сроки, установленные Законом о Персональных данных;
         4. в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных;
         5. устранять нарушения законодательства, допущенные при обработке персональных данных;
         6. уточнять, блокировать и уничтожать персональные данные в случаях, предусмотренных статьёй 21 Закона о Персональных данных.
   6. Основные права субъекта персональных данных. Субъект персональных данных имеет право:
      1. получение по запросу информации, касающейся обработки Обществом его персональных данных;
      2. уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
      3. дополнение своих персональных данных оценочного характера заявлением, выражающим собственную точку зрения;
      4. прекращение обработки своих персональных данных;
      5. предоставление своих персональных данных и согласия на их обработку свободно, своей волей и в своем интересе;
      6. отзыв согласия на обработку своих персональных данных;
      7. требование об извещении Обществом всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
      8. обжалование в соответствии с законодательством РФ действий/бездействия Общества при обработке персональных данных;
      9. осуществление иных прав, предусмотренных законодательством РФ.
2. Цели обработки персональных данных
   1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сборa персональных данных.
   2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
   3. Обработка персональных данных в Обществе осуществляется в целях:
      1. обеспечения соблюдения трудового законодательства РФ;
      2. ведения кадрового и бухгалтерского учета;
      3. обеспечения пропускного режима на территорию Общества;
      4. подготовки и профессионального развития персонала, независимой оценки квалификации;
      5. обеспечения соблюдения законодательства РФ о противодействии терроризму;
      6. обеспечения соблюдения законодательства РФ о противодействии коррупции;
      7. предоставления от Общества социальных льгот, гарантий и компенсаций;
      8. реализации наградной политики Общества;
      9. подбора персонала (соискателей) на вакантные должности в Обществе;
      10. проведения профориентационных, творческих, научных и образовательных мероприятий;
      11. заключения договора о целевом обучении, реализация условий договора о целевом обучении;
      12. исполнения договорных обязательств;
      13. формирования советов директоров, ревизионных комиссий дочерних зависимых обществ;
      14. рассмотрения обращений граждан;
      15. предоставления услуг в соответствии с уставными видами экономической деятельности;
      16. обеспечения прохождения ознакомительной, производственной или преддипломной практики в Обществе на основании договора с учебным заведением;
      17. рассмотрения кандидатур для назначения отдельные должности в организациях, входящих в интегрированную структуру АО «ГРЦ Макеева»;
      18. реализации мероприятий ГО и ЧС.
3. Правовые основания обработки персональных данных
   1. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Общество осуществляет обработку персональных данных, в том числе:
      1. Конституция Российской Федерации;
      2. Трудовой кодекс РФ, иные нормативные правовые акты, содержащие нормы трудового права;
      3. Налоговый кодекс РФ;
      4. Гражданский кодекс РФ;
      5. Закон РФ от 21.07.1993 № 5485-1 «О государственной тайне», законодательство в области государственной тайны;
      6. Федеральный закон от 26.12.1995 «Об акционерных обществах»;
      7. Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
      8. Федеральный закон от 26.02.1997 № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации», нормативные правовые акты, содержащие нормы по бронированию граждан, пребывающих в запасе;
      9. Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учёте в системах обязательного пенсионного страхования и обязательного социального страхования»;
      10. Федеральный закон от 29.11.2007 № 282-ФЗ «Об официальном статистическом учёте и системе государственной статистики в Российской Федерации»;
      11. Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»;
      12. Федеральный закон от 29.12.2012 № 275-ФЗ «О государственном оборонном заказе»;
      13. Федеральный закон от 03.07.2016 №238-ФЗ «О независимой оценке квалификации»;
      14. Федеральный закон от 06.03.2006 № 35-ФЗ «О противодействии терроризму»;
      15. Федеральный закон от 25.12.2008 № 273-ФЗ «О противодействии коррупции»;
      16. Федеральный закон от 12.12.2023 № 565-ФЗ «О занятости населения в Российской Федерации»;
      17. Федеральный закон от 12.02.1998 № 28-ФЗ «О гражданской обороне»;
      18. Федеральный закон от 21.12.1994 №68-ФЗ «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера»;
      19. Постановление Правительства РФ от 27.11.2006 № 719 «Об утверждении Положения о воинском учете»;
      20. Постановление Правительства РФ от 07.02.2024 № 132 «Об утверждении правил допуска должностных лиц и граждан Российской Федерации к государственной тайне»;
      21. Постановление Правительства РФ от 05.01.2004 № 3-1 «Инструкция по обеспечению режима секретности в Российской Федерации»;
      22. Постановление Правительства РФ от 25.12.2013 № 1244 «Об антитеррористической защищенности объектов (территорий);
      23. Постановление Правительства РФ от 18.11.2020 № 1853 «Об утверждении правил предоставления гостиничных услуг в Российской Федерации;
      24. Постановление Правительства РФ от 27.04.2024 № 555 «О целевом обучении по образовательным программам среднего профессионального и высшего образования;
      25. Приказ Минобрнауки России № 885, Минпросвещения России № 390 от 05.08.2020 «О практической подготовке обучающихся»;
      26. «Меры по предупреждению коррупции в организациях», утверждённые Министерством труда и социальной защиты РФ;
      27. иные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
   2. Правовым основанием обработки персональных данных также являются:
      1. устав Общества;
      2. договоры, заключаемые между Обществом и субъектами персональных данных, а также договоры, выгодоприобретателями или поручителями, по которым являются субъекты персональных данных;
      3. договоры с образовательными учреждениями;
      4. согласие субъектов персональных данных на обработку их персональных данных.
4. Объём и категории обрабатываемых персональных данных, категории субъектов персональных данных
   1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
   2. Состав персональных данных и их категорий, категорий субъектов персональных данных в соответствии с целями обработки персональных данных приведен в приложении к настоящей Политике.
5. Порядок и условия обработки персональных данных
   1. Обработка персональных данных в Обществе осуществляется с соблюдением принципов и правил, предусмотренных законодательством РФ и локальными актами Общества в области персональных данных.
   2. Обработка персональных данных в Обществе осуществляется в случаях, предусмотренных законодательством РФ.
   3. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством РФ.
   4. Обработка персональных данных в Обществе выполняется с использованием средств автоматизации или без использования таких средств и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных субъектов персональных данных.
   5. Право доступа к персональным данным имеют только уполномоченные работники Общества, при этом они имеют право получать только те персональные данные и в том объёме, которые необходимы для исполнения должностных обязанностей.
   6. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов персональных данных осуществляется путем:
      1. получения оригиналов необходимых документов;
      2. копирования оригиналов документов с последующим их уничтожением;
      3. внесения сведений в учетные формы (на бумажных и электронных носителях);
      4. формирования персональных данных Обществом в ходе трудовой деятельности субъектов персональных данных;
      5. внесения персональных данных в информационные системы.
   7. Обществом не раскрываются третьим лицам и не распространяются персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
   8. Передача персональных данных субъектов персональных данных осуществляется Обществом с письменного согласия субъектов персональных данных на передачу персональных данных, если иное не предусмотрено законодательством РФ. Трансграничная передача персональных данных Обществом не осуществляется.
   9. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Закона о Персональных данных.
   10. Обработка персональных данных в Обществе прекращается в следующих случаях:
       1. достижения целей их обработки, за исключением случаев, предусмотренных законодательством РФ;
       2. по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных;
       3. при обращении субъекта персональных данных к Обществу с требованием о прекращении обработки персональных данных;
       4. при выявлении факта неправомерной обработки персональных данных;
       5. в иных случаях, предусмотренных законодательством РФ.
   11. Хранение персональных данных.
       1. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, за исключением случаев, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
       2. Персональные данные на бумажных носителях хранятся в Обществе в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ.
       3. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
   12. Обработка персональных данных граждан РФ, в том числе сбор персональных данных посредством сети «Интернет», осуществляется с использованием баз данных, находящихся на территории РФ, за исключением случаев, предусмотренных законодательством РФ.
6. Актуализация, исправление, удаление, уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
   1. Подтверждение факта обработки персональных данных Обществом, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о Персональных данных, предоставляются Обществом субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Общество направляет субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.

      В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

      Общество предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

      Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о Персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

      Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

   2. При выявлении неточных персональных данных или неправомерной обработки персональных данных, Общество осуществляет блокирование таких персональных данных.

      При подтверждении факта неточности персональных данных Обществом уточняются персональные данные в течение 7 рабочих дней со дня представления таких сведений и снимается блокирование персональных данных.

      При выявлении неправомерной обработки персональных данных Общество обязано прекратить их обработку в срок, не превышающий 3 рабочих дней с даты выявления неправомерной обработки персональных данных.

      В случае если обеспечить правомерность обработки персональных данных невозможно, Обществом в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожаются такие персональные данные.

   3. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Общество с момента выявления такого инцидента уведомляет уполномоченный орган по защите прав субъектов персональных данных:
      1. в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также о лице, уполномоченном на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
      2. в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также о лицах, действия которых стали причиной выявленного инцидента (при наличии).
   4. Уничтожение персональных данных.
      1. Уничтожение персональных данных производится в случаях:
         1. выявление неправомерной обработки персональных данных, в том числе по обращению субъекта персональных данных или его представителя либо запросу уполномоченного органа по защите прав субъектов персональных данных, если обеспечить правомерность обработки персональных данных невозможно;
         2. требования субъекта персональных данных, если его персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
         3. отзыва субъектом персональных данных согласия на обработку его персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных;
         4. достижения цели обработки персональных данных или утраты необходимости в достижении этих целей;
         5. истечения сроков хранения персональных данных, установленных нормативными правовыми актами Российской Федерации;
         6. признания недостоверности персональных данных или получения их незаконным путем по требованию уполномоченного органа по защите прав субъектов персональных данных;
         7. в иных установленных законодательством случаях.
      2. При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
         1. иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
         2. Общество не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
         3. иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
      3. Порядок уничтожения персональных данных и их материальных носителей определяется локальным актом Общества.
7. Сведения о реализуемых Обществом требованиях к защите персональных данных при их обработке.
   1. Общество принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
      1. назначает лиц, ответственных за организацию обработки персональных данных в Обществе, за организацию работ по обеспечению безопасности персональных данных при их обработке в информационных системах Общества, за техническое руководство и обеспечение реализации мер по обеспечению безопасности персональных данных в информационных системах персональных данных;
      2. принимает локальные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
      3. определяет угрозы безопасности персональных данных при их обработке в информационных системах Общества;
      4. применяет организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах Общества, соответствующие требованиям к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные, в соответствии с законодательством РФ, уровни защищенности персональных данных;
      5. применяет прошедшие в установленном порядке процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации средства защиты информации;
      6. применяет для уничтожения персональных данных прошедшие в установленном порядке процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации средства защиты информации, в составе которых реализована функция уничтожения информации;
      7. оценивает эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
      8. реализует обнаружение фактов несанкционированного доступа к персональным данным и принимает соответствующие меры реагирования;
      9. осуществляет восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
      10. устанавливает правила доступа к персональным данным, обрабатываемым в информационных системах Общества;
      11. осуществляет контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
      12. проводит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о Персональных данных;
      13. ведёт учет машинных носителей персональных данных;
      14. осуществляет внутренний контроль и аудит соответствия обработки персональных данных в Обществе Закону о Персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным актам Общества в области персональных данных;
      15. осуществляет ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Общества в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.