Общие положения

Политика Акционерного общества «Координационный Центр по созданию систем безопасности и управления «Атомбезопаность» Государственной корпорации по атомной энергии «Росатом» в отношении обработки персональных данных (далее - Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, категории субъектов и состав обрабатываемых в АО КЦ «Атомбезопасность» (далее - Общество) персональных данных, действия и операция, совершаемые с персональными данными, права субъектов персональных данных, а также содержит сведения о реализуемых в Обществе требованиях к защите персональных данных.

Настоящая Политика разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения», иными федеральными законами и нормативно-правовыми актами.

Политика разработана с целью обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных.

Локальные нормативные акты и иные документы, регламентирующие обработку персональных данных в Обществе, в том числе при их обработке в информационных системах, содержащих персональные данные, разрабатываются в Обществе с учетом положений Политики.

В Политике используются следующие основные термины:

автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Федеральный закон № 152-ФЗ – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществить обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

оператор персональных данных – АО КЦ «Атомбезопасность», самостоятельно организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);

персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом № 152-ФЗ;

предоставление персональных данных – действия, направленные на раскрытие персональных определенному лицу или определенному кругу лиц;

распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обязанности Общества в качестве оператора персональных данных:

организовать обработку персональных данных в Обществе в соответствии с требованиями Федерального закона № 152-ФЗ;

обеспечивать защиту персональных данных, обрабатываемых в Обществе, от их неправомерного использования или утраты;

получать персональные данные только у субъекта персональных данных. В случаях, когда персональные данные можно получить только у третьих лиц, делать это исключительно с письменного согласия субъекта персональных данных;

сообщать в порядке, предусмотренном ст. 14 Федерального закона № 152-ФЗ, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставлять возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течении десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Обществом в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации;

в случае отказа на обращение субъекта персональных данных или его представителя в предоставлении относящихся к нему персональных данных или информации о наличии в Обществе его персональных данных, давать в письменной форме мотивированный ответ, содержащий ссылку на положение ч. 8 ст. 14 Федерального закона № 152-ФЗ или иного федерального закона, иного документа, являющееся основанием для такого отказа в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором персональных данных в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации;

предоставлять безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к субъекту персональных данных;

вносить необходимые изменения в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными;

уничтожать персональные данные в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;

уведомлять субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимать разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы;

сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Обществом в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации;

устранять нарушения законодательства, допущенные при обработке персональных данных, уточнять, блокировать и уничтожать персональные данные в случаях, предусмотренных ст. 21 Федерального закона № 152-ФЗ;

оформлять отдельно от иных согласий субъекта персональных данных согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения;

обеспечивать субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения;

опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения, в срок не позднее трех рабочих дней с даты получения соответствующего согласия;

разъяснять субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку в случае, если в соответствии с Федеральным законом № 152-ФЗ предоставление персональных данных является обязательными.

Права Общества в качестве оператора персональных данных:

принимать локальные нормативные акты в развитие настоящей Политики;

отказывать в предоставлении персональных данных в случаях, предусмотренных ч. 6 ст. 14 и ч. 2 ст. 20 Федерального закона № 152-ФЗ;

привлекать к дисциплинарной ответственности работников Общества, к должностным обязанностям которых относится обработка персональных данных, за нарушение требований к защите персональных данных.

Права субъекта персональных данных:

получать информацию, касающуюся обработки его персональных данных в Обществе, в том числе и об источниках их получения;

требовать блокирования или уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, незаконно полученными или не являются необходимыми для заявленной цели обработки;

требовать извещения всех лиц, которым ранее были сообщены недостоверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Общества в качестве оператора персональных данных при обработке его персональных данных;

отозвать свое согласие на обработку персональных данных;

на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Цели сбора персональных данных

Персональные данные обрабатываются Оператором в следующих целях:

• осуществление и выполнение возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
• выполнение требований законодательства в сфере труда и налогообложения, регулирующие трудовые отношения с работниками Общества;
• подготовка, заключение, исполнение и прекращение договоров с контрагентами;
• учет результатов исполнения работником должностных обязанностей и обеспечение сохранности имущества Общества;
• ведение текущего бухгалтерского и налогового учёта, формирование, изготовление и своевременная подача бухгалтерской, налоговой и статистической отчётности, в том числе, исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физических лиц и единого социального налога, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование;
• заполнение первичной статистической документации в соответствии с трудовым, налоговым законодательством и иными федеральными законами;
• формирование кадрового резерва Общества;
• учет работников Общества, награжденных государственными наградами Российской Федерации, Госкорпорации «Росатом» и Общества или представленных к награждению;
• обеспечение возможности предоставления права на получение образования в рамках квоты в образовательных организациях по образовательным программам среднего профессионального образования, высшего образования и дополнительного профессионального образования за счет бюджетных ассигнований федерального бюджета;
• исполнение судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
• осуществление прав и законных интересов Общества в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Общества;
• в иных законных целях.

Правовые основания обработки персональных данных

Обработка персональных данных в Обществе осуществляется на основании следующих федеральных законов, нормативно-правовых актов и нормативных актов:

• Конституции Российской Федерации;
• Трудового кодекса Российской Федерации;
• Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных»;
• Федерального закона от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации».
• Указа Президента Российской Федерации от 06.03.1997 №188 «Об утверждении Перечня сведений конфиденциального характера»;
• постановления Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• постановления Правительства Российской Федерации от 06.07.2008 №512 «Об утверждении требований к материальным носителями биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
• постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• приказа ФСТЭК России от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• приказа Роскомнадзора от 05.09.2013 №996 «Об утверждении требований и методов по обезличиванию персональных данных»;
• Устав Общества;
• согласия на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора персональных данных);
• иных нормативных правовых актов Российской Федерации и нормативных документов уполномоченных органов государственной власти.

Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Объем персональных данных, обрабатываемых в Обществе, определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Общества с учетом целей обработки персональных данных, указанных в разделе 2 Политики.

Работники Общества, допущенные установленном порядком к работе с персональными данными, обрабатывают следующие анкетные и биографические данные:

• общие сведения (Ф.И.О., дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, состав семьи, паспортные данные, ИНН, СНИЛС, адрес места жительства);
• сведения о воинском учете;
• другие данные, необходимые в соответствии с требованиями законодательства Российской Федерации.

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Обществе не осуществляется.

В Обществе обрабатываются персональных данные следующих категорий субъектов персональных данных:

• кандидатов, работников, близких родственников работников и кандидатов, лиц, ранее состоявших в трудовых отношениях с Обществом;
• физических лиц по договорам гражданско-правового характера, авторов результатов интеллектуальной деятельности;
• контрагентов – физических лиц, индивидуальных предпринимателей, представителей и работников контрагентов (юридических лиц), выгодополучателей.

В случаях, предусмотренных действующим законодательством, субъект персональных данных принимает решение о предоставлении его персональных данных Оператору и дает согласие на их обработку свободно, своей волей и в своем интересе.

Оператор обеспечивает соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.

Порядок и условия обработки персональных данных

Оператор персональных данных принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами.

Оператор персональных данных самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152, постановлением Правительства от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства от 01.11.2012 №  1119

«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом ФСТЭК от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и другими нормативными правовыми актами, если иное не предусмотрено федеральными законами.

К таким мерам относятся:

• назначение Оператором ответственного за организацию обработки персональных данных;
• издание оператором персональных данных документов в развитие политики в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
• применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
• осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актом, требованиям к защите персональных данных, Политике, локальным актам оператора персональных данных;
• определение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона № 152-ФЗ, соотношение указанного вреда и принимаемых оператором персональных данных мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ;
• ознакомление работников оператора персональных данных, непосредственно осуществляющих обработку персональных данных, с законодательством Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, Политике, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

Обработка персональных данных в Обществе осуществляется следующими способами:

• неавтоматизированная обработка персональных данных;
• автоматизированная обработка персональных данных с передачей полученной информации по защищенным установленным порядком информационно-телекоммуникационным сетям или без таковой.

Оператор персональных данных при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, изложенные в Положении о порядке организации и проведении работ по защите конфиденциальной информации в Акционерном обществе «Координационный Центр по созданию систем безопасности и управления «Атомбезопасность» Государственной корпорации по атомной энергии «Росатом» (АО КЦ «Атомбезопасность»), утвержденном приказом Общества от 30.12.2020 № 491.

Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным законодательством Российской Федерации.

Носители информации (включая бумажные носители), содержащие персональные данные, хранятся в специально отведенных шкафах, помещениях, обеспечивающих защиту от несанкционированного доступа.

Персональные данные также хранятся в электронном виде в автоматизированных системах, аттестованных по требованиям безопасности информации.

Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

В случае предоставления субъектом персональных данных фактов о неполных, устаревших, недостоверных или незаконно полученных персональных данных, оператор персональных данных обязан внести необходимые изменения, уничтожить или блокировать персональные данные, а также уведомить о своих действиях субъекта персональных данных.

В случае подтверждения факта неточности персональных данных такие данные подлежат актуализации оператором персональных данных, а при неправомерности их обработки такая обработка должна быть прекращена.

При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

• оператор персональных данных не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом № 152-ФЗ или иными федеральными законами;
• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому, является субъект персональных данных;
• иное не предусмотрено иным соглашением между оператором персональных данных и субъектом персональных данных.

Субъект персональных данных вправе требовать от оператора персональных данных уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Сведения предоставляются субъекту персональных данных или его представителю оператором персональных данных при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором персональных данных (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором персональных данных, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Оператор персональных данных вправе отказать субъекту персональных данных в выполнении повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе персональных данных.

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

• подтверждение факта обработки персональных данных оператором персональных данных;
• правовые основания и цели обработки персональных данных;
• цели и применяемые оператором персональных данных способы обработки персональных данных;
• наименование и место нахождения оператора персональных данных, сведения о лицах (за исключением работников оператора персональных данных), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором персональных данных или на основании Федерального закона № 152-ФЗ;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом № 152-ФЗ;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора персональных данных, если обработка поручена или будет поручена такому лицу.

Заключительные положения

Настоящая Политика является общедоступным документом Общества.

Настоящая Политика подлежит изменению, в случае принятия нормативных актов, устанавливающих новые требования по обработке и защите персональных данных или внесения изменений в действующие нормативные правовые акты.

Сроки хранения документов, содержащих персональные данные работников Общества, определяются статьей 22.1 Федерального закона от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации».

Оператор персональных данных обрабатывает персональные данные, определенные для каждой цели обработки персональных данных, в том числе:

• категории и перечень обрабатываемых персональных данных,
• категории субъектов, персональные данные которых обрабатываются, способы и сроки их обработки и хранения,
• порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований
• исключительно в соответствии с законодательством Российской Федерации, а также с учетом направляемых уведомлений об обработке (о намерении осуществлять обработку) персональных данных в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций.

Политика утверждается и вводится в действие приказом Общеетва и является обязательной для исполнения всеми работниками, имеющими доступ к персональным данным работников.

Лица, виновные в нарушении правил обработки персональных данных и требований по защите персональных данных, установленных действующим законодательством Российской Федерации и настоящей Политикой, несут ответственность, предусмотренную законодательством Российской Федерации.