УТВЕРЖЕНО
Приказом №7к от 31.03.2023 г.
1.1. Настоящая Политика определяет порядок защиты и обработки персональных данных, обрабатываемых АО «Орел Нобель-Агро» (далее - Общество). Неотъемлемой частью настоящей Политики являются приложения к ней:
1.2. Обществом обрабатываются персональные данные следующих категорий субъектов персональных данных:
2.1. Для целей настоящего Положения используются следующие основные понятия:
3.1. Обработка персональных данных субъектов персональных данных Обществом осуществляется в целях:
3.2. Обработка персональных данных осуществляется в Обществе на основе следующих принципов:
4.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленных целям обработки, предусмотренным разделом 3 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.2. Источником информации обо всех персональных данных субъекта персональных данных является субъект персональных данных или его представитель. Если персональные данные возможно получить только у третьей стороны, то субъект персональных данных должен быть заранее в письменной форме уведомлен об этом и от него должно быть получено письменное согласие. Общество обязано сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение.
4.3. Общество может обрабатывать персональные данные следующих категорий субъектов персональных данных:
4.3.1. Кандидаты для приема на работу в Общество – для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, осуществления пропускного режима:
Форма согласия на обработку персональных данных согласно Приложению № 2.1 к настоящей Политике.
4.3.2. Работники и бывшие работники Общества – для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, осуществления пропускного режима:
Форма согласия на обработку персональных данных согласно Приложению № 2.2 к настоящей Политике.
4.3.3. Члены семьи работников Общества – для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений:
Форма согласия на обработку персональных данных согласно Приложению № 2.3 к настоящей Политике.
4.3.4. Акционеры Общества – для целей исполнения законодательства об акционерных обществах, осуществления своей деятельности в соответствии с Уставом Общества, осуществления пропускного режима:
Форма согласия на обработку персональных данных согласно Приложению №2.4 к настоящей Политике.
4.3.5. Клиенты и контрагенты Общества (физические лица) – для целей осуществления своей деятельности в соответствии с уставом Общества, осуществления пропускного режима:
Форма согласия на обработку персональных данных согласно Приложению №2.5 к настоящей Политике.
4.3.6. Представители (работники) клиентов и контрагентов Общества (юридических лиц) – для целей осуществления своей деятельности в соответствии с уставом Общества, осуществления пропускного режима:
Форма согласия на обработку персональных данных согласно Приложению №2.6 к настоящей Политике.
4.3.7.Авторы обращений и другие субъекты персональных данных – для целей подготовки ответов на обращения или в целях, для которых они были сообщены, осуществления пропускного режима:
Форма согласия на обработку персональных данных согласно Приложению № 2.6 к настоящей Политике.
4.4.Обществом не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных Трудовым кодексом РФ и другими федеральными законами.
4.5. Обществом не осуществляется обработка персональных данных, касающихся членства работников в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом РФ или иными федеральными законами.
4.6. Обработка персональных данных, разрешенных для распространения, из числа специальных категорий персональных данных, указанных в ч. 1 ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ, допускается, если соблюдаются запреты и условия, предусмотренные ст. 10.1 указанного Закона.
4.7. Обработка персональных данных субъекта персональных данных Обществом возможна только с их согласия. Исключение составляют случаи, предусмотренные законодательством РФ (в частности, согласие не требуется при наличии оснований и соблюдении условий, перечисленных в п. п. 2 - 11 ч. 1 ст. 6, п. п. 2.1 - 10 ч. 2 ст. 10, ч. 2 ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ).
4.8. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя, в частности, сведения, указанные в п. п. 1 - 9 ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ.
4.9. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на распространение его персональных данных.
5.1. Работники Общества, в должностные обязанности которых входят оформление, прием, создание личных дел, хранение документов работников, создают и хранят следующие группы документов, содержащие данные о работниках в единичном или сводном виде:
5.2. Работник Общества представляет достоверные сведения о себе работникам Общества, в должностные обязанности которых входят оформление, прием, создание личных дел, хранение документов работников. Выше перечисленные работники, проверяют совместно со Службой безопасности Общества достоверность предоставленных сведений.
5.3. При изменении персональных данных работник письменно уведомляет Общество о таких изменениях в разумный срок, не превышающий 10 дней. По мере необходимости Общество вправе истребовать у работника дополнительные сведения. Работник предоставляет требуемые сведения и в случае необходимости предъявляет документы, подтверждающие достоверность этих сведений.
5.4. Личные дела хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела находятся в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа. Личные карточки работников по форме Т-2 ведутся Обществом в электронном виде и бумажном виде.
5.5. Персональные данные работников могут также храниться в электронном виде в локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные работников, обеспечивается вице-президентом по безопасности. Пароли устанавливаются ответственным специалистом по распоряжению вице-президента по безопасности и сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным работникам.
5.6. В соответствии со ст. 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина Общество и его представители при обработке персональных данных работника должны соблюдать, в частности, следующие общие требования:
5.6.1. При определении объема и содержания обрабатываемых персональных данных работника Общество должно руководствоваться Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами.
5.6.2. При принятии решений, затрагивающих интересы работника, Общество не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.
5.6.3. Защита персональных данных работника от неправомерного их использования, утраты обеспечивается Обществом за счет его средств в порядке, установленном Трудовым кодексом РФ и иными федеральными законами.
5.6.4. Работники и их представители должны быть ознакомлены под расписку с документами Общества, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
5.6.5. Работники не должны отказываться от своих прав на сохранение и защиту тайны.
6.1. При передаче персональных данных субъекта персональных данных Общество должно соблюдать следующие требования:
6.1.1. Не сообщать персональные данные субъекта персональных данных третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных Трудовым кодексом РФ или иными федеральными законами.
6.1.2. Не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия. Обработка персональных данных субъекта персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
6.1.3. Предупредить лиц, получивших персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие персональные данные субъекта персональных данных, обязаны соблюдать режим секретности (конфиденциальности). Данное правило не распространяется на обмен персональными данными работников в порядке, установленном Трудовым кодексом РФ и иными федеральными законами.
6.1.4. Осуществлять передачу персональных данных субъектов персональных данных в пределах Общества в соответствии с настоящей Политикой, с которой работники должны быть ознакомлены под подпись.
6.1.5. Разрешать доступ к персональным данным субъекта персональных данных только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
6.1.6. Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
6.1.7. Передавать персональные данные субъекта персональных данных их представителям в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
6.2. Установленные субъектов персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных для распространения, не действуют в случаях обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством РФ.
6.3. Персональные данные работников обрабатываются и хранятся работниками Общества, в должностные обязанности которых входит, обработка и хранение документов субъектов персональных данных.
6.4. Персональные данные субъекта персональных данных могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети).
6.5. В случае, если лицо, обратившееся с запросом, не уполномочено федеральным законом или настоящей Политикой на получение информации, относящейся к персональным данным субъекта персональных данных, Общество обязано отказать лицу в выдаче информации. Лицу, обратившему с запросом, выдается уведомление об отказе в выдаче информации, копия уведомления подшивается в личное дело сотрудника.
7.1. Право доступа к персональным данным имеют работники Общества, указанные в Приложении № 1 к настоящей Политики:
7.2. Субъект Общества, в частности, имеет право:
7.2.1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копии любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных федеральным законом.
7.2.2. Требовать от Общества исключения или исправления неверных, или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса РФ или иного федерального закона. При отказе Общества исключить или исправить персональные данные он имеет право заявить в письменной форме Обществу о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера субъект персональных данных имеет право дополнить заявлением, выражающим его собственную точку зрения.
7.2.3. Требовать извещения Обществом всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
7.2.4. Требовать прекратить в любое время передачу (распространение, предоставление, доступ) персональных данных, разрешенных для распространения. Требование оформляется в письменном виде. Оно должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) работника, а также перечень персональных данных, обработка которых подлежит прекращению.
7.2.5. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Общества при обработке и защите его персональных данных.
8.1. Подтверждение факта обработки персональных данных Обществом, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Обществом субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
Запрос должен содержать:
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
8.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Общество осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Общество на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
8.3. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Общество осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
8.4. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
8.5. Порядок уничтожения персональных данных Обществом:
8.5.1. Условия и сроки уничтожения персональных данных Обществом:
8.5.2. При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
8.5.3. Уничтожение персональных данных осуществляет комиссия, созданная приказом президента Общества.
8.6. Уничтожение персональных данных может быть осуществлено двумя способами в зависимости от типа носителя информации (бумажный или электронный):
8.7. Уничтожение части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
8.8. После уничтожения персональных данных составляется Акт об уничтожении материальных носителей, содержащих персональные данные (далее - Акт), по форме, утвержденной президентом Общества. Акт подписывается членами комиссии.
9.1.Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в по порядке, установленном Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.