Положение об организации обработки и защиты персональных данных
Приносим Свет Каждому
16+ Для населения:
8 (812) 678-96-00
Для юридических лиц:
8 (812) 303-69-69
8 (800) 100-69-96

Положение об организации обработки и защиты персональных данных



«Положение об организации обработки и защиты
персональных данных субъектов персональных данных
в АО «Петербургская сбытовая компания»


Ответственный за применение ВНД

Дирекция по информационным технологиям/ Руководитель направления по информационной безопасности

Владелец документа

Дирекция по информационным технологиям/ Руководитель направления по информационной безопасности


1. Содержание

1. Содержание
2. Информация о документе
3. Область применения
4. Термины и определения
5. Назначение настоящего документа
6. Цели обработки ПДн
7. Правовые основания обработки ПДн
8. Принципы обработки ПДн
9. Функции Общества при осуществлении обработки ПДн
10. Условия обработки ПДн в Обществе
11. Перечень действий с ПДн и способы их обработки
12. Перечень ПДн, обрабатываемых в Обществе
13. Права субъектов ПДн
14. Меры, принимаемые для обеспечения выполнения обязанностей оператора при обработке ПДн
15. Контроль за соблюдением законодательства Российской Федерации и локальных нормативных актов Общества в области ПДн, в том числе требований к защите ПДн
16. Нормативные ссылки

2. Информация о документе

Краткое описание документа

Настоящий документ устанавливает порядок обработки и  защиты персональных данных в Акционерном обществе «Петербургская сбытовая компания»

Корпоративный стандарт

нет

Ограничение доступа

нет

3. Область применения

3.1. Настоящий документ является основополагающим, декларирующим концептуальные основы деятельности АО «Петербургская сбытовая компания» при обработке персональных данных субъектов персональных данных, определяет основные принципы, цели, условия и способы обработки, перечни субъектов и обрабатываемых в Обществе ПДн, функции Общества при обработке ПДн, права субъектов ПДн, а также реализуемые в Обществе требования к защите ПДн.

3.2. Настоящий документ разработан с учетом требований Конституции Российской Федерации, Федерального закона Российской Федерации от 27.07.2006 года № 152-ФЗ «О персональных данных», законодательных и иных нормативных правовых актов Российской Федерации в области обработки и защиты ПДн.

3.3. Настоящий документ регламентирует деятельность всех структурных подразделений Общества.

3.4. Ответственность за организацию внесения изменений в настоящий документ, а также осуществление контроля над его актуальностью, несет Ответственный за организацию обработки персональных данных.

4. Термины и определения

В настоящем документе используются термины и определения в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», а также следующие термины и сокращения:

Наименование термина

Сокращение

Определение термина (расшифровка сокращения)

Действующие определения:

Ответственный за организацию обработки персональных данных


Лицо, организующее и контролирующее выполнение требований регламентных документов, определяющих политику Общества в отношении обработки ПДн, в том числе требований по защите ПДн.

Внутренние нормативные документы Общества

ВНД

Документы, регулирующее деятельность Общества, утверждаемые приказом генерального директора Общества

Общество


АО «Петербургская сбытовая компания»

Персональные данные

ПДн

Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту ПДн)

5. НАЗНАЧЕНИЕ НАСТОЯЩЕГО ДОКУМЕНТА

5.1. Содержащиеся в настоящем документе нормы и правила призваны обеспечить и защиту ПДн субъектов ПДн, а также высокий уровень доверия субъектов ПДн к Обществу.

6. ЦЕЛИ ОБРАБОТКИ ПДН

6.1. Целями обработки Обществом ПДн являются:

6.1.1. подготовка, заключение, исполнение и прекращение договоров с контрагентами;

6.1.2. осуществление прав и законных интересов Общества в рамках осуществления видов деятельности, предусмотренных Уставом и иными ВНД Общества, или третьих лиц либо достижения общественно значимых целей;

6.1.3. осуществление функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Общество, в том числе по предоставлению персональных данных в органы государственной власти;

6.1.4. обеспечения пропускного и внутриобъектового режимов на объектах Общества;

6.1.5. обеспечение соблюдения требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, ВНД Общества;

6.1.6. исполнение судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

6.1.7. иные законные цели.

7. Правовые основания обработки ПДн

7.1. Обработка ПНД в Обществе осуществляется на основании и во исполнение федеральных законов и принятых в соответствии с ними нормативных правовых актов Российской Федерации (в том числе, но не ограничиваясь: Гражданским кодексом РФ, ФЗ от 26.03.2003 № 35-ФЗ «Об электроэнергетике», Законом РФ от 07.02.1992 № 2300-1 «О защите прав потребителей», постановлением Правительства РФ от 04.05.2012 № 442 «О функционировании розничных рынков электрической энергии, полном и (или) частичном ограничении режима потребления электрической энергии», постановление Правительства РФ от 06.05.2011 № 354 «О предоставлении коммунальных услуг собственникам и пользователям помещений в многоквартирных домах и жилых домов», постановлением Правительства РФ от 14.02.2012 № 124 «О правилах, обязательных при заключении договоров снабжения коммунальными ресурсами» и др.), ВНД, договоров, заключаемых между Обществом и субъектами ПДн, согласий на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Общества как оператора ПДн).

8. Принципы обработки ПДн

8.1. Обработка ПДн в Обществе осуществляется с учетом необходимости обеспечения защиты прав и свобод субъектов ПДн, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

8.1.1. обработка ПДн осуществляется в Обществе на законной и справедливой основе;

8.1.2. обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;

8.1.3. не допускается обработка ПДн, несовместимая с целями сбора ПДн;

8.1.4. не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;

8.1.5. обработке подлежат только ПДн, которые отвечают целям их обработки;

8.1.6. содержание и объем обрабатываемых ПДн соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых ПДн по отношению к заявленным целям их обработки;

8.1.7. при обработке ПДн обеспечиваются точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. В Обществе принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных ПДн;

8.1.8. хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем того требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;

8.1.9. обрабатываемые ПДн уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

8.2. Подходы, которыми руководствуется Общество в области обработки ПДн:

8.2.1. Соответствие обработки ПДн Конституции Российской Федерации, законодательным, иным нормативным правовым актам Российской Федерации и ВНД Общества в области обработки ПДн.

8.2.2. Создание эффективной среды обработки персональных данных Общества посредством мер и действий, направленных на:

  • формирование у работников Общества понимания необходимости исполнения требований нормативных документов при обработке ПДн;

  • поддержание принципов добросовестности и компетентности в области обработки ПДн;

  • повышение профессионализма и компетентности работников Общества в области обработки ПДн;

  • обеспечение эффективного взаимодействия структурных подразделений и работников в области обработки ПДн;

  • обеспечение эффективного распределения полномочий и ответственности в области обработки ПДн;

  • организацию деятельности ответственных за обработку ПДн и ответственных за обеспечение безопасности ПДн.

8.2.3. Функционирование надежной и эффективной системы обмена информацией между сотрудниками Общества, обрабатывающими ПДн, ответственными за обработку ПДн и ответственными за обеспечение безопасности ПДн для надлежащего выполнения ими функций и процедур обработки ПДн, посредством:

  • организации системы сбора, обработки и передачи информации, в том числе формирования отчетов и сообщений, содержащих сведения о запросах субъектов ПДн, их законных представителей или уполномоченных органов по защите прав субъектов ПДн в отношении обработки ПДн, об инцидентах безопасности ПДн и о другой информации, касающейся обработки ПДн в Обществе;

  • установления эффективных каналов и средств коммуникации, обеспечивающих вертикальную и горизонтальную коммуникацию между сотрудниками Общества, обрабатывающими ПДн, ответственными за обработку ПДн и ответственными за обеспечение безопасности ПДн внутри Общества;

  • установления эффективной связи Общества с субъектами ПДн, их законными представителями, уполномоченными органами по защите прав субъектов ПДн или иными лицами в случаях, предусмотренных законодательством Российской Федерации в области ПДн;

  • обеспечения сохранности информации, полученной из внутренних и внешних источников;

  • доведения до сведения работников действующих внутренних нормативных документов, планов, инструкций.

8.2.4. Обеспечение непрерывного и эффективного контроля за процессом обработки персональных данных посредством:

  • осуществления постоянного мониторинга исполнения процедур в ходе текущей деятельности по обработке ПДн (постоянный управленческий мониторинг);

  • проведения регулярных периодических проверок эффективности среды обработки ПДн и исполнение необходимых процедур исполнения и контроля сотрудниками Общества, обрабатывающими ПДн, ответственными за обработку ПДн и ответственными за обеспечение безопасности ПДн внутри Общества;

  • внедрения инструментов по контролю изменений в финансово- хозяйственной деятельности Общества, законодательстве и своевременной актуализации процедур обработки ПДн.

9. Функции Общества при осуществлении обработки ПДн

9.1. Общество при осуществлении обработки ПДн:

9.1.1. принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и ВНД Общества в области ПДн;

9.1.2. принимает правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;

9.1.3. назначает лиц, ответственных за организацию обработки ПДн в Обществе;

9.1.4. назначает лиц, ответственных за обеспечение защищенности ПДн, обрабатываемых в Обществе, в лице уполномоченного подразделения или сотрудника системы обеспечения информационной безопасности;

9.1.5. издает ВНД, определяющие политику и вопросы обработки и защиты ПДн в Обществе;

9.1.6. осуществляет ознакомление работников Общества, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации и ВНД Общества в области ПДн, в том числе требованиями к защите ПДн, и обучение указанных работников;

9.1.7. публикует или иным образом обеспечивает неограниченный доступ к настоящему документу;

9.1.8. совершает иные действия, предусмотренные законодательством Российской Федерации в области ПДн.

10. Условия обработки ПДн в Обществе

10.1. Обработка ПДн в Обществе осуществляется с согласия субъекта ПДн на обработку его ПДн, если иное не предусмотрено законодательством Российской Федерации в области ПДн.

10.2. Общество без согласия субъекта ПДн не раскрывает третьим лицам и не распространяет ПДн, если иное не предусмотрено федеральным законом.

10.3. Доступ к обрабатываемым в Обществе ПДн разрешается только работникам Общества, занимающим должности, включенные в перечень должностей структурных подразделений Общества, при замещении которых осуществляется обработка ПДн.

11. Перечень действий с ПДн и способы их обработки

11.1. Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение ПДн.

11.2. Обработка ПДн в Обществе осуществляется следующими способами:

11.2.1. неавтоматизированная обработка ПДн;

11.2.2. автоматизированная обработка ПДн с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

11.2.3. смешанная обработка ПДн.

11.3. Общество сообщает в установленном законодательством Российской Федерации порядке субъектам ПДн или их представителям информацию о наличии ПДн, относящихся к соответствующим субъектам ПДн, предоставляет возможность ознакомления с этими ПДн при обращении и (или) поступлении запросов указанных субъектов ПДн или их представителей.

11.4. В случае подтверждения факта неточности персональных данных, персональные данные подлежат актуализации оператором.

11.5. Общество прекращает обработку и уничтожает ПДн в случаях, предусмотренных законодательством Российской Федерации в области ПДн. Условием прекращения обработки ПДн может являться достижение целей обработки ПДн, истечение срока действия согласия или отзыв согласия субъекта ПДн на обработку его ПДн, а также выявление неправомерной обработки ПДн. При истечении срока действия согласия, а также в случае отзыва субъектом ПДн согласия на их обработку ПДн подлежат уничтожению, если:

11.5.1. оператор не вправе осуществлять обработку без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или иными федеральными законами;

11.5.2. иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;

11.5.3. иное не предусмотрено иным соглашением между оператором и субъектом ПДн.

11.6. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, кроме случаев, когда срок хранения ПДн установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.

11.7. При осуществлении хранения ПДн Общество использует базы данных, находящиеся на территории Российской Федерации.

12. Перечень ПДн, обрабатываемых в Обществе

12.1. Перечень ПДн, обрабатываемых в Обществе, определяется в соответствии с законодательством Российской Федерации и ВНД Общества с учетом целей обработки ПДн, указанных в настоящем документе.

12.2. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Обществе не осуществляется.

12.3. В Обществе обрабатываются ПДн следующих категорий субъектов ПДн:

12.3.1. работники Общества;

12.3.2. другие субъекты ПДн (для обеспечения реализации целей обработки ПДн, указанных в настоящем документе).

13. Права субъектов ПДн

13.1. Субъекты ПДн имеют право на:

13.1.1. полную информацию об их ПДн, обрабатываемых в Обществе;

13.1.2. доступ к своим ПДн, включая право на получение копии любой записи, содержащей их ПДн, за исключением случаев, предусмотренных федеральным законом;

13.1.3. уточнение своих ПДн, их блокирование или уничтожение в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

13.1.4. отзыв согласия на обработку ПДн;

13.1.5. принятие предусмотренных законом мер по защите своих прав;

13.1.6. обжалование действия или бездействия Общества, осуществляемого с нарушением требований законодательства Российской Федерации в области ПДн, в уполномоченный орган по защите прав субъектов ПДн или в суд;

13.1.7. осуществление иных прав, предусмотренных законодательством Российской Федерации.

14. Меры, принимаемые для обеспечения выполнения обязанностей оператора при обработке ПДн

14.1. Меры, необходимые и достаточные для обеспечения выполнения Обществом обязанностей оператора персональных данных, предусмотренных законодательством Российской Федерации в области ПДн, соответствуют требованиям «Политики по обеспечению информационной безопасности ОАО «Петербургская сбытовая компания», Политики «Техническая защита информации АО «Петербургская сбытовая компания» и включают:

14.1.1. назначение лиц, ответственных за организацию обработки ПДн в Обществе;

14.1.2. назначение лиц, ответственных за обеспечение защищенности ПДн, обрабатываемых в Обществе;

14.1.3. принятие ВНД и иных документов в области обработки и защиты ПДн;

14.1.4. организацию обучения и проведение методической работы с работниками Общества, занимающими должности, при замещении которых осуществляется обработка ПДн;

14.1.5. получение согласий субъектов ПДн на обработку их ПДн, за исключением случаев, предусмотренных законодательством Российской Федерации;

14.1.6. обособление ПДн, обрабатываемых без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях ПДн, в специальных разделах;

14.1.7. обеспечение раздельного хранения ПДн и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории ПДн;

14.1.8. установление запрета на передачу ПДн по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны, вычислительной сети Общества и сетям Интернет без применения установленных в Обществе мер по обеспечению безопасности ПДн (за исключением общедоступных и (или) обезличенных ПДн);

14.1.9. хранение материальных носителей ПДн с соблюдением условий, обеспечивающих сохранность ПДн и исключающих несанкционированный доступ к ним;

14.1.10. осуществление внутреннего контроля соответствия обработки ПДн Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, настоящему документу, ВНД Общества;

14.1.11. иные меры, предусмотренные законодательством Российской Федерации и ВНД Общества, в том числе «Политикой по обеспечению информационной безопасности ОАО «Петербургская сбытовая компания» и «Политикой по технической защите информации АО «Петербургская сбытовая компания».      

14.2. Меры по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных устанавливаются в соответствии с ВНД Общества, регламентирующими вопросы обеспечения безопасности ПДн при их обработке в информационных системах персональных данных Общества.

15. Контроль за соблюдением законодательства Российской Федерации и локальных нормативных актов Общества в области ПДн, в том числе требований к защите ПДн

15.1. Контроль за соблюдением структурными подразделениями Общества законодательства Российской Федерации и ВНД Общества в области ПДн, в том числе требований к защите ПДн, осуществляется с целью проверки соответствия обработки ПДн в структурных подразделениях Общества законодательству Российской Федерации и ВНД Общества в области ПДн, в том числе требованиям к защите ПДн, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства Российской Федерации в области ПДн, выявления возможных каналов утечки и НСД к ПДн, устранения последствий таких нарушений.

15.2. Внутренний контроль за соблюдением структурными подразделениями Общества законодательства Российской Федерации и ВНД Общества в области ПДн, в том числе требований к защите ПДн, осуществляют ответственные за обеспечение защищенности ПДн лица совместно с лицами, ответственными за организацию обработки ПДн в Обществе, а также руководителями подразделений, осуществляющих обработку ПДн.

15.3. Внутренний контроль соответствия обработки ПДн Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, настоящему документу, ВНД Общества осуществляют ответственные за обеспечение защищенности ПДн лица совместно с лицами, ответственными за обработку ПДн Общества, а также руководители подразделений, осуществляющих обработку ПДн.

15.4. Лица, в соответствии со своими полномочиями владеющие информацией о субъектах персональных данных, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

16. Нормативные ссылки

16.1. Внешние нормативные документы

№ п/п

Номер и Дата документа

Наименование документа

1

№ 149-ФЗ от 27.07.2006

Федеральный закон «Об информации, информационных технологиях и о защите информации»

2

№ 152-ФЗ от 27.07.2006

Федеральный закон «О персональных данных»

3

№ 1119 от 01.11.2012

Постановление Правительства Российской Федерации «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

4

№ 21 от 18.02.2013

Приказ Федеральной службы технического и экспортного контроля России «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

5

№687 от 15.09.2008

Постановление Правительства Российской Федерации «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»