Политика Акционерного общества "Сахатранснефтегаз"

в отношении обработки персональных данных

I. Общие положения

1.1. Положение об обработке и защите персональных данных в Акционерном Обществе «Сахатранснефтегаз» (далее – Положение) определяет цели, содержание и порядок обработки персональных данных работников, контрагентов и заявителей, меры, принимаемые для защиты персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в Акционерном обществе «Сахатранснефтегаз» (далее – АО «СТНГ», Общество).

1.2. Настоящее Положение разработано в соответствии со следующими нормативными правовыми актами:
- Конституция Российской Федерации (далее – Конституция РФ);
- Трудовой кодекс Российской Федерации (далее – ТК РФ);
- Кодекс Российской Федерации об административных правонарушениях (далее-КоАП РФ);
- Федеральный закон от 27 июля 2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ);
- Федеральный закон от 27 июля 2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 2 мая 2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
- постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- указ Президента РФ от 6 марта 1997 № 188 «Об утверждении перечня сведений конфиденциального характера»;
- приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
- приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»; - другими нормативными документами.

1.3. Обработка персональных данных в АО «СТНГ», в том числе определение объема и содержания обрабатываемых персональных данных, осуществляется с соблюдением принципов, требований и условий, предусмотренных законодательством Российской Федерации в области персональных данных, а также настоящим Положением, а именно:

1.3.1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

1.3.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

1.3.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

1.3.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

1.3.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

1.3.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

1.3.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

1.4. В настоящем Положении используются следующие понятия: персональные данные – любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация; персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном 152-ФЗ; оператор – АО «Сахатранснефтегаз»; обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники; распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом; предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных; обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных; использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц; информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональные данных с использованием средств автоматизации или без использования таких средств; конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;

1.5. К персональным данным, обрабатываемым в АО «СТНГ», относятся:
- персональные данные работников АО «СТНГ», в том числе уволенных (далее – работники);
- персональные данные лиц, обратившихся в целях трудоустройства, кандидатов на вакантные должности;
- персональные данные лиц, обратившихся в АО «СТНГ» с заявлением о предоставлении услуг связанных с деятельностью АО «СТНГ и его подразделений;
- персональные данные лиц, выполняющих поставки, работы, услуги по договорам гражданско-правового характера (далее – контрагенты);
- персональные данные иных субъектов, обработка персональных данных которых возложена на АО «СТНГ».

1.6. Все права по обработке персональных данных предоставляются работникам АО «СТНГ», согласно утвержденного перечня должностей, которым для исполнения должностных обязанностей необходим доступ к персональным данным, указанного в п. 3.1 настоящего Положения. Все остальные работники допускаются к обработке персональных данных в объеме, определяемом руководителем АО «СТНГ» или лицом, его замещающим (далее – руководство АО «СТНГ»).

II. ЦЕЛИ И СОСТАВ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Обработка персональных данных в АО «СТНГ» осуществляется исключительно в целях обеспечения соблюдения действующего законодательства Российской Федерации.

2.2. Обработка персональных данных работников, в том числе уволенных работников (а также их близких родственников, в случаях, предусмотренных законодательством), осуществляется в целях ведения бухгалтерского и кадрового учета, в том числе: - регулирования трудовых отношений между АО «СТНГ» и работниками, содействия работникам в выполнении ими своих функциональных обязанностей, обучении, карьерного продвижения по работе, контроля количества и качества выполняемой работы и обеспечения сохранности имущества АО «СТНГ», очередности предоставления отпусков, установления и расчета размера заработной платы; - оформления страховых свидетельств государственного пенсионного страхования и обязательного медицинского страхования; - обеспечения пропускного режима АО «СТНГ», в иных целях, необходимых АО «СТНГ» в связи с трудовыми отношениями с работниками АО «СТНГ»», обеспечением работникам социальных гарантий, а также с внутренними, служебными и другими проверками, осуществляемыми службой внутреннего контроля и отделом по экономической безопасности. Обработка персональных данных соискателей на вакантные должности осуществляется с целью принятия решения о возможности заключения с ними трудового договора либо иного договора гражданско-правового характера. Обработка персональных данных контрагентов осуществляется в целях контроля количества и качества выполняемой работы, предоставления отчетности, установленной законодательством, выполнения договорных обязательств АО «СТНГ» перед контрагентом (в т.ч. в части оплаты услуг), обеспечения пропускного режима АО «СТНГ». Обработка персональных данных заявителей и их представителей осуществляется в целях организации предоставления услуг, в том числе признания гражданина банкротом во внесудебном порядке, предоставления гражданам бесплатной юридической помощи. Заявления могут поступать различными способами: по почте, e-mail, с сайта, в приемные структурных подразделений, а также иными способами, предусмотренными действующим законодательством. Обработка персональных данных иных субъектов персональных данных осуществляется в целях ответа на жалобы, обращения указанных лиц, обеспечения автоматизации процесса формирования, ведения, хранения Единого реестра получателей услуг, а также исполнения иных требований законодательства РФ, во исполнение которых необходима обработка персональных данных.

2.3. К персональным данным работников, в том числе уволенных работников, а также их близких родственников, получаемым АО «СТНГ» и подлежащим обработке и хранению в порядке, предусмотренном законодательством Российской Федерации и настоящим Положением, относятся следующие данные:
- фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
- число, месяц, год рождения;
- место рождения;
- вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
- адрес места жительства (адрес регистрации, фактического проживания);
- номер контактного телефона или сведения о других способах связи;
- реквизиты страхового свидетельства государственного пенсионного страхования;
- идентификационный номер налогоплательщика;
- реквизиты страхового медицинского полиса обязательного медицинского страхования;
- реквизиты свидетельства государственной регистрации актов гражданского состояния;
- семейное положение, состав семьи и сведения о близких родственниках;
- сведения о трудовой деятельности;
- сведения о воинском учете и реквизиты документов воинского учета;
- сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
- информация о владении иностранными языками, степень владения;
- фотография;
- государственные награды, иные награды и знаки отличия;
- сведения о профессиональной переподготовке и (или) повышении квалификации;
- информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;
- сведения о доходах, об имуществе и обязательствах имущественного характера;
- номер расчетного счета;
- номер банковской карты;
- иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 2.2. настоящего Положения.

2.4. Персональные данные работников содержатся в следующих документах:
- трудовой договор
- личные дела работников;
- карточки унифицированной формы Т-2 «Личная карточка работника»;
- трудовые книжки работников;
- ведомости начисления заработной платы, налоговые карточки по учету доходов и налога на доходы физических лиц;
- копии листков нетрудоспособности;
- исполнительные листы;
- копии свидетельств о рождении;
- расходно-кассовых документах;
- иных документах, в которых с учетом специфики деятельности АО «СТНГ» и в соответствии с законодательством РФ должны указываться персональные данные работников и других лиц.

2.5. К персональным данным соискателей на вакантные должности, получаемым АО «СТНГ» и подлежащим обработке и хранению, подлежащими защите, относятся:
- фамилия, имя, отчество;
- число, месяц, год рождения;
- место рождения;
- адрес места жительства или пребывания (адрес регистрации, фактического проживания);
- адрес электронной почты;
- номер контактного телефона или сведения о других способах связи;
- семейное положение и наличие детей;
- сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, квалификация, специальность по документу об образовании);
- сведения о трудовой деятельности, стаже работы, наименование предприятий, должность, выполняемые обязанности по должности;
- сведения о воинском учете;
- фотография.

2.6. К персональным данным контрагентов, получаемым АО «СТНГ» и подлежащим обработке и хранению, подлежащими защите, относятся:
- фамилия, имя, отчество;
- число, месяц, год рождения;
- место рождения;
- вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
- адрес места жительства (адрес регистрации, фактического проживания);
- номер контактного телефона или сведения о других способах связи;
- реквизиты страхового свидетельства государственного пенсионного страхования;
- идентификационный номер налогоплательщика;
- номер расчетного счета;
- номер банковской карты.

2.7. К персональным данным заявителей и их представителей, подлежащим обработке, хранению и защите, относятся:
- фамилия, имя, отчество;
- дата и место рождения;
- пол;
- вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
- адрес места жительства (адрес регистрации, фактического проживания);
- номер контактного телефона или сведения о других способах связи;
- гражданство;
- семейное положение;
- имущественное положение;
- сведения об образовании;
- профессия и (или) место работы;
- доходы;
- страховой номер индивидуального лицевого счета (СНИЛС);
- индивидуальный номер налогоплательщика;
- фотография;
- сведения о составе семьи;
- сведения о воинском учете;
- данные медицинского полиса;
- данные о заключении брака;
- данные о рождении ребенка;
- сведения о законном представителе;
- сведения о трудовой деятельности, трудовом стаже;
- сведения о смене фамилии, имени и отчества;
- данные о водительском удостоверении;
- сведения об усыновлении (удочерении);
- сведения о смерти;
- сведения об умершем человеке;
- сведения о реабилитации (репрессии);
- сведения о награждении государственными наградами.
- иная предоставленная заявителем информация личного характера, обработка которой необходима для предоставления услуг, предоставляемых на базе АО «СТНГ».

2.8. К персональным данным иных субъектов персональных данных относятся:
- фамилия, имя, отчество;
- сведения о смене фамилии, имени, отчества;
- дата рождения;
- число, месяц, год рождения;
- место рождения;
- адрес места жительства или пребывания (адрес регистрации, фактического проживания);
- дата регистрации по месту жительства (пребывания);
- адрес электронной почты;
- номер контактного телефона или сведения о других способах связи;
- семейное положение и наличие детей;
- гражданство;
- сведения об изменении гражданства;
- сведения о наличии гражданства другого государства;
- номер контактного телефона или сведения о других способах связи;
- вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
- данные документа, удостоверяющего полномочия законного представителя;
- данные заграничного паспорта;
- банковские реквизиты;
- ИНН;
- СНИЛС.

2.9. Документы, содержащие персональные данные, создаются путем:
- получения оригиналов необходимых документов (заявление, обращение, трудовая книжка, автобиография, иные документы);
- внесения сведений, в том числе в используемые учетные формы (на бумажных и электронных носителях);
- формирования персональных данных в ходе кадровой работы;
- копирования/сканирования оригиналов документов;
- внесения персональных данных в информационные системы персональных данных.

III. ОСНОВНЫЕ УСЛОВИЯ ПОЛУЧЕНИЯ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. В АО «СТНГ» определяются уполномоченные должностные лица, которые имеют право получать, обрабатывать, хранить, передавать и любым другим способом использовать персональные данные, и несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты (далее – уполномоченные лица). Уполномоченные лица, имеющие право получать и обрабатывать персональные данные, определяются приказами и распоряжениями генерального директора, исполняющего обязанности генерального директора, а также приказами и распоряжениями руководителей структурных подразделений АО СТНГ.

3.2. В АО «СТНГ» определяются места хранения документов, содержащих персональные данные. При этом, при осуществлении выездного обслуживания места хранения таких документов приравниваются к местам расположения офисов/помещений. Места хранения документов, содержащих персональные данные, определяются приказами генерального директора, а также приказами и распоряжениями руководителей структурных подразделений АО "Сахатранснефтегаз" и закрепляются внутренними регламентами, в соответствии с требованиями, установленными Инструкцией по делопроизводству и контролю за исполнением документов утвержденной приказом АО «СТНГ» от 23.12.2022 №839-П (далее-Инструкция).

3.3. Обработка персональных данных может осуществляться как на автоматизированных рабочих местах, соответствующих требованиям по безопасности информации, так и вручную путем сверки и проверки документов. Данный порядок обработки данных регламентируется внутренними документами АО "Сахатранснефтегаз" в соответствии с действующим законодательством.

3.4. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности: - определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных; - применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;
- применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учет машинных носителей персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
- восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;
- определение перечня должностей, которые допускаются к обработке персональных данных;
- наличие механических замков в помещениях, в которых обеспечивается хранение персональных данных;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных.

3.5. Уполномоченный работник АО «СТНГ», ответственный за обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных, обеспечивает:
- своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до ответственного за организацию обработки персональных данных в АО «СТНГ» и руководства АО «СТНГ»;
- предотвращение несанкционированного доступа к информации и (или) передаче ее лицам, не имеющим права на доступ к информации;
- предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
- возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- постоянный контроль за обеспечением уровня защищенности персональных данных;
- знание и соблюдение пользователями условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
- учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
- при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы персональных данных до выявления причин нарушений и устранения этих причин;
- разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

3.6. Обмен персональными данными при их обработке в информационных системах персональных данных осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств защиты информации.

3.7. Доступ работников АО «СТНГ» к персональным данным, обрабатываемым в информационных системах персональных данных, предусматривает обязательное прохождение процедуры идентификации и аутентификации.

3.8. В случае выявления нарушений порядка обработки персональных данных в информационных системах персональных данных уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.

3.9. Обращения физических лиц регистрируются в соответствии с Положением о порядке обращения граждан, утвержденным в Обществе, или иными локальными нормативными актами, действующими в соответствующих структурных подразделениях.

3.10. Документы (резюме), содержащие персональные данные физических лиц, являющихся соискателями вакантных должностей, подшиваются в отдельные папки с разделением по специализациям и хранятся в специально отведенном номенклатурном деле в течение одного года, затем уничтожаются в установленном порядке. Запрещается требовать от лиц, поступающих на работу, документы, помимо предусмотренных ТК РФ, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ.

3.11. Работник АО «СТНГ», контрагент предоставляет документы, содержащие его персональные данные, лично либо через своего представителя. Если персональные данные работника, контрагента возможно получить только у третьей стороны, то Уполномоченное лицо обязано заранее уведомить об этом работника, контрагента и получить его письменное согласие по форме типового образца, приведенного в Приложении № 1 к настоящему Положению. Уполномоченное лицо должно сообщить работнику, контрагенту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции РФ АО «СТНГ» вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия (Приложение №2 к настоящему Положению).

3.12. Письменное согласие работника на обработку своих персональных данных должно включать в себя: - фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие, а также порядок его отзыва.

3.13. Согласие работника на обработку персональных данных не требуется в следующих случаях: - обработка персональных данных осуществляется на основании ТК РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия работодателя;
- обработка персональных данных осуществляется в целях исполнения трудового договора;
- обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно.
- обработка персональных данных осуществляется в целях исполнения судебного запроса, правоохранительных органов, органов гос. власти и управления.

3.14. АО «СТНГ» не получает и не обрабатывает персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни, о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

3.15. При принятии решений, затрагивающих интересы работника, представитель работодателя не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.16. АО «СТНГ» производит обработку персональных данных работников в информационных системах персональных данных с надлежащими условиями защиты этих данных от несанкционированного доступа.

3.17. Члены общественных организаций (Профсоюз) и комиссий, созданных для защиты прав работников и предоставления им установленных условий труда, гарантий и компенсаций в соответствии с законодательством, могут быть допущены к сведениям, содержащим персональные данные, на основании вступивших в силу решений об их избрании. При этом они знакомятся только с теми персональными данными, которые необходимы им для выполнения возложенных на них функций. К таким комиссиям могут быть отнесены:
- профсоюзный комитет;
- ревизионная комиссия;
- конкурсная комиссия;
- комиссия по противодействию коррупции;
- комиссии, назначаемые для проведения служебного расследования;
- иные комиссии, создаваемые в АО «СТНГ».

3.18. Обработка персональных данных ведется ответственными работниками по кадровой, закупочной, финансовой, правовой и контрольной работе на рабочих местах, выделенных для исполнения ими должностных обязанностей. Членами общественных организаций и комиссий обработка персональных данных может производиться в помещениях, где проходит заседание данной общественной организации или комиссии. По окончании заседания документы, содержащие персональные данные, возвращаются в места их хранения.

3.19. Личные дела, содержащие персональные данные работников, должны вестись в соответствии с требованиями нормативных документов, в том числе локальных.

3.20. К персональным данным, разрешенным субъектом персональных данных для распространения (общедоступные источники персональных данных), в АО «СТНГ»» относится информация о работниках, контрагентах (фамилия, имя, отчество, дата рождения, должность, стаж работы, фотография, образование, повышение квалификации, номера рабочих телефонов, биография, факты трудовой деятельности, семейное положение и другие сведения), размещаемая в сети Интернет, аккаунтах социальных сетей, общедоступных стендах АО «СТНГ», средствах массовой информации с целью информирования населения о предоставляемых услугах и освещения деятельности Общества. Все сведения о работнике размещаются с письменного согласия работника согласно Приложению № 3 к настоящему Положению.

3.21. В АО «СТНГ» могут создаваться документы, содержащие персональные данные работников, предназначенные для общего внутреннего пользования (телефонные справочники, справочники с днями рождений, объявления, поздравления и т.п.) с согласия работника. Внутренние телефонные справочники создаются в бумажном и (или) электронном виде и выдаются руководителям структурных подразделений. При этом старые справочники должны быть уничтожены. Ответственность за уничтожение служебных внутренних телефонных справочников возлагается на руководителей структурных подразделений. Копировать и представлять посторонним лицам полученные справочники и другие документы внутреннего пользования, содержащие персональные данные, запрещается.

3.22. Обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом производится в объеме, согласованном с работником, контрагентом с его письменного согласия (Приложение № 3 к настоящему Положению).

3.23. В АО «СТНГ» предусмотрена обработка биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются АО «СТНГ» для установления личности субъекта персональных данных).

IV. СРОКИ ОБРАБОТКИ И УСЛОВИЯ ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Документы, содержащие персональные данные хранятся на бумажных и электронных носителях, в специально предназначенных для этого помещениях. Срок хранения документов определяется номенклатурой дел. По истечении сроков хранения документы по решению рабочей комиссии по хранению и уничтожению документов, содержащих персональные данные, подлежат уничтожению в порядке, предусмотренном Инструкцией.

4.2. Сроки обработки и хранения персональных данных заявителей, обратившихся за услугой, предоставляемой на базе АО «СТНГ»– не более 1 года, с момента достижения целей обработки персональных данных.

4.3. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных АО «СТНГ» обязуется прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между АО «СТНГ» и субъектом персональных данных либо если АО «СТНГ» не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

4.4. В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных Федеральным законом «О персональных данных». Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

4.5. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного Федеральным законом «О персональных данных» (далее – 152-ФЗ), оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

4.6. В процессе хранения персональных данных должны обеспечиваться: - требования нормативных документов, устанавливающих правила хранения сведений конфиденциального характера;
- сохранность имеющихся данных, ограничение доступа к ним, в соответствии с законодательством Российской Федерации и настоящим Положением;
- контроль за достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.

4.7. Личное дело работника формируется после издания приказа о назначении гражданина Российской Федерации на должность и ведется на протяжении всего периода трудовой деятельности в АО «СТНГ» По миновании надобности личные дела передаются на ответственное хранение в Архив Общества (срок хранения – 50 лет).

4.8. Трудовые книжки действующих работников хранятся в сейфе. Хранение трудовых книжек работников осуществляется в соответствии с законодательством Российской Федерации.

4.9. Иные документы внутреннего обращения, содержащие персональные данные работников, создаются уполномоченными работниками, хранятся в определенных местах и уничтожаются по исполнении целей обработки в соответствии с общим порядком делопроизводства.

4.10. Работникам, допущенным к обработке персональных данных, запрещается: - передавать третьим лицам и работникам, не допущенным к обработке персональных данных, сведения, ставшие им известными при исполнении должностных обязанностей;
- оставлять документы, содержащие персональные данные в открытом доступе;
- оставлять служебные кабинеты без присмотра и не запертыми при отсутствии в нем других работников АО «СТНГ»;
- оставлять посторонних лиц в служебном кабинете без присмотра и в отсутствии других работников АО «СТНГ»;
- оставлять открытыми окна в отсутствии других работников АО «СТНГ».

V. УСЛОВИЯ И ПОРЯДОК ПЕРЕДАЧИ ПЕРСОНАЛЬНЫХ ДАННЫХ И РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ

5.1. В целях обеспечения законных интересов работников и других лиц АО «СТНГ» имеет право передавать персональные данные в:
- Управление Федеральной налоговой службы по Республике Саха (Якутия);
- Социальный фонд Российской Федерации;
- Территориальный фонд обязательного медицинского страхования Республики Саха (Якутия);
- органы федеральной службы безопасности, органы прокуратуры, правоохранительные органы;
- негосударственные пенсионные фонды (по заявлению работника/гражданина);
- страховые компании (по заявлению работника/гражданина);
- кредитно-финансовые организации (по заявлению работника/гражданина);
- представителям лицензирующих и/или контролирующих органов государственной власти;
- законным представителям субъекта персональных данных;
- представителям уполномоченных органов по защите прав субъектов персональных данных.
Передача персональных данных может осуществляться с использованием машинных носителей или по каналам связи с соблюдением мер, обеспечивающих их защиту от несанкционированного доступа, и при условии, что их прием и обработка будут осуществляться лицом, обязанным сохранять конфиденциальность передаваемых персональных данных.

5.2. При передаче персональных данных работника другим юридическим и физическим лицам, уполномоченный работник должен соблюдать следующие требования:
а) не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральными законами;
б) не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
в) предупреждать лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим конфиденциальности (данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами);
г) не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
д) передавать персональные данные работника представителям работника в порядке, установленном ТК РФ и 152-ФЗ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.

5.3. Внутри АО «СТНГ» без письменного согласия работника разрешается передача персональных данных в структурные подразделения, общественные организации (Проффсоюз) и комиссии, созданные для защиты прав работника и предоставления им установленных условий труда, гарантий и компенсаций в соответствии с законодательством, необходимые им для выполнения своих функций.

5.4. Предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
Лица, получающие персональные данные, обязаны соблюдать режим конфиденциальности (данное требование не распространяется на обмен персональными данными субъектов персональных данных в порядке, установленном федеральным законодательством).

5.5. Передавать персональные данные работников их представителям в порядке, установленном существующим законодательством и настоящим Положением, и ограничивать эту информацию данными, необходимыми для выполнения указанными представителями их функций (Приложение №4 к настоящему Положению).
Учет обращений физических лиц и организаций о предоставлении персональных данных ведется сотрудником УКП АО «СТНГ» в бумажном виде -примерная форма приведена в Приложении № 5 к настоящему Положению.

5.6. Не передавать кому-либо персональные данные субъектов персональных данных в коммерческих целях без их письменного согласия (Приложение № 6 к настоящему Положению).

5.7. Передача персональных данных работников и других лиц на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу АО «СТНГ» не производится (трансграничная передача персональных данных).

5.8. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных АО «СТНГ»;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые АО «СТНГ» способы обработки персональных данных;
4) наименование и место нахождения АО «СТНГ» сведения о лицах (за исключением работников АО «СТНГ»), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с АО «СТНГ» или на основании 152-ФЗ;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения порядок осуществления субъектом персональных данных прав, предусмотренных 152-ФЗ;
7) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
8) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению АО «СТНГ», если обработка поручена или будет поручена такому лицу;
9) информацию о способах исполнения оператором обязанностей, установленных ст. 18.1 152-ФЗ;
10) иные сведения, предусмотренные 152-ФЗ или другими федеральными законами.
Для получения информации субъект персональных данных подает письменное заявление.

5.9. Субъект персональных данных имеет право на получение сведений, указанных в пункте 5.8 настоящего Положения, за исключением случаев, предусмотренных законодательством РФ.
Субъект персональных данных вправе требовать от АО «СТНГ» уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав (Приложение № 7 к настоящему Положению).

5.10. Сведения, указанные в пункте 5.8 настоящего Положения, должны быть предоставлены субъекту персональных данных АО «СТНГ» в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных. Сведения предоставляются субъекту персональных данных или его представителю при личном обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с АО «СТНГ» (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных АО «СТНГ», подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

VI. УНИЧТОЖЕНИЕ, БЛОКИРОВАНИЕ И ОБЕЗЛИЧИВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Все документы, содержащие персональные данные, должны быть уничтожены в установленном порядке по достижении цели, для которой они собирались и использовались.

6.2. Подтверждение уничтожения персональных данных осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных. Уничтожение производится постоянно действующей рабочей комиссией АО «СТНГ», деятельность и полномочия которой устанавливаются соответствующим Положением, а также в соответствии с общим порядком делопроизводства и утвержденной номенклатуры дел.

6.3. Уничтожение персональных данных, хранящихся в АИС АО «СТНГ» осуществляется по итогам достижения целей обработки персональных данных.

6.4. Работники, ответственные за документооборот и архивирование, и уполномоченные работники, производящие обработку персональных данных работников, заявителей, осуществляют систематический контроль и выделение документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению. Отбору подлежат документы, сроки хранения по которым истекли по состоянию на 01 января текущего года, и далее на каждое первое число месяца, следующего за отчетным в части документов по услугам.

6.5. Уничтожение документов, содержащих персональные данные, по требованию субъекта персональных данных производится на основании поступившего письменного заявления и/или его законного представителя. В информационных системах персональных данных персональные данные не удаляются полностью, производится их обезличивание в соответствии с установленным порядком, при наличии технической возможности.

6.6. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных АО «СТНГ» обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных, осуществляется другим лицом, действующим по поручению АО «СТНГ») с момента такого обращения или получения указанного запроса на период проверки.

6.7. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных АО «СТНГ» обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению АО «СТНГ») с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

6.8. В случае подтверждения факта неточности персональных данных АО «СТНГ» на основании сведений, предоставленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению АО «СТНГ») в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

6.9. В случае выявления неправомерной обработки персональных данных, осуществляемой АО «СТНГ» или лицом, действующим по поручению АО «СТНГ», АО «СТНГ» в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению АО «СТНГ».

6.10. В случае, если обеспечить правомерность обработки персональных данных невозможно, АО «СТНГ», в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение.

6.11. Об устранении допущенных нарушений или об уничтожении персональных данных АО «СТНГ» обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъекта персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

6.12. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, АО «СТНГ» обязан с момента выявления такого инцидента АО «СТНГ», уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных: 1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном АО «СТНГ» на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом; 2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

6.13. Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных и по достижению целей обработки или в случае утраты необходимости этих целей, если иное не предусмотрено федерльным законом. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.

6.14. Для обезличивания персональных данных применяются любые способы, явно незапрещенные действующим законодательством. Способы обезличивания при условии дальнейшей обработки персональных данных:
- сокращение перечня обрабатываемых сведений;
- замена части сведений идентификаторами;
- обобщение – понижение точности некоторых сведений;
- деление сведений на части и обработка в разных информационных системах;
- иные способы.

6.15. Обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, производится в соответствии с Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ, утвержденных приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 05.09.2013 № 996.

VII. СПОСОБЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Защита персональных данных представляет собой регламентированный технологический и организационный процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных работников, других лиц, и обеспечивающий надежную безопасность информации.

7.2. Работники АО «СТНГ», осуществляющие обработку персональных данных, должны быть уведомлены в письменной форме о своей обязанности не разглашать персональные данные, к которым они получили доступ в связи с исполнением своих должностных обязанностей. При заключении трудового договора с работником или гражданско-правового договора с контрагентом, сотрудник Общества подписывает с ним обязательство о неразглашении персональных данных (Приложение № 8 к настоящему Положению). Все работники, контрагенты, допущенные к обработке персональных данных, однократно проходят краткий инструктаж (Приложение № 9 к настоящему Положению).

7.3. Защита сведений, хранящихся в электронных базах данных, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается разграничением прав доступа с использованием учетной записи и системой паролей. Обмен персональными данными при их обработке в информационных системах персональных данных осуществляется по каналам связи, защита которых обеспечивается путём реализации соответствующих организационных мер и путём применения программных и технических средств. Размещение составных компонентов информационных систем персональных данных, специальное оборудование и охрана помещений, в которых осуществляется обработка информации конфиденциального характера, персональных данных, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения в эти помещения посторонних лиц.

7.4. Внешняя защита персональных данных работников обеспечивается порядком приема, учета и контроля деятельности посетителей, путём исключения несанкционированного, в том числе случайного доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

7.5. Все меры конфиденциальности при сборе, обработке и хранении персональных данных работников распространяются как на бумажные, так и на электронные (автоматизированные) носители информации. При обработке персональных данных в информационной системе должно быть обеспечено:
- проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
- своевременное обнаружение фактов несанкционированного доступа к персональным данным и/или передачи их лицам, не имеющим права доступа к такой информации;
- своевременное обнаружение фактов несанкционированного доступа к персональным данным;
- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
- возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- постоянный контроль за обеспечением уровня защищённости персональных данных.

7.6. Не допускается отвечать на вопросы, связанные с передачей персональной информации, по телефону, факсу, электронной почте.

7.7. При обнаружении нарушений порядка обработки персональных данных по указанию руководителя АО «СТНГ» незамедлительно приостанавливается работа информационной системы до выявления причин нарушений и их устранения.

7.8. Персональные данные работника, кандидата (обратившегося гражданина) могут храниться в бумажном и (или) электронном виде с соблюдением требований, предусмотренных нормативными правовыми актами Российской Федерации. Все документы на бумажных носителях, содержащие персональные данные, должны храниться в местах, защищённых от несанкционированного доступа, до даты уничтожения.

VIII. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. В целях обеспечения достоверности персональных данных работники обязаны: - при приеме на работу представлять о себе достоверные сведения в порядке и объеме, предусмотренном законодательством РФ; - в случае изменения персональных данных работника (фамилии, имени, отчества, адреса места жительства, паспортных данных, сведений об образовании и т.п.) сообщать об этом в АО «СТНГ» в течение 5 рабочих дней с даты регистрации этих изменений (Приложение № 7 к настоящему Положению).

8.2. В целях обеспечения защиты персональных данных работники имеют право: а) получения полной информации о своих персональных данных и их обработке;
б) свободного бесплатного доступа к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральными законами;
в) доступа к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
г) определения своих представителей для защиты своих персональных данных;
д) требовать исключения или исправления не верных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ и 152-ФЗ.
Указанное требование должно быть оформлено письменным заявлением работника на имя руководителя АО «СТНГ» При отказе исключить или исправить персональные данные работника, он вправе заявить в письменной форме о своем несогласии, с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
е) требовать об извещении представителем работодателя всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
ж) обжаловать действия или бездействие представителя работодателя в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если субъект персональных данных, считает, что представитель работодателя осуществляет обработку его персональных данных с нарушением требований 152-ФЗ или иным образом нарушает его права и свободы.

IX. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Руководство АО «СТНГ», в том числе руководители подразделений разрешая доступ работника АО «СТНГ» к персональным данным, несут ответственность за данное разрешение.

9.1.1. На заместителя генерального директора по безопасности, режиму, ГОЧС и мобилизационной работе возлагается ответственность за: - осуществление внутреннего контроля за соблюдением требований действующего законодательства при обработке персональных данных в АО «СТНГ», в том числе требований защит персональных данных; - организацию и доведение до сведения работников АО «СТНГ» за ознакомление данным Положением;

9.1.2. Ответственность по персональным данным, касающихся расчетов с персоналом, контрагентами, отчета в налоговый орган, Социальный фонд Российской Федерации, а также их обращений, запросов, касающихся бухгалтерского учета, возлагается на главного бухгалтера АО «СТНГ»

9.1.3. Ответственность за обработку персональных данных контрагентов возлагается на структурные подразделения и должностных лиц, участвующих в процессах закупки товаров, работ и услуг, а также иных взаимодействий с контрагентами.

9.1.4. Ответственность за персональные данные работников АО «СТНГ», контрагентов, а также их обращений, запросов, касающихся финансово-экономического учета возлагается на начальника планово-экономического отдела Общества с поручением следующих дополнительных обязанностей:
- организация приема и обработки персональных данных работников АО «СТНГ», касающихся анализа, мониторинга и планирования финансово- хозяйственной деятельности АО «СТНГ».

9.1.5. Ответственность за прием и обработку персональных данных работников АО «СТНГ», других лиц, обратившихся в целях трудоустройства, кандидатов на вакантные должности, а также их обращений, запросов, в том числе через представителей, касающихся трудовых отношений возлагается на начальника управления кадровой политики с поручением следующей дополнительной обязанности:
- организация приема и обработки персональных данных работников АО «СТНГ», касающихся трудовых отношений с работодателем.

9.1.6. Ответственность за прием и обработку персональных данных заявителей, граждан в информационных система возлагается на начальника службы информационных технологий с поручением следующих дополнительных обязанностей:
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
- осуществление оценки эффективности принимаемых мер по обеспечению безопасности персональных данных;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных;
- осуществление контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

9.1.7. Ответственность за прием и обработку персональных данных заявителей и граждан, обращающихся за предоставлением услуг на базе АО «Сахатранснефтегаз», возлагается на соответствующие структурные подразделения и должностных лиц, оказывающих эти услуги;

9.1.8. Полная ответственность за полноту и правильность произведенной экспертизы документов и уничтожения бумажных носителей персональных данных возлагается на работника отдела, службы, подразделения.

9.1.9. Ответственность за неукоснительное соблюдение требований действующего законодательства и локальных актов АО «СТНГ» в области персональных данных работниками отделов, служб, отделения, а также ответственность за хранение и обработку персональных данных в помещениях отделов, служб, отделения, проведение инструктажа в соответствии с Приложением № 9 к настоящему Положению - возлагается на начальников отделов, служб, подразделений, главных специалистов отделения.

9.2. Уполномоченные работники, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности, а также к гражданско-правовой, административной и уголовной ответственности в порядке, установленном действующим законодательством.

9.3. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации влечет наложение на должностных лиц административного штрафа в размере, определяемом КоАП РФ.

X. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

10.1. Настоящее Положение вступает в силу с даты его утверждения и действует бессрочно, до замены его Положением в новой редакции.

10.2. Внесение изменений и дополнений в настоящее Положение производится в случаях изменения действующего законодательства РФ: Трудовой кодекс РФ, Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных», Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации», иные федеральные законы и нормативные правовые акты, регламентирующие порядок обработки и защиты персональных данных.

10.3. В случае вступления отдельных пунктов в противоречие с новыми законодательными актами, эти пункты утраивают юридическую силу до момента внесения изменений в настоящее Положение.

10.4. Каждый работник должен быть ознакомлен с настоящим Положением, с внесенными в него изменениями и дополнениями, в течение 5 рабочих дней после утверждения (под роспись в листе ознакомления, в электронном виде в СЭД «Дело»).

Положение об обработке персон.данных.pdf

Данная политика разработана и утверждена 12.07.2024г