Приложение № 2
к приказу от 28.06.2021 № 36п
(с учетом правок утв. приказом от 06.10.2022 № 89п)
1. ОБЩИЕ ПОЛОЖЕНИЯ
Настоящий документ «Политика в отношении обработки персональных данных» (далее – Политика) акционерного общества «Пассажирсервис» (далее – предприятие, Оператор) разработана в соответствии с требованиями Федерального закона «О персональных данных» от 27 июля 2006 года № 152-ФЗ и распространяется на все персональные данные, обрабатываемые на предприятии.
Целью настоящей Политики является доведение до субъектов персональных данных необходимой информации, позволяющей понять, какие персональные данные и с какой целью собираются Оператором, каким образом они обрабатываются, какие требования к обеспечению их безопасности реализуются.
Настоящая Политика распространяется на персональные данные, полученные как до, так и после ее утверждения.
В дополнение к настоящей Политике Оператор может выпускать дополнительные нормативные документы, регламентирующие защиту и порядок обработки персональных данных.
Действие настоящего документа распространяется на все процессы предприятия, в рамках которых осуществляется обработка персональных данных.
2. ПРАВОВОЕ ОСНОВАНИЕ, ЦЕЛИ И СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1 Цели и способы обработки персональных данных
Акционерное общество «Пассажирсервис» обрабатывает персональные данные субъектов персональных данных, а именно: работников предприятия, в том числе бывших работников; иных субъектов персональных данных (держателей Единой карты), их законных представителей; учащихся образовательных учреждений; клиентов предприятия.
Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Персональные данные работников предприятия обрабатываются в целях:
. содействия работникам в трудоустройстве, обучении и продвижении по службе;
. осуществление деятельности в соответствии с уставом предприятия;
. ведение кадрового делопроизводства и бухгалтерского учета;
. начисления заработной платы;
. выполнения социальных обязательств со стороны работодателя в отношении работников;
. обеспечения личной безопасности работников;
. контроля количества и качества выполняемой работы;
. обеспечения сохранности имущества работников и работодателя;
. заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетов;
. осуществление пропускного режима;
. обеспечения соблюдения законодательства Российской Федерации.
Персональные данные бывших работников предприятия обрабатываются в целях:
. обеспечения соблюдения законодательства Российской Федерации об архивном деле.
Персональные данные субъектов персональных данных (держателей Единой карты), их законных представителей обрабатываются в целях:
. выпуска, выдачи и обслуживания электронной карты, ее учет в информационной системе Единой карты АО «Пассажирсервис»;
. информирования субъекта персональных данных (его законного представителя) Провайдером программы лояльности о проводимых промоакциях, продуктах и услугах, предоставляемых владельцам Единой карты;
. проведения опросов, маркетинговых, статистических и других исследований включая, но не ограничиваясь проведением опросов, исследований посредством электронной, телефонной и сотовой связи;
. предоставления субъекту персональных данных (его законному представителю) рекламной информации, в том числе в целях заключения с ним в дальнейшем договоров/соглашений с иными лицами.
Персональные данные субъектов персональных данных (учащихся образовательных учреждений) обрабатываются в целях:
. выпуска документа, предоставляющего право льготного или бесплатного проезда в городском пассажирском транспорте учащимся общеобразовательных учреждений, студентам высших образовательных учреждений, учащимся средних профессиональных образовательных учреждений на территории города Омска.
Персональные данные субъектов персональных данных (клиентов предприятия) обрабатываются в целях:
. исполнения договоров, иных соглашений;
. обеспечения функционирования автоматизированной навигационной системы управления городским пассажирским транспортом;
. рассмотрение обращений граждан;
. прохода на территорию предприятия.
2.2 Состав обрабатываемых персональных данных
Содержание и объем персональных данных соответствует заявленным целям обработки, предусмотренным настоящей Политикой. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
Персональные данные работников предприятия, в том числе бывших работников:
. фамилия;
. имя;
. отчество;
. пол;
. данные документа, удостоверяющего личность (вид документа, серия, номер, дата и место выдачи, код подразделения, дата регистрации по месту жительства);
. сведения документов, подтверждающих право иностранного гражданина на осуществление трудовой деятельности в РФ;
. дата и место рождения;
. адрес местожительства (регистрации);
. контактные номера телефонов (домашний, мобильный);
. адрес электронной почты;
. гражданство;
. сведения о семейном положении (состав семьи, копии свидетельств о заключении/расторжении брака, о рождении детей, а также о лицах, находящихся под опекой и попечительством);
. сведения о количестве детей субъекта персональных данных до 18 лет;
. сведения о количестве детей субъекта персональных данных до 23 лет, обучающихся по очной форме обучения;
. сведения об обязательных предварительных (при поступлении на работу) и периодических медицинских осмотрах (обследованиях);
. данные полиса ОМС;
. идентификационный номер налогоплательщика;
. страховой номер индивидуального лицевого счета;
. сведения об образовании, профессии, квалификации или наличии специальных знаний;
. сведения о стаже работы;
. отдел/подразделение, должность;
. должностной оклад, премия;
. основной и дополнительный зарплатные счета (банк, филиал, номер счета, срок действия);
. сведения о воинском учете;
. наличие и сведения о водительском удостоверении;
. информация об аттестации, повышении квалификации, профессиональной переподготовке;
. сведения о приеме на работу и переводах на другую работу;
. данные о поощрениях и наградах;
. данные о социальных льготах (номер и дата выдачи документа, основание);
. код инвалидности;
. сведения об отпусках, в том числе о выезде за пределы РФ;
. табельный номер;
. данные о трудовом договоре;
. сведения о прекращении трудового договора (увольнении);
. сведения о гражданско-правовых договорах работников: дата, общая сумма по договору, сумма выплаты (за месяц, за квартал), порядок оплаты, период этапов выполнения;
. сведения о судимости и/или наличие обязательств по исполнительному листу.
Персональные данные субъектов персональных данных (держателей Единой карты), их законных представителей:
- фамилия, имя, отчество (в том числе законного представителя);
- дата рождения (число, месяц, год);
- пол;
- место рождения (в соответствии с документом, удостоверяющим личность);
- адрес регистрации (в том числе индекс);
- реквизиты документа, удостоверяющего личность (в том числе законного представителя);
- наименование и адрес образовательного учреждения;
- страховой номер индивидуального лицевого счета (СНИЛС);
- полис обязательного медицинского страхования (за исключением военнослужащих и приравненных к ним в организации оказания медицинской помощи лиц);
- номер телефона (в том числе законного представителя);
- адрес электронной почты;
- идентификатор Единой карты (в том числе идентификатор транспортного приложения, идентификатор субъекта);
- категория льготы на проезд.
Персональные данные учащихся:
. фамилия, имя, отчество;
. наименование образовательного учреждения, в том числе адрес;
. дата рождения;
. сведения о классе, группе, факультете (при наличии);
. СНИЛС;
. фотографическое изображение.
Персональные данные клиентов предприятия:
- фамилия, имя, отчество;
- место работы;
- табельный номер;
- номер водительского удостоверения;
- адрес;
- должность;
- контактный телефон;
- адрес электронной почты.
2.3 Правовое основание обработки персональных данных
2.3.1 Обработка персональных данных на предприятии осуществляется на основании следующих нормативно-методических документов:
- Конституция Российской Федерации (статьи 23-24);
- Трудовой кодекс Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон «Об обязательном пенсионном страховании в Российской Федерации» от 15 декабря 2001 года № 167-ФЗ;
- Федеральный закон «О бухгалтерском учете» от 06 декабря 2011 года № 402-ФЗ;
- Федеральный закон «О персональных данных» от 27 июля 2006 года № 152-ФЗ;
- Положение об использовании и пополнении электронного проездного билета длительного пользования на проезд в муниципальном пассажирском транспорте, утверждено приказом Департамента транспорта администрации города Омска от 24 апреля 2015 года № 34 (с учетом изменений);
- иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью предприятия.
2.3.2 Правовым основанием обработки персональных данных также являются:
- устав АО «Пассажирсервис»;
- договоры, заключаемые между Оператором и субъектами персональных данных;
- согласие субъектов персональных данных (их законных представителей) на обработку персональных данных.
3 ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка персональных данных на предприятии осуществляется на основе следующих принципов:
- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
- при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки;
- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
- при обработке персональных данных обеспечивается раздельное хранение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместных между собой.
При обработке персональных данных на предприятии обеспечивается точность персональных данных, их достаточность и в необходимых случаях актуальность по отношению к целям обработки персональных данных. Предприятие обеспечивает принятие необходимых мер по удалению или уточнению неполных или неточных персональных данных.
Обработка персональных данных на предприятии осуществляется на основании письменного согласия субъекта персональных данных. Предприятие не размещает персональные данные субъекта персональных данных в общедоступных источниках без его предварительного согласия.
В случае отказа субъекта персональных данных предоставить свои персональные данные Оператор в обязательном порядке разъясняет субъекту юридические последствия такого отказа.
Предприятие не осуществляет принятие решений на основании исключительно автоматизированной обработки персональных данных, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
Поручение обработки персональных данных третьему лицу осуществляется предприятием только на основании договора (иного правового акта), заключенного между предприятием и третьим лицом, либо ином основании, предусмотренном действующим законодательством, при наличии согласия субъекта персональных данных, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.
На предприятии могут создаваться документы внутреннего использования, содержащие персональные данные работников (ФИО, должность, контактный телефон, дата рождения), предназначенные для общего внутреннего пользования (телефонные справочники, справочники с днями рождений, объявления, поздравления, бирки на служебных кабинетах и т.п.). Эти документы должны уничтожаться по окончании срока их действия. Ответственность за организацию своевременного уничтожения возлагается на должностных лиц, в интересах которых они созданы, и (или) на лиц, изготовивших и разместивших их.
Копировать и представлять посторонним лицам полученные справочники и другие документы внутреннего использования, содержащие персональные данные, запрещается.
При размещении телефонных справочников в общедоступных местах с субъекта персональных данных берется согласие на такое размещение.
4 ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
В соответствии с Федеральным законом «О персональных данных» от 27 июля 2006 года № 152-ФЗ субъект персональных данных имеет право:
4.1 Получить от предприятия сведения, касающиеся обработки персональных данных Оператором, а именно:
. подтверждение факта обработки персональных данных Оператором;
. правовые основания и цели обработки персональных данных;
. способы обработки персональных данных, применяемые Оператором;
. наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора (иного соглашения) с Оператором или на основании федерального закона;
. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
. сроки обработки персональных данных, в том числе сроки их хранения;
. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
. иные сведения, предусмотренные Федеральным законом «О персональных данных» от 27 июля 2006 года № 152-ФЗ или другими федеральными законами.
4.2 Потребовать от предприятия уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
4.3 Заявить возражение против принятия в отношении себя решений, порождающих юридические последствия на основе исключительно автоматизированной обработки персональных данных.
4.4 Отозвать согласие на обработку персональных данных в предусмотренных законом случаях.
Получение вышеуказанных сведений, уточнение, блокирование или уничтожение Оператором персональных данных, а также выполнение иных правомерных требований субъекта персональных данных осуществляется на основании письменного запроса. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя.
Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с действующим законодательством Российской Федерации.
5 ОБЯЗАННОСТИ ОПЕРАТОРА
В соответствии с требованиями Федерального закона «О персональных данных» от 27 июля 2006 года № 152-ФЗ предприятие обязано:
5.1 Предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить мотивированный отказ от предоставления такой информации в срок, предусмотренный Федеральным законом «О персональных данных» от 27 июля 2006 года № 152-ФЗ.
5.2 По требованию субъекта персональных данных уточнять обрабатываемые персональные данные, блокировать или удалять их, если персональные данные являются
7
неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
5.3 Уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных. Исключение составляют следующие случаи:
. субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим Оператором;
. персональные данные получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
. обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Федерального закона «О персональных данных» от 27 июля 2006 года № 152-ФЗ;
. предприятие осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
. предоставление субъекту персональных данных сведений нарушает права и законные интересы третьих лиц.
5.4 В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных Оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
5.5 В случае подтверждения факта неточности персональных данных на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
5.6 В случае выявления неправомерной обработки персональных данных в срок, не превышающий трех рабочих дней с даты этого выявления, прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае если обеспечить правомерность обработки персональных данных невозможно, предприятие в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
5.7 В случае достижения цели обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если предприятие не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» от 27 июля 2006 года № 152-ФЗ или другими федеральными законами.
5.8 В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Оператором и субъектом персональных данных. Об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных. 5.8.1 В случае обращения субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных Оператор обязан в срок, не превышающий десяти рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 – 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных». Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
5.9 В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 5.6 – 5.8.1 настоящей Политики, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
5.10 В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
- в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
- в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
2 МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
При обработке персональных данных предприятие принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях обеспечивают сохранность носителей персональных данных и средств защиты информации, а также исключают возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
Предприятие принимает следующие основные меры по обеспечению безопасности персональных данных при их обработке:
- определяет угрозы безопасности персональных данных при их обработке в информационных системах;
- применяет соответствующие технические и организационные меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требования к защите персональных данных для установленных классов;
- применяет средства защиты информации, прошедшие в установленном действующим законодательством Российской Федерации порядке процедуру оценки соответствия;
- осуществляет хранение персональных данных, вне зависимости от типа носителя, в охраняемом помещении, оснащенном противопожарной сигнализацией;
- устанавливает правила доступа к персональным данным, обрабатываемым в информационных системах;
- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы и по реагированию на компьютерные инциденты в них;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- при обработке персональных данных в информационных системах контролирует обеспечение уровня защищенности персональных данных и предотвращение несанкционированного доступа к ним и/или передачи их лицам, не имеющим права доступа к такой информации;
- оценивает эффективность принимаемых мер по обеспечению безопасности персональных данных, в том числе до ввода в эксплуатацию новых информационных систем.
В целях координации действий по обеспечению безопасности персональных данных на предприятии назначены лица, ответственные за защиту информации.
В целях обеспечения соответствия требованиям Федерального закона «О персональных данных» от 27 июля 2006 года № 152-ФЗ предприятие не раскрывает информацию о конкретных применяемых средствах и методах обеспечения информационной безопасности персональных данных.
3 ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Внесение изменений в настоящую Политику должно производиться при изменении действующего законодательства Российской Федерации, по результатам анализа инцидентов информационной безопасности, актуальности, достаточности и эффективности используемых мер обеспечения информационной безопасности, по результатам проведения внутренних аудитов информационной безопасности и других контрольных мероприятий.
Настоящая Политика и все изменения к ней утверждаются и вводятся в действие руководителем предприятия.
Ответственность должностных лиц предприятия, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами предприятия.