Политика обработки персональных данных
Утверждена Приказом № 4499/ИТ/22 от «10» января 2023 г.
Москва, 2023 год.
1. Сокращения, термины и определения
Акционерное общество "ДИКСИ Юг" - АО "ДИКСИ Юг", Общество.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность персональных данных - обязательное для соблюдения оператором или иными лицами, получившими доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Несанкционированный доступ к информации - доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные (далее - Персональные данные/ПДн) - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом;
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу, находящимся на территории иностранного государства.
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2. Общие положения
2.1. Политика в отношении обработки и защиты персональных данных АО «ДИКСИ Юг» (далее -Политика) определяет основные цели, принципы, условия, порядок обработки персональных данных, категории субъектов персональных данных, объем обрабатываемых персональных данных, права субъектов персональных данных, а также меры, принимаемые для защиты персональных данных.
2.2. АО «ДИКСИ Юг", осуществляя обработку персональных данных, обеспечивает защиту прав и свобод субъектов при обработке их персональных данных и принимает меры для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и иными нормативными правовыми актами.
2.3. Настоящая Политика разработана в соответствии с требованиями:
- Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года с поправками, одобренными Комитетом министров Совета Европы 15 июня 1999 года, ратифицированная Федеральным законом Российской Федерации от 19 декабря 2005 года № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» в рамках, определяемых данным Федеральным законом, заявлений;
- Конституции Российской Федерации от 12.12.1993;
- Гражданского кодекса Российской Федерации;
- Кодекса об Административных Правонарушениях Российской Федерации;
- Трудового кодекса Российской Федерации от 30.12.2001 № 197-ФЗ;
- Уголовного кодекса Российской Федерации;
- Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
- Федерального закона от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Постановления Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановления Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
- Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера»;
- Приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»,
- а также в соответствии с иными федеральными законами и подзаконными актами Российской Федерации, определяющими случаи и особенности обработки персональных данных и обеспечения безопасности и конфиденциальности такой информации (далее - Законодательство о персональных данных).
АО "ДИКСИ Юг" осуществляет обработку персональных данных на законной и справедливой основе. Правовым основанием обработки персональных данных является совокупность правовых актов и юридически значимых документов, во исполнение которых и в соответствии с которыми АО "ДИКСИ Юг" осуществляет обработку персональных данных:
• Трудовой кодекс Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Договоры, заключаемые между АО "ДИКСИ Юг "и субъектом персональных данных;
• Договоры, заключаемые между АО "ДИКСИ Юг" и другими юридическими лицами, в рамках которых предполагается обработка персональных данных;
• Согласие на обработку персональных данных и т.д.
2.4. Настоящая Политика действует в отношении всех Персональных данных, обрабатываемых в АО «ДИКСИ Юг» (далее - Оператор).
2.5. В соответствии с действующим законодательством Российской Федерации персональные данные являются информацией ограниченного доступа (конфиденциального характера).
2.6. Целью настоящей Политики является:
-Реализация и соблюдение требований законодательства в области обработки и обеспечения безопасности персональных данных, обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных Оператором;
-Установление основных принципов и подходов к обработке и обеспечению безопасности персональных данных Оператором;
-Создание нормативной основы для регулирования процессов обработки персональных данных Оператором.
2.7. Настоящая Политика распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передачи (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению персональных данных, осуществляемых с использованием средств автоматизации и без использования таких средств, и обязательна для применения всеми работниками Оператора, осуществляющими обработку персональных данных в силу своих должностных обязанностей.
2.8. Настоящая политика подлежит неограниченному распространению и доведению до сведения лиц, состоящих в договорных, гражданско-правовых и иных отношениях с Оператором.
2.9. Во всех аспектах, не урегулированных настоящей Политикой, необходимо руководствоваться действующим Законодательством о персональных данных.
3. Объем и категории обрабатываемых персональных данных, категории субъектов
Цели обработки
3.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
3.2. Целями обработки персональных данных являются:
1. Заключение трудовых договоров с физическими лицами;
1.1. Категории субъектов ПДн: сотрудники;
Категории обрабатываемых персональных данных: иные ПДн.
Перечень обрабатываемых ПДн: фамилия, имя, отчество; фотография (в бумажном виде); год, месяц, дата и место рождения; ; гражданство; пол; паспортные данные или данные иного документа, удостоверяющего личность; адрес регистрации по месту жительства; адрес фактического проживания; ИНН; данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС); семейное положение; сведения о доходах, номер(а) банковского счета и карты для выплаты заработной платы; сведения об образовании, включая научные степени и знания, о повышении квалификации, о знании иностранных языков; информация об инвалидности (при наличии), № группы, данные заключения МСЭК (при наличии); абонентский (мобильный) номер телефона; адрес личной электронной почты; сведения о воинском учете, социальных льготах; сведения о трудовой деятельности: занимаемая должность; данные о посещаемости рабочего места; результаты проведенных оценок, аттестаций
и тестирования профессиональных способностей и индивидуально-психологических особенностей; о пройденных программах обучения; стаже работы и занимаемых должностях;
Сроки обработки и хранения ПДн: хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.
Порядок уничтожения ПДн при достижении целей и при наступлении иных законных оснований: уничтожение достигается путем затирания информации на носителях информации. Контроль выполнения процедур уничтожения ПДн осуществляет ответственный за организацию обработки ПДн.
1.2. Категории субъектов ПДн: соискатели на вакантные должности;
Категории обрабатываемых персональных данных: иные ПДн.
Перечень обрабатываемых ПДн: фамилия, имя, отчество, дата рождения, контактный телефон, контактный e-mail, адрес проживания, семейное положение, данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС); сведения об образовании, наименование учебного заведения, дата начала и окончания обучения, форма обучения, полученная профессия (специальность, квалификация), сведения о трудовой деятельности.
Сроки обработки и хранения ПДн: хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.
Порядок уничтожения ПДн при достижении целей и при наступлении иных законных оснований: уничтожение достигается путем затирания информации на носителях информации, бумажные носители персональных данных соискателей уничтожаются путем шредированния. Контроль выполнения процедур уничтожения ПДн осуществляет ответственный за организацию обработки ПДн.
2. Заключение договоров на оказание услуг с физическими лицами.
2.1. Категории субъектов ПДн: физические лица, с которыми заключены договоры на оказание услуг;
Категории обрабатываемых персональных данных: иные ПДн.
Перечень обрабатываемых ПДн: фамилия, имя отчество, гражданство, пол, паспортные данные, место регистрации/почтовый адрес, E-mail, контактный телефон, данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС), ИНН, КПП, корреспондентский счет, расчетный счет, место работы, должность, дата рождения, пол, место рождения.
Сроки обработки и хранения ПДн: хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.
Порядок уничтожения ПДн при достижении целей и при наступлении иных законных оснований: уничтожение достигается путем затирания информации на носителях информации. Контроль выполнения процедур уничтожения ПДн осуществляет ответственный за организацию обработки ПДн.
3. Исполнение функциональных обязанностей юридического лица как работодателя;
3.1. Категории субъектов ПДн: сотрудники.
Категории обрабатываемых персональных данных: иные ПДн.
Перечень обрабатываемых ПДн: фамилия, имя, отчество; фотография (в бумажном виде); год, месяц, дата и место рождения; гражданство; пол; паспортные данные или данные иного документа, удостоверяющего личность; адрес регистрации по месту жительства; адрес фактического проживания; ИНН; данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС); семейное положение; сведения о доходах, номер(а) банковского счета и карты для выплаты заработной платы; сведения об образовании, включая научные степени и звания, о повышении квалификации, о знании иностранных языков; информация об инвалидности (при наличии), № группы, данные заключения МСЭК (при наличии); абонентский (мобильный) номер телефона; адрес личной электронной почты; сведения о воинском учете, социальных льготах; сведения о трудовой деятельности: занимаемая должность; данные о посещаемости рабочего места; результаты проведенных оценок, аттестаций и тестирования профессиональных способностей и индивидуально-психологических особенностей; о пройденных программах обучения; стаже работы и занимаемых должностях.
Сроки обработки и хранения ПДн: хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.
Порядок уничтожения ПДн при достижении целей и при наступлении иных законных оснований: уничтожение достигается путем затирания информации на носителях информации. Контроль выполнения процедур уничтожения ПДн осуществляет ответственный за организацию обработки ПДн.
3.2. Категории субъектов ПДн: бывшие сотрудники.
Категории обрабатываемых персональных данных: иные ПДн.
Перечень обрабатываемых ПДн: фамилия, имя, отчество; гражданство, пол, фотография (в бумажном виде); год, месяц, дата и место рождения; паспортные данные или данные иного документа, удостоверяющего личность; адрес регистрации по месту жительства; адрес фактического проживания; ИНН; данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС); сведения об образовании, включая научные степени и знания, о повышении квалификации, о знании иностранных языков; информация об инвалидности (при наличии), № группы, данные заключения МСЭК (при наличии); абонентский (мобильный) номер телефона; сведения о воинском учете, социальных льготах; сведения о трудовой деятельности: занимаемая должность; результаты проведенных оценок, аттестаций и тестирования профессиональных способностей и индивидуально-психологических особенностей; о пройденных программах обучения; стаже работы и занимаемых должностях;
Сроки обработки и хранения ПДн: хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.
Порядок уничтожения ПДн при достижении целей и при наступлении иных законных оснований: уничтожение достигается путем затирания информации на носителях информации. Контроль выполнения процедур уничтожения ПДн осуществляет ответственный за организацию обработки ПДн.
3.3. Категории субъектов ПДн: ближайшие родственники сотрудников.
Категории обрабатываемых персональных данных: иные ПДн.
Перечень обрабатываемых ПДн: фамилия, имя, отчество, степень родства, номер свидетельства о рождении, дата рождения.
Сроки обработки и хранения ПДн: хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.
Порядок уничтожения ПДн при достижении целей и при наступлении иных законных оснований: уничтожение достигается путем затирания информации на носителях информации. Контроль выполнения процедур уничтожения ПДн осуществляет ответственный за организацию обработки ПДн.
4. Обеспечение финансово-хозяйственной деятельности предприятия
4.1. Категории субъектов ПДн: контрагенты.
Категории обрабатываемых персональных данных: иные ПДн.
Перечень обрабатываемых ПДн: фамилия, имя, отчество контактного лица, должность, паспортные данные, данные водительского удостоверения, E-mail, контактный телефон, ИНН, КПП, номер корреспондентского счета, расчетного счета.
Сроки обработки и хранения ПДн: хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.
Порядок уничтожения ПДн при достижении целей и при наступлении иных законных оснований: уничтожение достигается путем затирания информации на носителях информации. Контроль выполнения процедур уничтожения ПДн осуществляет ответственный за организацию обработки ПДн.
4.2. Категории субъектов ПДн: арендаторы
Категории обрабатываемых персональных данных: иные ПДн.
Перечень обрабатываемых ПДн: фамилия, имя, отчество, ИНН, КПП, паспортные данные, номер корреспондентского счета, расчетного счета, адрес.
Сроки обработки и хранения ПДн: хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.
Порядок уничтожения ПДн при достижении целей и при наступлении иных законных оснований: уничтожение достигается путем затирания информации на носителях информации (в том числе и резервных копиях). Контроль выполнения процедур уничтожения ПДн осуществляет ответственный за организацию обработки ПДн.
5. Организация прохождения производственной и (или) преддипломной практики для учащихся высших и средне-специальных учебных заведений
5.1. Категории субъектов ПДн: студенты.
Категории обрабатываемых персональных данных: иные ПДн.
Перечень обрабатываемых ПДн: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; гражданство, пол, паспортные данные; адрес регистрации по месту жительства; адрес фактического проживания; ИНН; данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС); информация об образовании: наименование учебного заведения, курс, наименование и код специальности, тема дипломной работы; абонентский (мобильный) номер телефона; контактный e-mail;
Сроки обработки и хранения ПДн: хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.
Порядок уничтожения ПДн при достижении целей и при наступлении иных законных оснований: уничтожение достигается путем затирания информации на носителях информации. Контроль выполнения процедур уничтожения ПДн осуществляет ответственный за организацию обработки ПДн.
6. Организация и обеспечение дополнительного профессионального образования в форме профессиональной переподготовки»
6.1. Категории субъектов ПДн: сотрудники.
Перечень обрабатываемых ПДн: ФИО; фотография (в бумажном виде); год, месяц, дата и место рождения; паспортные данные или данные иного документа, удостоверяющего личность; адрес регистрации по месту жительства; адрес фактического проживания; ИНН; данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС); образование; информация об инвалидности (при наличии), № группы; контактный телефон; сведения о воинском учете, социальных льготах; сведения об ученической деятельности: программа обучения; данные об успеваемости и посещаемости места проведения обучения; результаты освоения образовательных программ;
Сроки обработки и хранения ПДн: хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.
Порядок уничтожения ПДн при достижении целей и при наступлении иных законных оснований: уничтожение достигается путем затирания информации на носителях информации. Контроль выполнения процедур уничтожения ПДн осуществляет ответственный за организацию обработки ПДн.
7. Организация участия в социально-корпоративных мероприятиях
7.1. Категории субъектов ПДн: сотрудники.
Категории обрабатываемых персональных данных: иные ПДн.
Перечень обрабатываемых ПДн: фамилия, имя, отчество; фотография (в бумажном виде); год, месяц, дата и место рождения; гражданство, пол, паспортные данные или данные иного документа, удостоверяющего личность; адрес регистрации по месту жительства; адрес фактического проживания; ИНН; данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС); семейное положение; сведения об образовании, включая научные степени и знания, о повышении квалификации, о знании иностранных языков; информация об инвалидности (при наличии), № группы, данные заключения МСЭК (при наличии); абонентский (мобильный) номер телефона; сведения о воинском учете, социальных льготах; сведения о трудовой деятельности: занимаемая должность; результаты проведенных оценок, аттестаций и тестирования профессиональных способностей и индивидуально-психологических особенностей; о пройденных программах обучения; стаже работы и занимаемых должностях;
Сроки обработки и хранения ПДн: хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.
Порядок уничтожения ПДн при достижении целей и при наступлении иных законных оснований: уничтожение достигается путем затирания информации на носителях информации. Контроль
выполнения процедур уничтожения ПДн осуществляет ответственный за организацию обработки ПДн.
7.2. Категории субъектов ПДн: ближайшие родственники сотрудников.
Категории обрабатываемых персональных данных: иные ПДн.
Перечень обрабатываемых ПДн: фамилия, имя, отчество, степень родства, номер свидетельства о рождении, дата рождения.
Сроки обработки и хранения ПДн: хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.
Порядок уничтожения ПДн при достижении целей и при наступлении иных законных оснований: уничтожение достигается путем затирания информации на носителях информации. Контроль выполнения процедур уничтожения ПДн осуществляет ответственный за организацию обработки ПДн.
7.3. Категории субъектов ПДн: сотрудники аффилированных компаний.
Категории обрабатываемых персональных данных: иные ПДн.
Перечень обрабатываемых ПДн: фамилия, имя, отчество; фотография (в бумажном виде); год, месяц, дата и место рождения; гражданство, пол; паспортные данные или данные иного документа, удостоверяющего личность; адрес регистрации по месту жительства; адрес фактического проживания; ИНН; данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС); семейное положение; сведения об образовании, включая научные степени и знания, о повышении квалификации, о знании иностранных языков; информация об инвалидности (при наличии), № группы, данные заключения МСЭК (при наличии); абонентский (мобильный) номер телефона; сведения о воинском учете, социальных льготах; сведения о трудовой деятельности: занимаемая должность; результаты проведенных оценок, аттестаций и тестирования профессиональных способностей и индивидуально-психологических особенностей; о пройденных программах обучения; стаже работы и занимаемых должностях;
Сроки обработки и хранения ПДн: хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.
Порядок уничтожения ПДн при достижении целей и при наступлении иных законных оснований: уничтожение достигается путем затирания информации на носителях информации. Контроль выполнения процедур уничтожения ПДн осуществляет ответственный за организацию обработки ПДн.
8. Ведение кадрового и бухгалтерского учета для аффилированных компаний
8.1. Категории субъектов ПДн: сотрудники аффилированных компаний.
Категории обрабатываемых персональных данных: иные ПДн.
Перечень обрабатываемых ПДн: фамилия, имя, отчество; фотография (в бумажном виде); год, месяц, дата и место рождения; гражданство, пол; паспортные данные или данные иного документа, удостоверяющего личность; адрес регистрации по месту жительства; адрес фактического проживания; ИНН; данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС); семейное положение; сведения об образовании, включая научные степени и знания, о повышении квалификации, о знании иностранных языков; информация об инвалидности (при наличии), № группы, данные заключения МСЭК (при наличии); абонентский (мобильный) номер телефона; сведения о воинском учете, социальных льготах;
сведения о трудовой деятельности: занимаемая должность; результаты проведенных оценок, аттестаций и тестирования профессиональных способностей и индивидуально-психологических особенностей; о пройденных программах обучения; стаже работы и занимаемых должностях;
Сроки обработки и хранения ПДн: хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.
Порядок уничтожения ПДн при достижении целей и при наступлении иных законных оснований: уничтожение достигается путем затирания информации на носителях информации. Контроль выполнения процедур уничтожения ПДн осуществляет ответственный за организацию обработки ПДн.
8.2. Категории субъектов ПДн: бывшие сотрудники аффилированных компаний
Категории обрабатываемых персональных данных: иные ПДн.
Перечень обрабатываемых ПДн: фамилия, имя, отчество; фотография (в бумажном виде); год, месяц, дата и место рождения; гражданство, пол; паспортные данные или данные иного документа, удостоверяющего личность; адрес регистрации по месту жительства; адрес фактического проживания; ИНН; данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС); сведения об образовании, включая научные степени и знания, о повышении квалификации, о знании иностранных языков; информация об инвалидности (при наличии), № группы, данные заключения МСЭК (при наличии); абонентский (мобильный) номер телефона; сведения о воинском учете, социальных льготах; сведения о трудовой деятельности: занимаемая должность; результаты проведенных оценок, аттестаций и тестирования профессиональных способностей и индивидуально-психологических особенностей; о пройденных программах обучения; стаже работы и занимаемых должностях;
Сроки обработки и хранения ПДн: хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.
Порядок уничтожения ПДн при достижении целей и при наступлении иных законных оснований: уничтожение достигается путем затирания информации на носителях информации. Контроль выполнения процедур уничтожения ПДн осуществляет ответственный за организацию обработки ПДн.
8.3. Категории субъектов ПДн: ближайшие родственники сотрудников аффилированных компаний.
Категории обрабатываемых персональных данных: иные ПДн.
Перечень обрабатываемых ПДн: фамилия, имя, отчество, степень родства, номер свидетельства о рождении, дата рождения.
Сроки обработки и хранения ПДн: хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.
Порядок уничтожения ПДн при достижении целей и при наступлении иных законных оснований: уничтожение достигается путем затирания информации на носителях информации. Контроль выполнения процедур уничтожения ПДн осуществляет ответственный за организацию обработки ПДн.
9. Подбор персонала для аффилированных компаний.
9.1. Категории субъектов ПДн: Соискатели на вакантные должности аффилированных компаний.
Категории обрабатываемых персональных данных: иные ПДн.
Перечень обрабатываемых ПДн: фамилия, имя, отчество, дата рождения, контактный телефон, контактный e-mail, адрес проживания, семейное положение, данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС); сведения об образовании, наименование учебного заведения, дата начала и окончания обучения, полученная профессия, сведения о трудовой деятельности.
Сроки обработки и хранения ПДн: хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.
Порядок уничтожения ПДн при достижении целей и при наступлении иных законных оснований: уничтожение достигается путем затирания информации на носителях информации, бумажные носители персональных данных соискателей уничтожаются путем шредированния. Контроль выполнения процедур уничтожения ПДн осуществляет ответственный за организацию обработки ПДн.
10. Продвижение товаров на рынке
10.1. Категории субъектов ПДн: клиенты (покупатели).
Категории обрабатываемых персональных данных: иные ПДн.
Перечень обрабатываемых ПДн: фамилия, имя, отчество, пол, дата рождения, контактный телефон, контактный e-mail, район проживания;
Сроки обработки и хранения ПДн: хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.
Порядок уничтожения ПДн при достижении целей и при наступлении иных законных оснований: уничтожение достигается путем затирания информации на носителях информации. Контроль выполнения процедур уничтожения ПДн осуществляет ответственный за организацию обработки ПДн.
11. Обеспечение пропускного режима
11.1. Категории субъектов ПДн: посетители зданий АО «ДИКСИ Юг»
Категории обрабатываемых персональных данных: иные ПДн.
Перечень обрабатываемых ПДн: фамилия, имя, отчество, паспортные данные, дата рождения.
Сроки обработки и хранения ПДн: хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.
Порядок уничтожения ПДн при достижении целей и при наступлении иных законных оснований: уничтожение достигается путем перезаписывания полей в базах данных. Контроль выполнения процедур уничтожения ПДн осуществляет ответственный за организацию обработки ПДн.
12. Статистический учет, анализ поведенческих характеристик
12.1. Категории субъектов ПДн: посетители сайтов https://*.dixy.ru/
Категории обрабатываемых персональных данных: иные ПДн.
Перечень обрабатываемых ПДн: фамилия, имя, отчество, контактный телефон, контактный e-mail.
Сроки обработки и хранения ПДн: хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.
Порядок уничтожения ПДн при достижении целей и при наступлении иных законных оснований: уничтожение достигается путем перезаписывания полей в базах данных. Контроль выполнения процедур уничтожения ПДн осуществляет ответственный за организацию обработки ПДн.
13. Учет рабочего времени
13.1. Категории субъектов ПДн: сотрудники.
Категории обрабатываемых персональных данных: биометрические ПДн.
Перечень обрабатываемых ПДн: фамилия, имя, отчество, табельный номер, пол, дата рождения, дата приема на работу, дата увольнения, должность, дактилоскопические данные в виде зашифрованной последовательности символов.
Сроки обработки и хранения ПДн: хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.
Порядок уничтожения ПДн при достижении целей и при наступлении иных законных оснований: уничтожение достигается путем перезаписывания полей в базах данных. Контроль выполнения процедур уничтожения ПДн осуществляет ответственный за организацию обработки ПДн.
4. Принципы, порядок и условия обработки персональных данных
4.1. При обработке персональных данных Оператор руководствуется Законодательством о персональных данных и настоящей Политикой.
4.2. Обработка персональных данных должна осуществляться на основе следующих принципов:
- Обработка персональных данных должна осуществляться на законной и справедливой основе;
- Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных, или неточных данных;
- Обработка персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни не допускается, за исключением случая получения согласия в письменной форме субъекта персональных данных, и иных случаев, предусмотренных ч.2 ст.10 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных»;
- Обработка биометрических персональных данных (фотография, используемая для идентификации, дактилоскопия и т.д.), в соответствии со статьей 11 Федерального закона № 152-ФЗ, допускается при наличии согласия субъекта.
4.3. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, Законодательством о персональных данных и настоящей Политикой. Обработка персональных данных допускается в следующих случаях:
- Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
- Обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
- Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- Обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.
4.4. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи осуществляется только при условии получения предварительного письменного согласия субъекта персональных данных.
4.5. Обработка персональных данных в Обществе проводится как с использованием средств автоматизации (информационных систем), так и без таковых с учетом требований действующего законодательства Российской Федерации.
4.6. Исключительная автоматизированная обработка персональных данных в Обществе не осуществляется. Во всех процессах обработки персональных данных с использованием средств автоматизации принимают участие работники Общества.
4.7. Если персональные данные возможно получить только у третьей стороны, субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие передающей стороной, за исключением случаев предоставления персональных данных для распространения.
4.8. В случаях, когда Оператор осуществляет обработку персональных данных по поручению третьей стороны, Оператор не обязан получать согласие субъекта персональных данных на обработку его персональных данных.
4.9. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренных Законодательством о персональных данных и настоящей Политикой. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также, должны быть указаны требования к защите обрабатываемых персональных данных в соответствии с Мерами по обеспечению безопасности персональных данных при их обработке, подтверждающие выполнение ст. 18.1 152-ФЗ «О персональных данных»
4.10. При предоставлении персональных данных третьей стороне должны выполняться следующие условия:
-Передача персональных данных (предоставление доступа к персональным данным) третьей стороне осуществляется на основании договора, существенным условием которого является обеспечение третьей стороной конфиденциальности персональных данных и безопасности персональных данных при их обработке;
-Передача персональных данных (предоставление доступа к персональным данным) третьей стороне осуществляется на основании действующего законодательства Российской Федерации;
-Наличие письменного согласия субъекта персональных данных на передачу его персональных данных третьей стороне, за исключением случаев, предусмотренных законодательством.
4.11. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
4.12. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
4.13. Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
4.14. Прекращение обработки персональных данных:
4.14.1. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
4.15. Хранение персональных данных:
4.15.1. Персональные данные на бумажных носителях, обрабатываемые без использования средств автоматизации, хранятся Оператором в запираемых шкафах в запираемых помещениях в соответствии с требованием законодательства Российской Федерации.
4.15.2. Персональные данные, содержащиеся на бумажных носителях, по истечении текущей востребованности сдаются в архив и хранятся там, в соответствии с установленными сроками хранения.
4.15.3. Персональные данные, содержащиеся на машинных носителях информации, хранятся у ответственных работников Оператора с соблюдением установленных требований информационной безопасности.
4.15.4. При сборе персональных данных, в том числе посредством информационно телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации
4.15.5. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
4.16. Блокирование персональных данных:
4.16.1. Основанием для блокирования персональных данных, относящихся к соответствующему субъекту персональных данных, является:
-Обращение или запрос субъекта персональных данных при условии подтверждения факта недостоверности, неактуальности, неполноты персональных данных, отсутствия необходимости в них для заявленной цели обработки, неправомерных действий с ними, установление факта их незаконного получения;
-Обращение или запрос законного представителя субъекта персональных данных при условии подтверждения факта недостоверности, неактуальности, неполноты персональных данных, отсутствия необходимости в них для заявленной цели обработки, неправомерных действий с ними, установление факта их незаконного получения;
-Обращение или запрос уполномоченного органа по защите прав субъектов персональных данных при условии подтверждения факта недостоверности, неактуальности, неполноты персональных данных, отсутствия необходимости в них для заявленной цели обработки, неправомерных действий с ними, установление факта их незаконного получения
4.17. Уничтожение персональных данных:
4.17.1. Уничтожение (обезличивание) персональных данных Субъекта производится в следующих случаях:
- По достижении целей их обработки или в случае утраты необходимости в их достижении;
- В случае выявления неправомерной обработки персональных данных оператором;
- В случае отзыва Субъектом персональных данных согласия на обработку его персональных данных;
- В случае истечения срока хранения персональных данных, определяемого в соответствии с законодательством РФ и организационно-распорядительными документами оператора;
- В случае предписания уполномоченного органа по защите прав субъектов персональных данных или решения суда;
- В случае выявления несовместимости целей обработки персональных данных.
4.18. Персональные данные, разрешенные субъектами персональных данных для распространения и опубликованные на сайте АО «ДИКСИ Юг не запрещены к раскрытию неопределенному кругу лиц.
При наличии условий обработки ПДн и наличии запретов и условий на обработку ПДн неограниченным кругом лицом, соответствующая информация публикуется Компанией в течение трех рабочих дней с момента получения согласия субъекта ПДн.
5. Меры, применяемые для защиты персональных данных
5.1. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них.
5.2. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
5.2.1. Назначением ответственных лиц за организацию обработки и защиты персональных данных.
5.2.2. Ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации в области персональных данных, с положениями настоящей Политики, в том числе с требованиями к защите персональных данных, локальными нормативными актами в отношении обработки персональных данных, и (или) обучением указанных работников.
5.2.3. Определением угроз безопасности персональным данным при их обработке в информационных системах персональных данных и формирование на их основе моделей угроз.
5.2.4. Разработка на основе модели угроз системы защиты персональных данных;
5.2.5. Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе персональных данных, необходимых для выполнения требований к защите персональных данных.
5.2.6. Учетом машинных носителей персональных данных.
5.2.7. Выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер, направленных на защиту персональных данных от несанкционированного доступа.
5.2.8. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
5.2.9. Контролем и ограничением доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
5.2.10. Контролем и обеспечением безопасности помещений, где осуществляется работа (в том числе, хранение) с персональными данными на бумажных носителях.
5.2.11. Контролем принимаемых мер по обеспечению безопасности персональных данных и уровнем защищенности персональных данных при их обработке в информационной системе персональных данных.
5.2.12. Организацией пропускного режима на территорию Оператора, охраной помещений с техническими средствами обработки персональных данных.
5.3. Работники Оператора, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании утвержденного Оператором списка.
5.4. Функции обеспечения контроля за выполнением организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационной системе персональных данных Оператора, возложены на ответственное структурное подразделение и работников, ответственных за организацию обработки и обеспечение безопасности персональных данных.
Технические меры защиты персональных данных при их обработке техническими средствами устанавливаются в соответствии с:
- РД ФСТЭК России — «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждены приказом ФСТЭК России № 21 от 18 февраля 2013 года;
- Приказом ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
- внутренними документами АО «ДИКСИ Юг», действующими в сфере обеспечения информационной безопасности.
6. Права субъектов персональных данных
6.1 Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
-Подтверждение факта обработки персональных данных оператором;
-Правовые основания и цели обработки персональных данных;
-Цели и применяемые оператором способы обработки персональных данных;
-Наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
-Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
-Сроки обработки персональных данных, в том числе сроки их хранения;
-Порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
-Информацию об осуществленной или о предполагаемой трансграничной передаче данных;
-Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
-Иные сведения, предусмотренные Законодательством о персональных данных.
6.2. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.3. Сведения, указанные в п. 6.1, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя.
6.4. Сведения, указанные в п. 6.1, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
6.5. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Законодательства о персональных данных, настоящей политики или иным образом нарушает его права и свободы, то он вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
6.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
6.7. Сведения о наличии персональных данных должны быть предоставлены субъекту при ответе на запрос в течение десяти рабочих дней от даты получения запроса субъекта персональных данных или его законного представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
7. Порядок взаимодействия с контролирующими (надзорными) органами
7.1. В случае наступления инцидента, повлекшего неправомерный доступ, представление, распространение, передачу персональных данных, АО «ДИКСИ Юг» в течение двадцати четырех часов с момента выявления такого инцидента уведомляет уполномоченный орган по защите прав субъектов персональных данных. В течение семидесяти двух часов АО «ДИКСИ Юг» предоставляет результаты внутреннего расследования такого инцидента.
7.2. Организация взаимодействия с уполномоченными органами по защите прав субъектов персональных данных при наступлении инцидентов осуществляется в порядке, установленном статьями 19, 21 Федерального закона № 152-ФЗ.
7.3. В соответствии с частью 4 статьи 20 Федерального закона № 152-ФЗ АО «ДИКСИ Юг» сообщает в уполномоченный орган по защите прав субъектов ПДн по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
7.4. Сбор сведений для составления мотивированного ответа на запрос надзорных органов осуществляет ответственный за организацию обработки ПДн при необходимости с привлечением сотрудников АО «ДИКСИ Юг».
7. В течение установленного законодательством срока ответственный за организацию обработки ПДн подготавливает и направляет в уполномоченный орган мотивированный ответ и другие необходимые документы.
8. Заключительные положения
8.1. Каждый работник Оператора несет персональную ответственность за разглашение персональных данных, доступ к которым он получил. Оператор и/или работники Оператора, виновные в нарушении требований законодательства о персональных данных, а также положений настоящей Политики, несут предусмотренную законодательством Российской Федерации ответственность.
8.2. Настоящая Политика подлежит пересмотру в случае изменения законодательства Российской Федерации в области персональных данных.
8.3. Настоящая Политика обязательна для соблюдения и подлежит доведению до всех работников Общества. Контроль соблюдения Политики осуществляет лицо или структурное подразделение, ответственное за обеспечение безопасности персональных данных.