Горячая линия:  8-800-234-3320

Политика обработки персональных данных

Скачать политику обработки персональных данных (3465Kb)

Скачать согласие на обработку персональных данных (672Kb)

 

Политика АО «Витимэнергосбыт» в отношении обработки персональных данных

УТВЕРЖДЕНА
приказом директора 
АО «Витимэнергосбыт»
от 21 августа 2023 г. № 69-п

1. Назначение и область применения

1.1 Настоящая Политика АО «Витимэнергосбыт» в отношении обработки персональных данных (далее – Политика) предназначена для определения общих принципов обработки персональных данных работников АО «Витимэнергосбыт» (далее – Общество) и иных лиц, чьи персональные данные обрабатываются Обществом с целью обеспечения защиты прав и свобод человека и гражданина – субъекта персональных данных, при обработке его персональных данных (далее – ПДн).
1.2 В соответствии с подпунктом 2 статьи 3 Федерального закона от 27 июля 2006 г.
№152-ФЗ «О персональных данных» (далее – Закон) Общество является оператором, то есть юридическим лицом, самостоятельно или совместно с другими лицами организующим и (или) осуществляющим обработку ПДн, а также определяющим цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн. 
1.1 Действие настоящей Политики распространяется на все операции, совершаемые в Обществе с ПДн при использовании средств автоматизации или без их использования.
1.3 Настоящая Политика обязательна для ознакомления и исполнения всеми работниками Общества.
1.4 Обеспечение неограниченного доступа к настоящей Политике реализуется путем ее размещения в общедоступных помещениях Общества, публикации на сайте Общества в сети Интернет по адресу https://www.vitimenergosbyt.ru либо иным способом.

2. Термины и сокращения

2.1 Термины

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники
Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)
Закон Федеральный закон от 27 июля 2006 г. №152-ФЗ 
«О персональных данных»
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и
технических средств
Контрагент – физические, юридические лица и индивидуальные предприниматели, заключающие или заключившие договор с Обществом
Конфиденциальность персональных данных – состояние защищенности персональных данных, при котором Операторы и иные лица, получившие доступ к персональным данным, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление), предоставление доступа или осуществление логических и (или) арифметических операций с такими данными, обезличивание, блокирование, удаление, уничтожение персональных данных
Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
Общество Акционерное общество «Витимэнергосбыт» 
Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных)
Персональные данные, разрешенные субъектом персональных данных для распространения – 
персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, в порядке, предусмотренном Законом
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц
Распространение персональных данных – действия Оператора или самого субъекта персональных данных, направленные на раскрытие персональных данных неопределенному кругу лиц
Специальные категории персональных данных – данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни
Субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу
Третьи лица – государственный орган, муниципальный орган, юридическое или физическое лицо, осуществляющее обработку ПДн, которому переданы, предоставлен доступ к ПДн, либо поручена обработка ПДн по поручению оператора ПДн с согласия субъекта ПДн, если иное не предусмотрено федеральным законом
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных
Уполномоченные представители Контрагента – лица, уполномоченные представлять организацию Контрагента на основании ее учредительных документов либо доверенности.

2.1 Сокращения

АО «Витимэнергосбыт» – Акционерное общество «Витимэнергосбыт»
ИСПДн – информационная система персональных данных
ЛНА – локальный нормативный акт
ПДн – персональные данные
РФ – Российская Федерация
ФЗ – Федеральный закон

3. Общие положения

3.1 Общество, являясь Оператором персональных данных (регистрационный номер в реестре операторов персональных данных Роскомнадзора №08-0009827), осуществляет обработку персональных данных нижеуказанных субъектов персональных данных по заранее определённым основаниям, целям, составу и срокам:

  • Соискатели на замещение вакантных должностей (кандидаты)

В составе и сроком, необходимых для цели:
принятия Обществом решения о приеме на работу либо отказе в приеме на работу, а также содействия в трудоустройстве. 
Основанием обработки ПДн является согласие субъекта ПДн, Трудовой кодекс Российской Федерации, требования законодательства об архивном хранении документов, образующихся в процессе деятельности организаций.

  • Родственники кандидатов, иные связанные и взаимозависимые с кандидатом лица

В составе и сроком, необходимых для цели:
управления рисками конфликта интересов при рассмотрении вопроса о трудоустройстве кандидата.
Основанием обработки ПДн является поручение кандидата на обработку ПДн его родственников, иных связанных и взаимозависимых с ним лиц либо согласие субъекта ПДн.

  • Работники Общества

В составе и сроком, необходимых для целей:
выполнения возложенных законодательством РФ на Общество функций, полномочий и обязанностей как работодателя (в т.ч. осуществление кадрового, бухгалтерского, пенсионного, налогового учета, обязательного социального страхования работников, выполнения санитарно-эпидемиологических требований и норм, требований к охране труда и промышленной безопасности, представление установленной законодательством РФ отчетности).
Основанием обработки являются требования Законодательства.

А также в составе и сроком, необходимых для целей:

  • выполнения бизнес-процессов Общества, предусмотренных ЛНА.
  • предоставления компенсаций и льгот, страхования в случаях, предусмотренных ЛНА Общества.

Основанием обработки ПДН является согласие субъекта ПДн, требования законодательства об архивном хранении документов, образующихся в процессе деятельности организаций.

  • Родственники и иждивенцы работников Общества

В составе и сроком, необходимых для цели: 
предоставление работникам и членам их семей дополнительных гарантий, компенсаций и льгот.
Основанием обработки ПДН является согласие субъекта ПДн.

А также в составе и сроком, необходимых для целей:
выполнения возложенных законодательством на Общество полномочий и обязанностей как работодателя; в том числе извещение о несчастном случае с работником Общества.
Основанием обработки ПДн являются требования законодательства о расследовании несчастных случаев, об архивном хранении документов, образующихся в процессе деятельности организаций. 

  • Лица, ранее состоящие в трудовых отношениях с Обществом (бывшие работники Общества)

В составе и сроком, необходимых для целей:
выполнения требований нормативно правовых актов об архивном хранении документов, образующихся в процессе деятельности организаций.
Основанием обработки ПДн являются требования нормативно-правовых актов об архивном хранении документов, образующихся в процессе деятельности организаций.

  • Уполномоченные представители контрагентов, потенциальных контрагентов Общества

В составе и сроком, необходимых для целей: 
исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является контрагент, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
Основанием обработки ПДн является заключаемые договоры с Контрагентом, требования законодательства об архивном хранении документов, образующихся в процессе деятельности организаций.

  • Работники Контрагентов Общества

В составе и сроком, необходимых для целей: 
исполнения договоров с контрагентами, выполнения работниками контрагента работ по договору.
Основанием обработки Пдн является договор с контрагентом, содержащий поручение обработки ПДн его работников либо согласие субъекта ПДн.

  • Отправители входящей корреспонденции (официальные письма, телеграммы, почтовые отправления)

В составе и сроком, необходимых для целей: 
подготовки ответа на официальные письма, телеграммы, почтовые отправления, поступившие в адрес Общества.
Основанием обработки ПДн является согласие субъекта ПДн, выраженное в конклюдентной форме посредством направления письма в адрес Общества, требования законодательства об архивном хранении документов, образующихся в процессе деятельности организаций.

Сроки обработки ПДн для каждой категории субъектов ПДн определяются Обществом с учетом:

  • установленных целей обработки ПДн;
  • сроков, указанных в договорах с субъектами ПДн;
  • сроков, указанных в согласии субъектов ПДн;
  • сроков, указанных в нормативно-правовых актах, устанавливающих сроки хранения ПДн.

Сроки обрабатываемых Обществом ПДн, перечень ПДн для каждой категории субъектов ПДн применительно к целям обработки, а также перечень действий с персональными данными перечислены в Методических указаниях Общества «Перечень обрабатываемых персональных данных».

4. Порядок и условия обработки ПДн в Обществе, соблюдение конфиденциальности персональных данных

4.1 Общество осуществляет обработку ПДн на законной и справедливой основе.
4.2 Обработка ПДн в Обществе ограничивается достижением конкретных заранее определенных и законных целей. Содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки. 
4.3 Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
4.4 Не допускается обработка ПДн по истечению установленных сроков обработки. 
4.5 Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4.6 При обработке ПДн обеспечиваются их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Общество принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
В случае подтверждения факта неточности персональных данных данные подлежат актуализации оператором. При выявлении неправомерности обработки ПДн, обработка должна быть прекращена.
4.7 В Обществе в целях информационного обеспечения с письменного согласия субъекта ПДн могут создаваться общедоступные источники ПДн. Сведения о субъекте ПДн исключаются из общедоступных источников ПДн по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов.
4.8 Общество может осуществлять обработку ПДн, разрешенных субъектом ПДн для распространения, при соблюдении положений ст. 10.1 Закона и при наличии согласия субъекта ПДн, которое оформляется отдельно от иных согласий субъекта ПДн на обработку его ПДн.
4.9 Общество не осуществляет обработку специальных категорий ПДн, за исключением случаев, предусмотренных частью 2 статьи 10 Закона. При этом Общество выполняет все требования к обработке специальных категорий ПДн, предусмотренные Законом.
4.10 Общество не осуществляет обработку биометрических ПДн.
4.11 При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети «Интернет», и при осуществлении хранения ПДн Общество использует базы данных, находящиеся на территории Российской Федерации.
4.12 Общество не осуществляет обработку ПДн в целях продвижения товаров, работ и услуг Общества на рынке.
4.13 В Обществе не осуществляется принятие решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы на основании исключительно автоматизированной обработки ПДн.
4.14 Общество может осуществлять обработку ПДн по поручению других операторов.
4.15 С согласия субъекта ПДн Общество может поручить обработку ПДн иным лицам, осуществляющим обработку ПДн. Передача и поручение обработки ПДн третьим лицам осуществляется при условии получения согласия субъекта ПДн и при наличии договора поручения на обработку персональных данных, соответствующего требованиям Закона. Ответственность перед субъектом ПДн за действия указанных лиц несет Общество. 
4.16 Доступ к персональным данным может быть предоставлен субъекту персональных данных по его соответствующему запросу в адрес Общества.
4.17 Порядок реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений изложены в Положении об обработке персональных данных Общества.
4.18 Кроме того, Общество вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
4.19 Общество осуществляет обработку ПДн с использованием средств автоматизации и без их использования. При этом Общество выполняет все требования к автоматизированной и неавтоматизированной обработке ПДн, предусмотренные Законом и принятыми в соответствии с ним нормативными правовыми актами.
4.20 В Обществе разработаны и введены в действие локальные нормативные акты и документы, устанавливающие порядок обработки и обеспечения безопасности ПДн, которые обеспечивают соответствие требованиям Закона и принятых в соответствии с ним нормативных правовых актов.
4.21 Мобильное приложение Общества использует сторонние сервисы, которые могут собирать информацию, используемую для идентификации Субъекта ПДн.
Ссылки на политики конфиденциальности сторонних поставщиков услуг, используемых приложением:
Сервисы Google Play (https://policies.google.com/privacy);
Firebase Crashlytics (https://firebase.google.com/support/privacy)
Общество информирует Субъекта ПДн о том, что при использовании мобильного приложения Общества, в случае ошибки в приложении Общество собирает данные и информацию (через сторонние сервисы) на устройстве Субъекта ПДн, называемые данными журнала (Log Data) для целей устранения данных ошибок. Данные журнала (Log Data) могут включать в себя такую информацию, как IP-адрес устройства Субъекта ПДн, имя устройства, версию операционной устройстве, конфигурацию мобильного приложения, время и дату использования, а также другие статистические данные. 
4.22 Общество не осуществляет трансграничную передачу персональных данных. 
4.23 Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, а также по обращению субъекта персональных данных, если иное не предусмотрено федеральным законодательством.

5. Права и обязанности субъектов ПДн, обрабатываемых Обществом

5.1 Субъект ПДн вправе обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке в случае, если он считает, что обработка его ПДн осуществляется с нарушением требований Закона или иным образом нарушает его права и свободы.
5.2 Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
5.3 Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, за исключением случаев, предусмотренных ч. 8 ст. 14 Закона, когда такое право может быть ограничено в соответствии с федеральными законами. 
Для получения указанной информации субъект ПДн может отправить письменный запрос по месту нахождения Общества в порядке, установленном ч. 3 – 5 ст.14 Закона.
5.4 Субъект персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, вправе требовать от Общества прекращения обработки персональных данных, их уточнения, блокирования или уничтожения, а также принимать предусмотренные Законом меры по защите своих прав.

6. Права и обязанности Оператора

6.1 Общество, являясь Оператором, уведомило уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн и внесено в Реестр операторов ПДн.
6.2 Общество выполняет обязанности Оператора при сборе персональных данных, предусмотренные ст. 18 Закона при сборе ПДн.
6.3 Общество обязано прекратить обработку ПДн в следующих случаях:

  • по достижении сроков и (или) целей обработки либо в случае утраты необходимости в достижении этих целей;
  • по требованию субъекта ПДн, если обрабатываемые в Обществе персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • в случае выявления неправомерной обработки ПДн, если обеспечить правомерность обработки ПДн невозможно;
  • в случае отзыва субъектом ПДн согласия на обработку его ПДн (если персональные данные обрабатываются Обществом на основании согласия субъекта ПДн);
  • устранения причины, вследствие которых осуществлялась обработка ПДн, если иное не установлено федеральным законом;
  • в случае ликвидации Общества.

6.4 Общество в соответствии со ст. 18.1 Закона определило состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актам, к которым, в частности, относятся следующие меры:

  • приказом директора Общества назначен Ответственный за организацию обработки ПДн;
  • изданы локальные акты по вопросам обработки и обеспечения безопасности ПДн, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, проведение внутреннего контроля соблюдения требований к обработке ПДн и устранение последствий нарушений;
  • утвержден перечень информационных систем, в которых осуществляется обработка ПДН;
  • утвержден перечень лиц, которым необходим доступ в информационные системы персональных данных для выполнения должностных обязанностей и лиц, осуществляющих неавтоматизированную обработку ПДн;
  • осуществляется внутренний контроль и (или) аудит соответствия обработки персональных данных Закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике и иным локальным актам Общества по вопросам обработки ПДн;
  • проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона и соотношения указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей Оператора, предусмотренных настоящим Федеральным законом;
  • работники, непосредственно осуществляющие обработку ПДн, ознакомлены с положениями законодательства Российской Федерации о ПДн, в том числе с требованиями к защите ПДн, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных. Проводится внутренне обучение указанных работников;
  • применены организационные и технические меры по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;
  • обеспечен неограниченный доступ к документу, определяющему Политику Общества в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите ПДн;
  • соблюдаются обязательные требования по обеспечению записи, систематизации, накоплению, хранению, уточнению (обновлению, изменению), извлечению ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, при сборе ПДн;
  • реализованы требования, установленные Постановлением Правительства РФ от 15 сентября 2008 г. №687 «Об утверждении Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации»;
  • обеспечивается непрерывное взаимодействие Общества с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование о компьютерных инцидентах, повлекших неправомерные доступ, представление, распространение, передачу персональных данных.

7. Нормативные ссылки

  • Конвенция Совета Европы №108 о защите личности в связи с автоматической обработкой персональных данных;
  • Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных».

8. Порядок актуализации и внесения изменений

8.1 Политика подлежит актуализации в случаях:

  • изменения законодательства РФ о ПДн;
  • выявления несоответствий, затрагивающих обработку и (или) защиту ПДн, по результатам внутреннего контроля выполнения требований к обработке и (или) защите ПДн.

8.2 Ответственным за актуализацию Политики является лицо, ответственное за организацию обработки ПДн Общества. Планируемые изменения предоставляются в Дирекцию по безопасности Общества для анализа практической целесообразности таких изменений. При положительной оценке целесообразности изменений далее они проходят процедуру согласования в установленном в Общества порядке.

9. Контроль и ответственность за исполнение Политики

9.1 Контроль выполнения требований Политики.
Контроль за соблюдением требований Политики осуществляет ответственный за организацию обработки ПДн в Обществе.
9.2 Ответственность работников.
Работники Общества, осуществляющие обработку персональных данных, несут дисциплинарную и иную предусмотренную законодательством ответственность за несоблюдение требований Политики. Наложение дисциплинарных взысканий за неисполнение или ненадлежащее исполнения требований настоящей Политики проводится в соответствии с нормами трудового законодательства Российской Федерации и в соответствии с действующими ЛНА Общества.

Контактный центр обслуживания потребителей АО «Витимэнерго» (по вопросам отключения электроэнергии)

Способы информирования потребителей

Коммуникационная система линии безопасности

Сообщите информацию о всех противоправных действиях следующими способами:

здесь Вы можете сообщить о фактах энерговоровства