23.12.2015 764
О защите персональных данных в
ПАО «МРСК Северного Кавказа»
Во исполнение Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (в редакции Федеральных законов от 04.06.2011
№ 123-ФЗ, от 25.07.2011№ 261-ФЗ, от 05.04.2013 № 43-ФЗ, от 23.07.2013 № 205-ФЗ, от 21.12.2013 № 363-ФЗ, от 04.06.2014 №142-ФЗ, от 21.07.2014
№ 216-ФЗ, от 21.07.2014 №242-ФЗ)
ПРИКАЗЫВАЮ:
1. Утвердить Положение об обработке и защите персональных данных в ПАО «МРСК Северного Кавказа» и управляемых Обществах (далее – Положение) согласно Приложению к настоящему приказу.
2. Первому заместителю Генерального директора - главному инженеру Мисирову Б.Х., заместителям Генерального директора Медалиеву М.Х., Шувалову В.В., Полякову С.А., исполняющим обязанности заместителей Генерального директора Куюмчеву В.В., Циканову А.М., Решетникову М.Ю., Осиповой Н.Н., Ковтунову С.Г., директору Дирекции внутреннего аудита и контроля Долгову А.Ф., руководителю Дирекции антикоррупционных комплаенс процедур Сафонову М.А. обеспечить:
2.1. Исполнение требований по защите персональных данных, предусмотренных Положением.
2.2. Ознакомление под подпись подчиненных работников с настоящим приказом.
3. Директорам филиалов ПАО «МРСК Северного Кавказа»
Демчаку И.В., Губжокову Ю.М., Лайпанову С.Х., Лолаеву А.Б., исполняющему обязанности директора Ингушского филиала
ПАО «МРСК Северного Кавказа» Аушеву А.М., исполняющему обязанности директора филиала ПАО «МРСК Северного Кавказа» - «Дагэнерго»
Амирову А.М., управляющим директорам АО «Чеченэнерго»
Муртазалиеву С-Х.С., АО «Дагестанская сетевая компания» Гимбатову Г.М., ОАО «Дагэнергосеть» Амирову А.М., ПАО «Севкавказэнерго» Закаеву К.Н.,
АО «Калмэнергосбыт» Деревенченко И.В., АО «Карачаево-Черкесскэнерго» Чотчаеву Х.А-А., ПАО «Каббалкэнерго» Докшукину А.И., исполняющим обязанности управляющих директоров ПАО «Дагестанская энергосбытовая компания» Гимбатову Г.М., АО «Ингушэнерго» Дзаурову М.М.,
ОАО «Нурэнерго» Ибиеву В.Х. обеспечить:
3.1. Исполнение требований по защите персональных данных, предусмотренных Положением.
3.2. Ознакомление под подпись подчиненных работников с настоящим приказом.
3.3. Назначение работника, ответственного за обеспечение безопасности персональных данных и соблюдение требований по обработке персональных данных в соответствии с Федеральными законами Российской Федерации и Положением.
Срок: в течение 2 недель с даты выхода настоящего приказа.
4. Контроль за исполнением настоящего приказа возложить на заместителя Генерального директора по безопасности Медалиева М.Х.
5. Считать приказ ОАО «МРСК Северного Кавказа» от 28.03.2011 № 62 «О защите персональных данных» утратившим силу.
Генеральный директор Ю.В. Зайцев
Рассылается: ДУД, ЗГД, Долгов А.Ф., Сафонов М.А., директора филиалов, управляющие директора Обществ.
Исхаки Н.М-К. 12-54
Маркелов А.А. 16-93
Визы: Мисиров Б.Х., Медалиев М.Х., Шувалов В.В., Куюмчев В.В.,
Циканов А.М., Осипова Н.Н., Решетников М.Ю., Поляков С.А., Ковтунов С.Г.,
Долгов А.Ф., Сафонов М.А.
Приложение к приказу
ПАО «МРСК Северного Кавказа»
от 23.12.2015 № 764
Положение
об обработке и защите персональных данных
в ПАО «МРСК Северного Кавказа» и управляемых Обществах
1. Общие положения
1.1. Настоящее Положение об обработке и защите персональных данных в ПАО «МРСК Северного Кавказа» и управляемых Обществах (далее - Положение) разработано в соответствии с Трудовым кодексом Российской Федерации, Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Федеральный закон),», постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», а также локальными актами ПАО «МРСК Северного Кавказа» (далее - Общество) и управляемых Обществ и устанавливает единый порядок обработки и защиты персональных данных в Обществе и управляемых Обществах.
1.2. Цель разработки Положения - определение порядка обработки и защиты персональных данных работников Общества и управляемых Обществ, иных субъектов персональных данных, персональные данные которых подлежат обработке и защите, на основании полномочий Общества и управляемых Обществ; обеспечение защиты прав и свобод граждан Российской Федерации при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.3. На основании Федерального закона Общество и управляемые Общества являются операторами персональных данных.
1.4. Порядок ввода в действие и изменения Положения.
1.4.1. Настоящее Положение вступает в силу с момента его утверждения Генеральным директором Общества и действует бессрочно, до замены его новым Положением.
1.4.2. Все изменения в Положение вносятся приказом Общества.
1.5. Положение является локальным нормативным актом Общества, обязательным для выполнения всеми работниками, состоящими с Обществом и управляемыми Обществами в трудовых отношениях. Работники Общества и управляемых Обществ знакомятся с настоящим Положением под роспись.
1.6. Разработка требований по обеспечению безопасности персональных данных в Обществе и управляемых Обществах, контроль их исполнения возлагается на Департамент безопасности Общества.
1.7. Реализация мероприятий по обеспечению безопасности персональных данных в Обществе и управляемых Обществах возлагается:
на подразделения, обрабатывающие и хранящие персональные данные работников Общества и управляемых Обществах без применения средств автоматизации;
на подразделения, обрабатывающие и хранящие персональные данные иных субъектов персональных данных, данные которых подлежат обработке на основании полномочий Общества и управляемых Обществ как операторов персональных данных без использования средств автоматизации;
на подразделения, обрабатывающие и хранящие персональные данные работников Общества и управляемых Обществ и иных субъектов персональных данных, персональные данные которых подлежат обработке с применением средств автоматизации.
1.8. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 75 лет срока их хранения, или продлевается на основании заключения специально созданной экспертной комиссии Общества и управляемых Обществ, если иное не определено законом.
2. Основные понятия и состав персональных данных
2.1. В Положении используются следующие основные понятия:
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
уполномоченные работники - работники Общества или управляемого Общества, непосредственно осуществляющие обработку персональных данных субъектов персональных данных;
обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных (далее - ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;
общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
общедоступные источники персональных данных - в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных;
обработка персональных данных без использования средств автоматизации (неавтоматизированная) - обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных осуществляются при непосредственном участии человека.
2.2. В Обществе и управляемых Обществах обрабатываются следующие персональные данные работников и иных субъектов персональных данных, персональные данные которых подлежат обработке, на основании полномочий оператора персональных данных: фамилия, имя, отчество, паспортные данные (номер, серия, кем и когда выдан, дата выдачи), место рождения, адрес регистрации, место жительства, номера ИНН, страхового пенсионного удостоверения, доходы работника (учитываемые Обществом и управляемыми Обществами в рамках полномочий налогового агента), данные об образовании, отношении к воинской обязанности, семейном положении, предыдущих местах работы, автобиографические сведения.
2.3. Перечень документов, сопровождающий процесс оформления трудовых отношений работника в Обществе и управляемых Обществах при его приеме, переводе и увольнении.
2.3.1. Информация, предоставляемая субъектом персональных данных при поступлении на работу в Общество или управляемые Общества, должна иметь документальную форму. При заключении трудового договора лицо, поступающее на работу, предъявляет оператору персональных данных:
паспорт или иной документ, удостоверяющий личность;
трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
страховое свидетельство государственного пенсионного страхования;
документы воинского учета - для военнообязанных и лиц, подлежащих воинскому учету;
документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
свидетельство о присвоении ИНН.
2.3.2. При оформлении работника в Общество или управляемое Общество сотрудником кадровой службы заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные:
общие сведения (фамилия, имя, отчество, паспортные данные, дата рождения, место рождения, гражданство, место жительства, адрес регистрации, образование, профессия, стаж работы, состояние в браке, состав семьи);
сведения о воинском учете;
данные о приеме на работу.
В дальнейшем в личную карточку вносятся:
сведения о переводах на другую работу;
сведения об аттестации;
сведения о повышении квалификации;
сведения о профессиональной переподготовке;
сведения о наградах (поощрениях), почетных званиях;
сведения об отпусках;
сведения о социальных гарантиях;
сведения о контактных телефонах.
2.3.3. В подразделениях управления персоналом Общества и управляемых Обществ создаются и хранятся следующие группы документов, содержащие персональные данные:
документы, содержащие персональные данные работников Общества и управляемых Обществ (комплекты документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении); комплект материалов по анкетированию, тестированию; комплект материалов по проведению собеседований при приёме на работу; подлинники и копии приказов по личному составу; личные дела и трудовые книжки сотрудников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации сотрудников, служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Общества и управляемых Обществ, руководителям структурных подразделений; копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения);
документация по организации работы структурных подразделений (приказы, распоряжения, указания руководства Общества и управляемых Обществ); документы по планированию, учету, анализу и отчетности в части работы с персоналом Общества и управляемых Обществ.
3. Доступ к персональным данным в Обществе и управляемых Обществах
3.1. Доступ к персональным данным в Обществе и управляемых Обществах разрешается работникам Общества и управляемых Обществ согласно утверждённому списку лиц. Списки лиц формируются подразделениями безопасности Общества и управляемых Обществ по представлению подразделений, обрабатывающих персональные данные субъектов, утверждаются в Обществе - Генеральным директором Общества, в филиалах и управляемых Обществах - директором филиала и руководителем управляемого Общества и обновляются 2 раза в год: 15 января и 15 июня. Обновлённые списки поступают в Департамент безопасности Общества, а также назначенному работнику ответственному за обеспечение безопасности персональных данных в филиалах Общества и управляемых Обществах. Указанные в списках лица имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.
3.2. Доступ к персональным данным в Обществе и управляемых Обществах разрешается руководству Общества и управляемых Обществ. Руководителям структурных подразделений к персональным данным исключительно работников структурного подразделения или доступа к персональным данным субъектов в части учета результатов исполнения договорных обязательств по направлению деятельности.
3.3. Копировать и делать выписки персональных данных субъекта персональных данных разрешается исключительно в служебных целях.
3.4. Передача персональных данных субъекта персональных данных третьей стороне возможна только при его письменном согласии, если иное не предусмотрено Федеральным законом.
|
