Политика в отношении обработки персональных данных Публичного акционерного общества «Форвард Энерго»

1. Общие положения

1.1. Политика в отношении обработки персональных данных Публичного акционерного общества «Форвард Энерго» (ПАО «Форвард Энерго») (далее – «Политика»), разработана в соответствии с требованиями законодательства Российской Федерации в области персональных данных, основанного на Конституции Российской Федерации и состоящего из Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «Закон») и иных федеральных законов и подзаконных нормативных правовых актов, регулирующих вопросы обработки и защиты персональных данных.

1.2. Политика направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных ПАО «Форвард Энерго» и определяет принципы, цели, порядок, условия, сроки обработки и хранения персональных данных, порядок уничтожения персональных данных; меры, принимаемые ПАО «Форвард Энерго» с целью исполнения обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных; права субъектов персональных данных.

1.3. Положения Политики служат основой для разработки локальных актов ПАО «Форвард Энерго», регулирующих вопросы обработки и защиты персональных данных.

2. Основные термины и определения

2.1. Термины и определения, содержащиеся в Политике:

  • Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
  • Оператор – Публичное акционерное общество «Форвард Энерго» (ПАО «Форвард Энерго»), 123112, г.Москва, Пресненская наб., д.10, эт.15, пом.20, ОГРН 1058602102437, ИНН 7203162698, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
  • Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
  • Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
  • Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
  • Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
  • Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
  • Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).
  • Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
  • Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
  • Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

3. Принципы обработки персональных данных

3.1. Оператор осуществляет обработку персональных данных руководствуясь следующими принципами:

  • обработка персональных данных осуществляется на законной и справедливой основе;
  • обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
  • не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
  • не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • обработке подлежат только те персональные данные, которые отвечают целям их обработки;
  • содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
  • при обработке персональных данных обеспечивается их точность и достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры (обеспечивает их принятие) по удалению или уточнению неполных, устаревших, неактуальных или неточных персональных данных;
  • хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

4. Условия обработки персональных данных

4.1. Персональные данные обрабатываются Оператором в следующих целях:

  • регулирование отношений с соискателями (претендентами на вакантные должности Оператора), кандидатами (претендентами на вакантные должности Оператора, прошедшими первичный отбор Оператора);
  • исполнение Оператором обязанностей, возникающих в рамках трудовых и связанных с ними отношений;
  • регулирование трудовых и связанных с ними отношений;
  • предоставление работникам Оператора и/или их несовершеннолетним родственникам (детям) мер поддержки, установленных Оператором;
  • обеспечение корпоративной деятельности Оператора;
  • исполнение обязательств, возникающих у Оператора в отношении бывших работников Оператора;
  • регулирование отношений с контрагентами, представителями контрагентов.

4.2. Содержание каждой цели обработки персональных данных, а равно определяемые для каждой цели обработки категории субъектов, персональные данные которых обрабатываются, категории и перечень обрабатываемых персональных данных, правовые основания обработки персональных данных, перечень действий, совершаемых с персональными данными, содержатся в Приложении № 1 к Политике.

4.3. Обработка персональных данных осуществляется с согласия субъекта персональных данных и (или) на иных правовых основаниях, предусмотренных частью 1 статьи 6 Закона.

4.3.1. Субъект персональных данных принимает решение о предоставлении его персональных данных Оператору и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

4.3.2. Согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных.

4.3.3.  В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Оператором.

4.3.4. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных согласно требований, установленных законодательством Российской Федерации в области персональных данных. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.

4.3.5. В случаях, предусмотренных законодательством Российской Федерации, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

4.3.6. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

  • фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
  • наименование и адрес Оператора;
  • цель обработки персональных данных;
  • перечень персональных данных на обработку которых дается согласие субъекта персональных данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
  • подпись субъекта персональных данных.

4.4. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных законодательством Российской Федерации.

4.5. Оператор не раскрывает третьим лицам и не распространяет персональные данные без соответствующего согласия субъекта персональных данных или иного правового основания, предусмотренного законодательством в области персональных данных. Оператор вправе предоставлять персональные данные (доступ к ним) третьим лицам на основании требований законодательства Российской Федерации, а также на основании договора (соглашения), стороной, выгодоприобретателем или поручителем по которому является субъект персональных данных.

4.6. Оператор вправе с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, поручить обработку персональных данных другому лицу и (или) осуществлять обработку персональных данных по поручению другого лица в порядке и на условиях, предусмотренных требованиями частей 3-6 статьи 6 Закона.

4.7. Доступ к персональным данным ограничен и предоставляется соответствии с утвержденным Оператором списком лиц и/или должностей работников, имеющих доступ к персональным данным при исполнении своих должностных обязанностей.

4.8. Обработка персональных данных в рамках целей обработки, указанных в пункте 4.1 Политики и Приложения №1 к Политике, осуществляется с использованием средств автоматизации, без использования средств автоматизации, с передачей по внутренней сети Оператора, с передачей по сети Интернет.

4.9. Обработка персональных данных осуществляется с использованием баз данных, находящихся на территории Российской Федерации.

5. Сроки обработки и хранения персональных данных

5.1. Сроки обработки и хранения персональных данных, обрабатываемых в рамках целей, указанных в пункте 4.1 Политики и Приложении №1 к Политике, устанавливаются с учетом правовых оснований обработки персональных данных, указанных в Приложении №1 к Политике.

5.2. Срок обработки и хранения персональных данных в зависимости от цели обработки обусловлен:

  • сроком достижения цели обработки персональных данных или моментом утраты необходимости в ее достижении;
  • сроком или условием прекращения обработки персональных данных, установленным согласием на обработку персональных данных;
  • отзывом согласия на обработку персональных данных;
  • моментом выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
  • сроком действия договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
  • сроком обработки и хранения персональных данных, предусмотренных законодательством Российской Федерации, локальными актами Оператора, в т.ч. в части архивного хранения документов, содержащих персональные данные.

6. Уничтожение персональных данных

6.1. Уничтожение персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации в области персональных данных, в порядке, установленном Оператором, уполномоченными лицами, определяемыми Оператором.

6.2. Способы уничтожения персональных данных, обрабатываемых в рамках целей, указанных в пункте 4.1 Политики и Приложении №1 к Политике, определяются уполномоченными лицами Оператора в зависимости от способов обработки персональных данных и материальных носителей, содержащих персональные данные.

6.3. Уничтожение персональных данных, подтверждается составлением соответствующего акта и/или выгрузкой их журнала регистрации событий в информационной системе персональных данных, соответствующих требованиям законодательства Российской Федерации в области персональных данных.

7. Меры, направленные на исполнение обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных

7.1. С целью исполнения обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных, Оператором приняты меры, предусмотренные статьями 18.1 и 19 Закона, включающие, в частности:

  • назначение лица, ответственного за организацию обработки персональных данных;
  • утверждение Политики и принятие локальных актов Оператора по вопросам обработки и защиты персональных данных;
  • осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных законодательству Российской Федерации в области персональных данных, требованиям к защите персональных данных, локальным актам Оператора и Политике;
  • проведение оценки вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Закона, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом;
  • осуществление ознакомления работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и обучение работников Оператора;
  • обеспечение раздельного хранения персональных данных и их носителей в зависимости от целей обработки и категорий таких персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
  • соблюдение условий при хранении материальных носителей, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ;
  • принятие правовых, организационных и технических мер, обеспечивающих защиту персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

7.2. Обеспечение безопасности персональных данных достигается, в частности:

  • определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
  • применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
  • восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  • контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

8. Права субъектов персональных данных

8.1. Субъекты персональных данных вправе:

  • иметь доступ к своим персональным данным, включая получение полной и достоверной информации, касающейся обработки их персональных данных Оператором, предусмотренной частью 7 статьи 14 Закона, ознакомление с персональными данными, которые относятся к субъектам персональных данных, за исключением случаев, когда ограничение доступа предусмотрено федеральным законом;
  • требовать уточнения персональных данных если персональные данные являются неполными, устаревшими, неактуальными или неточными.
  • требовать блокирования или уничтожения персональных данных если персональные данные являются незаконно полученными или необходимыми для достижения заявленных целей обработки;
  • предоставлять и отзывать свои согласия на обработку персональных данных;
  • требовать прекращения обработки персональных данных;
  • осуществлять иные права, предусмотренные законодательством Российской Федерации.

8.2. Для реализации права доступа к своим персональным данным, субъекты персональных данных могут лично или в лице своих представителей обращаться и (или) направлять запросы Оператору. Запросы могут быть направлены в форме бумажного документа по адресу: 123112, г.Москва, Пресненская наб., д.10, эт.15, пом.20, а равно в форме электронного документа, подписанного в соответствии с законодательством Российской Федерации электронной подписью, по адресу электронной почты forwardenergy [at] frwd [dot] energy.

8.3. Запрос в соответствии с частью 3 статьи 14 Закона должен содержать:

  • номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя;
  • сведения о дате выдачи указанного документа и выдавшем его органе;
  • сведения и документы, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и/или иные сведения и документы), либо сведения, иным образом подтверждающие факт обработки персональных данных субъекта персональных данных Оператором;
  • подпись субъекта персональных данных или его представителя.

8.4. Обращения и запросы субъектов персональных данных (их представителей) рассматриваются в сроки, предусмотренные законодательством Российской Федерации в области персональных данных.

9. Заключительные положения

9.1. Политика вступает в силу с даты ее утверждения Оператором и действует до момента ее отмены Оператором или утверждения Политики в новой редакции.

9.2. В случае, если по тем или иным причинам одно или несколько положений Политики будут признаны недействительными или не имеющими юридической силы, данные обстоятельства не оказывают влияния на юридическую силу, действительность или применимость остальных положений Политики.

9.3. Политика публикуется на официальном сайте Оператора в информационно-телекоммуникационной сети Интернет по адресу: https://www.frwd.energy. К Политике обеспечивается неограниченный доступ.

Цели обработки персональных данных и определяемые для каждой цели обработки категории субъектов, персональные данные которых обрабатываются, категории и перечень обрабатываемых персональных данных, правовые основания обработки персональных данных, перечень действий, совершаемых с персональными данными, указаны в Приложении.

Можно ознакомиться по ссылке