Настоящая Политика конфиденциальности (далее — «Политика») декларирует концептуальные основы деятельности ПАО «Интер РАО» в отношении обработки персональных данных, в частности, определяет принципы, цели, порядок и условия обработки персональных данных, права субъектов персональных данных, обязанности Общества, а также требования к защите персональных данных.
1. Принципы обработки персональных данных
1.1. Общество осуществляет обработку персональных данных, руководствуясь следующими принципами:
1.1.1. осуществление обработки персональных данных на законной и справедливой основе;
1.1.2. ограничение обработки персональных данных достижением заранее определенных и законных целей, а также недопустимость обработки персональных данных, несовместимой с целями сбора персональных данных;
1.1.3. недопустимость объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
1.1.4. осуществление обработки исключительно тех персональных данных, которые отвечают целям их обработки;
1.1.5. обеспечение соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки персональных данных, а также недопустимость обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
1.1.6. обеспечение точности персональных данных, их достаточности и в необходимых случаях актуальности по отношению к целям их обработки;
1.1.7. осуществление хранения персональных данных в форме, позволяющей определить Субъекта персональных данных не дольше, чем этого требуют цели их обработки, если иной срок хранения персональных данных не установлен законодательством РФ, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных;
1.1.8. уничтожение или обеспечение уничтожения персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.
2. Перечень целей обработки персональных данных
2.1. Во исполнение требований Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – «Закон «О персональных данных») Общество разрабатывает и публикует в составе Политики перечень целей обработки персональных данных (Приложение 1).
2.2. Перечень целей обработки персональных данных регулярно актуализируется с учетом изменения бизнес-процессов в Обществе.
3. Порядок и условия обработки персональных данных
3.1. Общество обрабатывает персональные данные исключительно при наличии правовых оснований, предусмотренных Законом «О персональных данных».
3.2. Применительно к каждой цели Общество определяет категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных.
4. Порядок уничтожения персональных данных
4.1. Уничтожение персональных данных, обработка которых осуществляется в рамках целей, указанных в перечне целей обработки персональных данных (Приложение 1), производится в случаях:
4.1.1. достижения цели обработки персональных данных;
4.1.2. утраты необходимости в достижении цели обработки персональных данных;
4.1.3. выявления факта неправомерной обработки персональных данных и невозможности обеспечения ее правомерности;
4.1.4. отзыва Субъектом персональных данных согласия на обработку персональных данных, если иное не предусмотрено Законом «О персональных данных»;
4.1.5. предъявления Субъектом персональных данных требования о прекращении обработки персональных данных, если иное не установлено Законом «О персональных данных».
4.2. Если нет возможности уничтожить персональные данные в сроки, установленные Законом «О персональных данных», Общество осуществляет их блокирование, после чего уничтожает в срок не более 6 месяцев, если иной срок не установлен законодательством РФ.
4.3. Если персональные данные невозможно уничтожить без повреждения их материального носителя, то уничтожению подлежат и персональные данные, и их материальный носитель.
4.4. Подтверждение факта уничтожения персональных данных осуществляется в соответствии с требованиями законодательства РФ.
5. Получение, передача, поручение обработки персональных данных
5.1. Общество для достижения целей, предусмотренных в перечне целей обработки персональных данных, может привлекать третьих лиц. К третьим лицам могут относиться:
5.1.1. банковские организации, осуществляющие выпуск и обслуживание банковских карт для последующего начисления заработной платы и иных выплат работнику;
5.1.2. страховые организации, организующие и предоставляющие услуги добровольного медицинского страхования и страхования от несчастных случаев работника;
5.1.3. операторы систем электронного документооборота, обеспечивающие юридически значимый электронный документооборот;
5.1.4. операторы связи, оказывающие услуги связи;
5.1.5. аудиторы, проводящие аудиторские проверки и формирующие заключения;
5.1.6. организации, привлекаемые для оказания услуг доставки корреспонденции и автотранспортного обслуживания;
5.1.7. сервисные компании Группы «Интер РАО» (оказывающие услуги информационно-технологического обеспечения и т.д.);
5.1.8. лица, обладающие правом в предусмотренных законодательством РФ случаях на получение персональных данных в составе, необходимом для осуществления и выполнения возложенных на таких лиц функций, полномочий и обязанностей;
5.1.9. правопреемники, инвесторы Общества и (или) его аффилированные лица, если Общество и (или) его аффилированные лица будут вовлечены в сделки по реорганизации, слиянию, поглощению, ликвидации или отчуждению активов;
5.1.10. иные контрагенты, с которыми Общество взаимодействует для достижения целей, предусмотренных в перечне целей обработки персональных данных.
5.2. Фактический состав привлекаемых Обществом третьих лиц к обработке персональных данных определяется в соответствии с положениями законодательства РФ, договоров между Обществом и Субъектом персональных данных, согласия(ий) Субъекта персональных данных на обработку персональных данных, договоров между Обществом и контрагентом, являющимся оператором персональных данных.
5.3. Получение, передача, и (или) поручение обработки персональных данных осуществляется исключительно при наличии правовых оснований, предусмотренных Законом «О персональных данных».
5.4. Общество может осуществлять трансграничную передачу персональных данных в случаях, когда это необходимо для осуществления уставной деятельности Общества, с учетом условий и ограничений, установленных Законом «О персональных данных».
5.5. Общество, получившее доступ к персональным данным, не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
6. Порядок рассмотрения обращений и запросов Субъектов персональных данных
6.1. Общество в целях соблюдения прав и законных интересов Субъектов персональных данных осуществляет прием и обработку их обращений и запросов, а также контроль обеспечения такого приема и обработки.
6.2. При рассмотрении обращений и запросов Субъектов персональных данных Общество руководствуется положениями Закона «О персональных данных», устанавливающими требования к их содержанию.
6.3. Предоставление информации и принятие иных мер в связи с поступлением обращений и запросов Субъектов персональных данных производится Обществом в объеме и сроки, предусмотренные Законом «О персональных данных». Срок ответа Субъекту персональных данных на обращение или запрос может быть продлен при условии направления в адрес Субъекта персональных данных мотивированного уведомления с указанием причин продления.
6.4. Общество, получив обращение или запрос Субъекта персональных данных и убедившись в его законности:
6.4.1. предоставляет Субъекту персональных данных или его Представителю сведения, указанные в обращении или запросе, в той форме, в которой направлены соответствующие обращение или запрос, если иное не указано в обращении или запросе;
6.4.2. принимает иные меры в зависимости от специфики обращения и запроса.
6.5. Предоставляемые Обществом сведения не могут содержать персональные данные, принадлежащие другим Субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
6.6. Общество при наличии оснований, предусмотренных законодательством РФ, вправе отказать Субъекту персональных данных в удовлетворении требований, указанных в обращении или запросе, путем направления Субъекту персональных данных мотивированного отказа.
7. Права Субъекта персональных данных
7.1. Получать сведения об обработке персональных данных Обществом за исключением случаев, когда такое право может быть ограничено в соответствии с Законом «О персональных данных», в том числе, если доступ Субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
7.2. Требовать уточнения, блокирования или уничтожения обрабатываемых персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.3. Отозвать согласие на обработку персональных данных полностью или в какой-либо части или обратиться к Обществу с требованием о прекращении обработки персональных данных.
7.4. Обратиться к Обществу любым удобным и возможным способом для реализации и защиты своих прав и законных интересов.
7.5. Обжаловать действия или бездействие Общества путем обращения в уполномоченный орган по защите прав субъектов персональных данных.
7.6. Защищать свои права и законные интересы, в том числе требовать возмещения убытков и (или) компенсации морального вреда в судебном порядке.
8. Обязанности Общества
8.1. Назначить лицо, ответственное за организацию обработки персональных данных.
8.2. Утвердить Политику в отношении обработки персональных данных, включающую положения, в которых для каждой цели обработки персональных данных определены категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также ВНД, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства о персональных данных, устранение последствий таких нарушений.
8.3. Осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям Закона «О персональных данных» и ВНД Общества по вопросам обработки персональных данных.
8.4. Осуществлять оценку вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен Субъектам персональных данных в случае нарушения требований законодательства РФ, соотношение указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных требованиям законодательства РФ.
8.5. Ознакомить лиц, привлеченных (допущенных) Обществом к обработке персональных данных, с требованиями законодательства РФ, в том числе требованиями к защите персональных данных, документами, определяющими Политику в отношении обработки персональных данных, ВНД Общества по вопросам обработки персональных данных, и (или) обучать указанных лиц.
8.6. Опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего Обществу сайта в информационно-телекоммуникационной сети «Интернет», с использованием которых осуществляется сбор персональных данных, документ, определяющий политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных. Обеспечивать доступ к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
8.7. В случае, если предоставление персональных данных и (или) согласия на их обработку является обязательным в соответствии с требованиями законодательства РФ и Субъект персональных данных отказывается предоставить персональные данные и (или) предоставить согласие на их обработку, разъяснить юридические последствия непредоставления персональных данных и/или согласия на их обработку.
8.8. В случае получения персональных данных не от Субъекта персональных данных до начала обработки персональных данных предоставить Субъекту персональных данных информацию, предусмотренную Законом «О персональных данных».
8.9. Обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных Субъекта персональных данных (граждан РФ) с использованием баз данных, находящихся на территории РФ при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет».
8.10. Принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
8.11.В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав Субъектов персональных данных, уведомить об указанном факте уполномоченный орган по защите прав субъектов персональных данных в порядке и сроки, предусмотренные законодательством РФ, с учетом п. 12.10 Политики.
9. Реализуемые Обществом требования к защите персональных данных
9.1. Определение угроз безопасности персональных данных, которые могут возникнуть при их обработке в ИСПДн.
9.2. Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных.
9.3. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации
9.4. Проведение оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию ИСПДн.
9.5. Определение мест хранения материальных (в том числе машинных) носителей персональных данных, обеспечение учета и сохранности носителей персональных данных, исключение несанкционированного доступа к носителям персональных данных, а также раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
9.6. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них.
9.7. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
9.8. Установление правил доступа к персональным данным, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в ИСПДн.
9.9. Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности ИСПДн.
9.10. Взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА), включая информирование федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных в порядке, определенном федеральным органом исполнительной власти в области обеспечения безопасности.
9.11. Назначение лиц(а), ответственных(ого) за обеспечение безопасности персональных данных при их обработке в ИСПДн (если применимо).
9.12. Организация режима безопасности помещений, в которых осуществляется обработка персональных данных и (или) размещены программноаппаратные средства, используемые для обработки персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения.
9.13. Установление и утверждение перечня лиц (должностей), привлеченных (допущенных) Обществом к автоматизированной и (или) неавтоматизированной обработке персональных данных.
10. Правила обработки cookie-файлов
10.1. На веб-сайтах Общества могут использоваться cookie-файлы следующих типов:
10.1.1. технические – строго необходимые для правильной работы и отображения сайта на устройстве пользователя;
10.1.2. статистические (аналитические) – позволяют подсчитать количество посещений веб-сайта, отдельных страниц веб-сайта и иную статистику;
10.1.3. функциональные – облегчают использование веб-сайта, запоминая предпочтения пользователя (язык, местонахождение, пароль и т.д.);
10.1.4. рекламные – позволяют отображать рекламу, которая может заинтересовать пользователя;
10.1.5. иные – cookie-файлы, не перечисленные в данном перечне.
10.2. Срок хранения cookie-файлов может различаться в зависимости от их типа, но в любом случае он ограничен периодом, необходимым для достижения цели использования конкретного cookie-файла.
10.3. Общество не использует cookie-файлы для:
10.3.1. прямого или косвенного определения Субъектов персональных данных с использованием технической информации или иных сведений;
10.3.2. сопоставления (сравнение), объединения (связывание) информации из cookie-файлов с иными находящимися в распоряжении сведениями.
10.4. При первом попадании на веб-сайт пользователь информируется об обработке cookie-файлов. Ему предлагается выразить согласие на такую обработку, либо отказаться посредством изменения настроек браузера.