Приложение N 1. Политика Государственной корпорации по атомной энергии "Росатом" в отношении обработки персональных данных. Приказ Государственной корпорации по атомной энергии "Росатом" от 03.07.2018 N 1/700-П "Об утверждении Политики Государственной корпорации по атомной энергии "Росатом" в отношении обработки персональных данных"

Приложение N 1

УТВЕРЖДЕНА
приказом Госкорпорации "Росатом"
от 3 июля 2018 N 1/700-П

Политика Государственной корпорации по атомной энергии "Росатом" в отношении обработки персональных данных

1. Назначение и область применения

1.1. Настоящая Политика Государственной корпорации по атомной энергии "Росатом" в отношении обработки персональных данных (далее - Политика) разработана в целях реализации требований пункта 2 части 1 статьи 18.1 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и действует в отношении всех персональных данных, которые Госкорпорация "Росатом" (далее - Корпорация) получает от субъектов персональных данных.

1.2. Политика распространяется на отношения по обработке персональных данных, возникшие в Корпорации, как до, так и после утверждения настоящей Политики.

1.3. Корпорация публикует Политику в свободном доступе, размещая ее на своем официальном сайте в информационно-телекоммуникационной сети "Интернет".

1.4. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных в Корпорации.

2. Состав обрабатываемых персональных данных и категории субъектов, персональные данные которых обрабатываются

2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (далее - субъект персональных данных).

2.2. Категории субъектов персональных данных, персональные данные которых обрабатываются в Корпорации:

работники и бывшие работники Корпорации и организаций Корпорации* и их близкие родственники;

кандидаты на замещение вакантных должностей в Корпорации и организациях Корпорации и их близкие родственники;

клиенты и контрагенты Корпорации и организаций Корпорации (физические лица);

представители/работники клиентов и контрагентов Корпорации и организаций Корпорации (юридических лиц).

3. Правовые основания обработки персональных данных

Корпорация осуществляет обработку персональных данных субъектов персональных данных, руководствуясь:

Конституцией Российской Федерации;

Трудовым кодексом Российской Федерации;

Федеральным законом от 1 декабря 2007 г. N 317-ФЗ "О Государственной корпорации по атомной энергии "Росатом";

настоящей Политикой;

локальными нормативными актами Корпорации, разработанными в развитие настоящей Политики;

договорами, заключаемыми между Корпорацией и субъектами персональных данных;

согласиями на обработку персональных данных.

4. Цели обработки персональных данных

В Корпорации обрабатываются персональные данные субъектов персональных данных, в целях выполнения возложенных законодательством Российской Федерации на Корпорацию функций, полномочий и обязанностей.

5. Принципы и условия обработки персональных данных

5.1. Обработка персональных данных в Корпорации осуществляется на основе принципов:

законности и справедливости целей и способов обработки персональных данных, соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;

соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных избыточных по отношению к целям, заявленным при сборе персональных данных;

недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;

хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;

уничтожение персональных данных либо обезличивание осуществляется по достижении целей их обработки или в случае утраты необходимости в их достижении, если срок хранения персональных данных не установлен законодательством Российской Федерации, другими документами, определяющими такой срок.

5.2. Условия обработки персональных данных в Корпорации:

доступ к персональным данным имеют работники Корпорации, которым это необходимо для исполнения должностных обязанностей. Перечень лиц имеющих доступ к персональным данным, утверждается приказом Корпорации;

помещения, в которых обрабатываются персональные данные, оборудуются замковыми устройствами, охранной сигнализацией или видеонаблюдением;

для приема посетителей выделяются зоны ожидания, исключающие несанкционированный доступ к обрабатываемым персональным данным.

6. Права и обязанности

6.1.1. Обязанности Корпорации в качестве оператора персональных данных: организовывать обработку персональных данных в Корпорации в соответствии с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон о персональных данных);

обеспечивать защиту персональных данных, обрабатываемых в Корпорации, от их неправомерного использования или утраты;

получать персональные данные только у субъекта персональных данных. В случаях, когда персональные данные можно получить только у третьих лиц, делать это исключительно с письменного согласия субъекта персональных данных;

своевременно и в соответствии с требованиями законодательства Российской Федерации реагировать на обращения и запросы субъектов персональных данных, и их законных представителей, а именно:

сообщать субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными;

в случае отказа, при обращении субъекта персональных данных или его представителя, в предоставлении субъекту персональных данных его персональных данных или информации о наличии в Корпорации его персональных данных, давать в письменной форме мотивированный ответ, содержащий ссылку на положение федерального закона, являющееся основанием для такого отказа;

предоставлять безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, а также по требованию субъекта персональных данных или его представителя вносить в них необходимые изменения и уничтожать, если они не являются необходимыми для заявленной цели обработки, и принимать разумные меры для уведомления третьих лиц об изменениях в персональных данных, которым, персональные данные этого субъекта были переданы;

сообщать в уполномоченный орган по защите прав субъекта персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса;

устранять нарушения законодательства, допущенные при обработке персональных данных;

уточнять, блокировать и уничтожать персональные данные в случаях, предусмотренных частями 2-6 статьи 21 Федерального закона о персональных данных.

6.1.2. Права Корпорации в качестве оператора персональных данных: принимать локальные нормативные акты в развитие настоящей Политики; предлагать субъекту персональных данных оформить персональное письменное согласие на обработку/передачу персональных данных;

отказывать в предоставлении персональных данных в случаях, предусмотренных частью 6 статьи 14 и частью 2 статьи 20 Федерального закона о персональных данных;

привлекать к дисциплинарной ответственности работников Корпорации, к должностным обязанностям которых относится обработка персональных данных, за нарушение требований к защите персональных данных.

6.2. Права субъекта персональных данных:

получать информацию, касающуюся обработки его персональных данных в Корпорации, в том числе и об источниках их получения;

требовать блокирования или уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, незаконно полученными или не являются необходимыми для заявленной цели обработки;

требовать извещения всех лиц, которым ранее были сообщены недостоверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Корпорации в качестве оператора персональных данных при обработке его персональных данных;

отозвать свое согласие на обработку персональных данных;

на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

7. Порядок обработки персональных данных

7.1 Обработка персональных данных в Корпорации производится в соответствии с требованиями законодательства Российской Федерации и локальных нормативных актов Корпорации работниками структурных подразделений Корпорации и иных организаций, осуществляющими такую обработку, на основании договоров на оказание соответствующих услуг Корпорации.

7.2. Обработка персональных данных в Корпорации включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

7.3. Обработка персональных данных субъектов персональных данных осуществляется как на бумажных носителях, так и с использованием средств автоматизации (с помощью средств вычислительной техники) путем:

получения оригиналов необходимых документов; копирования оригиналов документов;

внесения сведений в учетные формы на бумажных и электронных носителях);

формирования персональных данных в ходе кадровой работы;

внесения персональных данных в информационные системы.

7.4. Сбор, запись, систематизация, накопление (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных, а в рамках выполнения требований законодательства о противодействии коррупции - путем получения справок о доходах и обязательствах имущественного характера, в соответствии с установленным в Корпорации порядком, определенным локальными нормативными актами Корпорации.

7.5. Обработка персональных данных в рамках проведения конкурса на замещение должностей руководителей подведомственных Госкорпорации "Росатом" федеральных государственных унитарных предприятий, осуществляется без согласия указанных лиц, в соответствии с Положением о проведении конкурса на замещение должности руководителя федерального государственного унитарного предприятия утвержденным постановлением Правительства Российской Федерации от 16 марта 2000 г. N 234, в соответствии с пунктом 2 части 1 статьи 6 и частью 2 статьи 11 Федерального закона о персональных данных, Федеральным законом от 14 ноября 2002 г N 161-ФЗ "О государственных и муниципальных унитарных предприятиях", постановлением Правительства Российской Федерации от 16 марта 2000 г. N 234 "О порядке заключения трудовых договоров и аттестации руководителей федеральных государственных унитарных предприятий".

7.6. Обращения граждан рассматриваются в Корпорации в соответствии с законодательством о порядке рассмотрения обращений граждан Российской Федерации и принятыми в соответствие с ним локальными нормативными актами Корпорации.

7.7. Предоставление государственных услуг в Корпорации осуществляется в соответствие с законодательством об организации предоставления государственных и муниципальных услуг.

7.8. Корпорация имеет право создавать в качестве источников персональных данных информационные системы обрабатывающие персональные данные.

7.9. В Корпорации используются следующие информационные системы, обрабатывающие персональные данные субъектов персональных данных:

корпоративная электронная почта;

система электронного документооборота;

система согласования проектной документации;

система поддержки рабочего места пользователя;

система нормативно-справочной информации;

система управления закупочной деятельностью;

система управления персоналом;

система управления карьерой и преемственностью;

система контроля удаленным доступом;

корпоративные сайты и информационные порталы;

подсистема мониторинга, контроля и анализа инцидентов, связанных с активами Госкорпорации "Росатом" и организаций Госкорпорации "Росатом";

система антикоррупционного декларирования.

7.10. При передаче персональных данных субъекта персональных данных, работники Корпорации, осуществляющие обработку персональных данных, должны соблюдать следующие требования:

не сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных федеральным законом;

не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;

предупредить лиц, получающих персональные данные субъекта персональных данных о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что правило соблюдено. Лица, получающие персональные данные субъекта персональных данных, обязаны соблюдать режим конфиденциальности;

разрешать доступ к персональным данным субъекта