Приказ Государственной корпорации по атомной энергии "Росатом" от 3 июля 2018 г. № 1/700-П “Об утверждении Политики Государственной корпорации по атомной энергии «Росатом» в отношении обработки персональных данных”

Во исполнение пункта 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» приказываю:

1. Утвердить Политику Государственной корпорации по атомной энергии «Росатом» в отношении обработки персональных данных (далее - Политика, приложение № 1).

2. Первым заместителям (заместителям) генерального директора, директорам по направлениям деятельности, руководителям структурных подразделений Госкорпорации «Росатом»:

довести настоящий приказ до сведения подчиненных работников под подпись;

листы ознакомления с Политикой (приложение № 2) работников структурных подразделений предоставить в Управление по работе с персоналом.

Срок - 30 рабочих дней с даты издания настоящего приказа.

3. Начальнику Управления по работе с персоналом Ивлевой Н.Г. обеспечить внесение настоящего приказа в перечень локальных нормативных актов Госкорпорации «Росатом», с которыми лица письменно знакомятся при приеме на работу.

Срок - 5 рабочих дней с даты издания настоящего приказа.

4. Признать утратившим силу приказ Госкорпорации «Росатом» от 06.02.2009 № 52 «Об обеспечении защиты персональных данных работников Государственной корпорации по атомной энергии «Росатом».

Генеральный директор

А.Е. Лихачев

Приложение № 1

УТВЕРЖДЕНА
приказом Госкорпорации «Росатом»
от 3 июля 2018 № 1/700-П

Политика Государственной корпорации по атомной энергии «Росатом» в отношении обработки персональных данных

1. Назначение и область применения

1.1. Настоящая Политика Государственной корпорации по атомной энергии «Росатом» в отношении обработки персональных данных (далее - Политика) разработана в целях реализации требований пункта 2 части 1 статьи 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и действует в отношении всех персональных данных, которые Госкорпорация «Росатом» (далее - Корпорация) получает от субъектов персональных данных.

1.2. Политика распространяется на отношения по обработке персональных данных, возникшие в Корпорации, как до, так и после утверждения настоящей Политики.

1.3. Корпорация публикует Политику в свободном доступе, размещая ее на своем официальном сайте в информационно-телекоммуникационной сети «Интернет».

1.4. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных в Корпорации.

2. Состав обрабатываемых персональных данных и категории субъектов, персональные данные которых обрабатываются

2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (далее - субъект персональных данных).

2.2. Категории субъектов персональных данных, персональные данные которых обрабатываются в Корпорации:

работники и бывшие работники Корпорации и организаций Корпорации* и их близкие родственники;

кандидаты на замещение вакантных должностей в Корпорации и организациях Корпорации и их близкие родственники;

клиенты и контрагенты Корпорации и организаций Корпорации (физические лица);

представители/работники клиентов и контрагентов Корпорации и организаций Корпорации (юридических лиц).

3. Правовые основания обработки персональных данных

Корпорация осуществляет обработку персональных данных субъектов персональных данных, руководствуясь:

Конституцией Российской Федерации;

Трудовым кодексом Российской Федерации;

Федеральным законом от 1 декабря 2007 г. № 317-ФЗ «О Государственной корпорации по атомной энергии «Росатом»;

настоящей Политикой;

локальными нормативными актами Корпорации, разработанными в развитие настоящей Политики;

договорами, заключаемыми между Корпорацией и субъектами персональных данных;

согласиями на обработку персональных данных.

4. Цели обработки персональных данных

В Корпорации обрабатываются персональные данные субъектов персональных данных, в целях выполнения возложенных законодательством Российской Федерации на Корпорацию функций, полномочий и обязанностей.

5. Принципы и условия обработки персональных данных

5.1. Обработка персональных данных в Корпорации осуществляется на основе принципов:

законности и справедливости целей и способов обработки персональных данных, соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;

соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных избыточных по отношению к целям, заявленным при сборе персональных данных;

недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;

хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;

уничтожение персональных данных либо обезличивание осуществляется по достижении целей их обработки или в случае утраты необходимости в их достижении, если срок хранения персональных данных не установлен законодательством Российской Федерации, другими документами, определяющими такой срок.

5.2. Условия обработки персональных данных в Корпорации:

доступ к персональным данным имеют работники Корпорации, которым это необходимо для исполнения должностных обязанностей. Перечень лиц имеющих доступ к персональным данным, утверждается приказом Корпорации;

помещения, в которых обрабатываются персональные данные, оборудуются замковыми устройствами, охранной сигнализацией или видеонаблюдением;

для приема посетителей выделяются зоны ожидания, исключающие несанкционированный доступ к обрабатываемым персональным данным.

6. Права и обязанности

6.1.1. Обязанности Корпорации в качестве оператора персональных данных: организовывать обработку персональных данных в Корпорации в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Федеральный закон о персональных данных);

обеспечивать защиту персональных данных, обрабатываемых в Корпорации, от их неправомерного использования или утраты;

получать персональные данные только у субъекта персональных данных. В случаях, когда персональные данные можно получить только у третьих лиц, делать это исключительно с письменного согласия субъекта персональных данных;

своевременно и в соответствии с требованиями законодательства Российской Федерации реагировать на обращения и запросы субъектов персональных данных, и их законных представителей, а именно:

сообщать субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными;

в случае отказа, при обращении субъекта персональных данных или его представителя, в предоставлении субъекту персональных данных его персональных данных или информации о наличии в Корпорации его персональных данных, давать в письменной форме мотивированный ответ, содержащий ссылку на положение федерального закона, являющееся основанием для такого отказа;

предоставлять безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, а также по требованию субъекта персональных данных или его представителя вносить в них необходимые изменения и уничтожать, если они не являются необходимыми для заявленной цели обработки, и принимать разумные меры для уведомления третьих лиц об изменениях в персональных данных, которым, персональные данные этого субъекта были переданы;

сообщать в уполномоченный орган по защите прав субъекта персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса;

устранять нарушения законодательства, допущенные при обработке персональных данных;

уточнять, блокировать и уничтожать персональные данные в случаях, предусмотренных частями 2-6 статьи 21 Федерального закона о персональных данных.

6.1.2. Права Корпорации в качестве оператора персональных данных: принимать локальные нормативные акты в развитие настоящей Политики; предлагать субъекту персональных данных оформить персональное письменное согласие на обработку/передачу персональных данных;

отказывать в предоставлении персональных данных в случаях, предусмотренных частью 6 статьи 14 и частью 2 статьи 20 Федерального закона о персональных данных;

привлекать к дисциплинарной ответственности работников Корпорации, к должностным обязанностям которых относится обработка персональных данных, за нарушение требований к защите персональных данных.

6.2. Права субъекта персональных данных:

получать информацию, касающуюся обработки его персональных данных в Корпорации, в том числе и об источниках их получения;

требовать блокирования или уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, незаконно полученными или не являются необходимыми для заявленной цели обработки;

требовать извещения всех лиц, которым ранее были сообщены недостоверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Корпорации в качестве оператора персональных данных при обработке его персональных данных;

отозвать свое согласие на обработку персональных данных;

на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

7. Порядок обработки персональных данных

7.1 Обработка персональных данных в Корпорации производится в соответствии с требованиями законодательства Российской Федерации и локальных нормативных актов Корпорации работниками структурных подразделений Корпорации и иных организаций, осуществляющими такую обработку, на основании договоров на оказание соответствующих услуг Корпорации.

7.2. Обработка персональных данных в Корпорации включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

7.3. Обработка персональных данных субъектов персональных данных осуществляется как на бумажных носителях, так и с использованием средств автоматизации (с помощью средств вычислительной техники) путем:

получения оригиналов необходимых документов; копирования оригиналов документов;

внесения сведений в учетные формы на бумажных и электронных носителях);

формирования персональных данных в ходе кадровой работы;

внесения персональных данных в информационные системы.

7.4. Сбор, запись, систематизация, накопление (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных, а в рамках выполнения требований законодательства о противодействии коррупции - путем получения справок о доходах и обязательствах имущественного характера, в соответствии с установленным в Корпорации порядком, определенным локальными нормативными актами Корпорации.

7.5. Обработка персональных данных в рамках проведения конкурса на замещение должностей руководителей подведомственных Госкорпорации «Росатом» федеральных государственных унитарных предприятий, осуществляется без согласия указанных лиц, в соответствии с Положением о проведении конкурса на замещение должности руководителя федерального государственного унитарного предприятия утвержденным постановлением Правительства Российской Федерации от 16 марта 2000 г. № 234, в соответствии с пунктом 2 части 1 статьи 6 и частью 2 статьи 11 Федерального закона о персональных данных, Федеральным законом от 14 ноября 2002 г № 161-ФЗ «О государственных и муниципальных унитарных предприятиях», постановлением Правительства Российской Федерации от 16 марта 2000 г. № 234 «О порядке заключения трудовых договоров и аттестации руководителей федеральных государственных унитарных предприятий».

7.6. Обращения граждан рассматриваются в Корпорации в соответствии с законодательством о порядке рассмотрения обращений граждан Российской Федерации и принятыми в соответствие с ним локальными нормативными актами Корпорации.

7.7. Предоставление государственных услуг в Корпорации осуществляется в соответствие с законодательством об организации предоставления государственных и муниципальных услуг.

7.8. Корпорация имеет право создавать в качестве источников персональных данных информационные системы обрабатывающие персональные данные.

7.9. В Корпорации используются следующие информационные системы, обрабатывающие персональные данные субъектов персональных данных:

корпоративная электронная почта;

система электронного документооборота;

система согласования проектной документации;

система поддержки рабочего места пользователя;

система нормативно-справочной информации;

система управления закупочной деятельностью;

система управления персоналом;

система управления карьерой и преемственностью;

система контроля удаленным доступом;

корпоративные сайты и информационные порталы;

подсистема мониторинга, контроля и анализа инцидентов, связанных с активами Госкорпорации «Росатом» и организаций Госкорпорации «Росатом»;

система антикоррупционного декларирования.

7.10. При передаче персональных данных субъекта персональных данных, работники Корпорации, осуществляющие обработку персональных данных, должны соблюдать следующие требования:

не сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных федеральным законом;

не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;

предупредить лиц, получающих персональные данные субъекта персональных данных о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что правило соблюдено. Лица, получающие персональные данные субъекта персональных данных, обязаны соблюдать режим конфиденциальности;

разрешать доступ к персональным данным субъекта персональных данных только лицам, определенным приказом Корпорации, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;

не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключение тех сведений, которые относятся к вопросу о возможности выполнения работников трудовой функции;

передавать персональные данные субъекта персональных данных представителям субъекта персональных данных в порядке, установленном Трудовым кодексом Российской Федерации, и ограничить эту информацию только теми персональными данными субъекта персональных данных, которые необходимы для выполнения указанными представителями их функций.

передача Корпорацией персональных данных или ее представителей третьим лицам может допускаться только в случаях, установленных федеральным законом.

7.11. Корпорация при обращении или по запросу субъекта персональных данных либо его представителя, а также по запросу Роскомнадзора, инициирует блокировку неправомерно обрабатываемых персональных данных этого субъекта с момента обращения или получения запроса на период проверки. В случае выявления неправомерной обработки персональных данных в Корпорации или лицом, действующим по поручению Корпорации, в срок, не превышающий трех рабочих дней с даты этого выявления, в Корпорации прекращают неправомерную обработку персональных данных или обеспечивают прекращение неправомерной обработки. В случае если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, такие персональные данные уничтожаются в Корпорации или Корпорация обеспечивает их уничтожение в организациях, осуществляющих обработку этих данных на основании договоров на оказание соответствующих услуг Корпорации.

7.12. Корпорация на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений.

7.13. По достижении цели обработки персональных данных в Корпорации обработка персональных данных прекращается и эти персональные данные уничтожаются.

Исключения:

персональные данные должны храниться длительное время в силу требований нормативных правовых актов;

лицо, направившее резюме для рассмотрения себя в качестве кандидатуры для замещения вакантных должностей в Корпорации, желает остаться в кадровом резерве Корпорации.

7.14. В случае отзыва субъектом персональных данных своего согласия на обработку персональных данных в Корпорации прекращают их обработку в срок, не превышающий тридцати дней с даты, поступления отзыва.

7.15. В Корпорации по запросу субъекта персональных данных или его представителя сообщают информацию о наличии персональных данных, относящихся к субъекту. По запросу субъекта персональных данных или его представителя в Корпорации знакомят субъекта персональных данных или его представителя с этими персональными данными в течение тридцати дней с даты, получения запроса.

7.16. При сборе, обработке и хранении персональных данных. Хранение и защита персональных данных, как на бумажных, так и на электронных (автоматизированных) носителях информации, осуществляется в порядке, исключающем их утрату или их неправомерное использование.

7.17. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону, факсу, электронной почте.

8. Обеспечение безопасности персональных данных

8.1. При обработке персональных данных в Корпорации принимают необходимые правовые, организационные и технические меры или обеспечивают их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных.

8.2. В Корпорации назначается лицо, ответственное за организацию обработки персональных данных.

9. Заключительные положения

9.1. Настоящая Политика является общедоступным документом Корпорации.

9.2. Настоящая Политика подлежит изменению в случае принятия нормативных актов, устанавливающих новые требования по обработке и защите персональных данных или внесения изменений в действующие нормативные правовые акты.

9.3. Персональные данные относятся к конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.

9.4. Политика утверждается и вводится в действие приказом Корпорации и является обязательной для исполнения всеми работниками, имеющими доступ к персональным данным работников.

9.5. Лица, виновные в нарушении правил обработки персональных данных и требований к защите персональных данных работника, установленных действующим законодательством Российской Федерации и настоящей Политикой, несут ответственность, предусмотренную законодательством Российской Федерации.

------------------------------

* Акционерные общества Госкорпорации «Росатом» и общества с ограниченной ответственностью с участием Госкорпорации «Росатом» в их уставном капитале, их дочерние общества, федеральные государственные унитарные предприятия, в отношении которых Госкорпорация «Росатом» осуществляет права собственника имущества, а также хозяйственные общества, акциями (долями участия в уставном капитале) которых владеют указанные федеральные государственные унитарные предприятия, учреждения Госкорпорации «Росатом» и (или) вышеуказанных организаций.

Приложение № 2
к приказу Госкорпорации «Росатом»
от 3 июля 2018 № 1/700-П

Лист ознакомления с Политикой Государственной корпорации по атомной энергии «Росатом» в отношении обработки персональных данных (утверждена приказом Госкорпорации «Росатом» от ___________№ ________)     _________________________________________________________________________ структурное подразделение Госкорпорации «Росатом»
№ п/п	ФИО	Должность	Подпись работника	Дата подписи
1
2
3
4
5
6
7

_________________________ (должность руководителя структурного подразделения Госкорпорации «Росатом»)	____________ (подпись)	_____________________ (фамилия, инициалы)
		«__» __________ 201_ г. (дата)