УТВЕРЖДЕНА
приказом Президента
АО «Соликамскбумпром»
№ 660 от 25.06. 2021 г.

Политика АО «Соликамскбумпром» в отношении обработки персональных данных

1. Общие положения

1.1. Политика обработки персональных данных (далее - Политика) в АО «Соликамскбумпром» (далее также Общество, Оператор) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в Обществе персональных данных, функции АО «Соликамскбумпром» при обработке персональных данных, права субъектов персональных данных, а также реализуемые в Обществе требования к защите персональных данных.

1.2. Целью настоящей Политики является защита интересов работников и партнеров Общества, а также выполнение законодательства Российской Федерации о персональных данных.

1.3.Правовым основанием обработки персональных данных является совокупность нормативных и локальных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:

• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 06.12.2011 N 402-ФЗ «О бухгалтерском учете»;
• Федеральный закон от 15.12.2001 N 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
• Постановление Правительства РФ от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств
• автоматизации»;
• Постановление Правительства РФ от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Приказ от 18 февраля 2013 г. N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
• Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ;
• иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Общества;
• устав АО «Соликамскбумпром» в действующей редакции;
• договоры, заключаемые между Оператором и субъектами персональных данных;
• согласие субъектов персональных данных на обработку их персональных данных.

1.4. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в АО «Соликамскбумпром» вопросы обработки персональных
данных работников Общества и других субъектов персональных данных.

1.5. Во исполнение требований ч. 2 ст. 18.1 Федерального закона «О персональных данных» настоящая Политика публикуется в свободном доступе в информационнотелекоммуникационной сети Интернет на сайте Общества.

2. Основные термины и определения

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.

Обработка персональных данных – осуществление любых действий или совокупности действий в отношении персональных данных субъекта персональных данных, включая сбор, запись, систематизацию, накопление, хранение, обновление и изменение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение, как с использованием, так и без использования систем автоматизированной обработки персональных данных.

Оператор - Общество, АО «Соликамскбумпром».

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность
персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

3. Цели обработки персональных данных

3.1.Персональные данные в Обществе обрабатываются в целях:

• обеспечения соблюдения законодательных и иных нормативных правовых актов РФ, локальных нормативных актов Общества;
• исполнения обязанностей, возложенных законодательством РФ на Общество, в том числе связанных с представлением персональных данных в налоговые органы, Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
• регулирования трудовых отношений с работниками Общества (трудоустройство, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
• предоставления работникам Общества и членам их семей дополнительных гарантий и компенсаций, в том числе добровольного медицинского страхования, негосударственного пенсионного обеспечения и других видов социального обеспечения;
• подготовки, заключения, исполнения и прекращения договоров с контрагентами;
• исполнения судебных актов, актов других государственных органов или должностных лиц;
• реализации прав и законных интересов Общества в рамках ведения видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Общества, или третьих лиц либо достижения общественно значимых целей;
• обеспечения функционирования бизнес-процессов Общества с использованием информационных систем;
• в иных законных целях.

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

4.1. Общество обрабатывает персональные данные следующих категорий субъектов персональных данных:

• работников, состоящих в трудовых отношениях с Обществом, в том числе бывших;
• кандидатов (соискателей) на замещение вакантных должностей в Обществе;
• лиц, имеющих гражданско-правовой характер договорных отношений с Обществом, или находящихся на этапе преддоговорных или выполненных отношений подобного
  характера;
• Партнеров, контрагентов, потенциальных контрагентов, потенциальных партнеров (их представителей, работников), в том числе персональные данные руководителей, участников (акционеров) и/или их работников, необходимые Обществу для выполнения своих обязательств в рамках договорных отношений с указанными лицами и для выполнения требований законодательства Российской Федерации;
• акционеров Общества;
• посетителей Общества;
• родственников, несовершеннолетних детей работников Общества в минимальном объеме, предусмотренном действующим законодательством;
• и иных лиц, обработка персональных данных которых необходима Обществу для осуществления целей настоящей Политики.

4.2. Перечень и объем персональных данных, обрабатываемых в Обществе, определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами  общества с учетом целей обработки персональных данных, указанных в разделе 3 Политики.

4.3. Общество имеет в своем составе поликлинику, задачей которой является оказание медицинских услуг. В связи с этим Обществом осуществляется обработка специальной категории персональных данных, касающихся состояния здоровья. Обработка указанной категории персональных данных осуществляется на основании письменного согласия субъекта персональных данных.

4.4. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.

5. Порядок и условия обработки персональных данных

5.1. Перечень персональных данных, подлежащих защите Оператором, формируется в соответствии с Федеральным законом РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных».

5.2. Персональные данные субъектов обрабатываются Оператором, как с использованием средств автоматизации, так и без использования таких средств.

5.3. При обработке персональных данных независимо от способа обработки Оператором строго соблюдаются следующие принципы:

• не допускается обработка персональных данных, которые не отвечают целям обработки, указанным в настоящей Политике. Содержание и состав обрабатываемых персональных данных соответствует заявленным целям обработки;
• при обработке персональных данных обеспечивается точность, достаточность, а в необходимых случаях актуальность персональных данных;
• в случае необходимости получения дополнительной информации о субъекте, работники Оператора вправе запросить персональные данные субъекта, необходимые для достижения целей обработки с соблюдением норм действующего законодательства РФ;
• обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных законодательством Российской Федерации;
• не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• все персональные данные субъекта следует получать у него лично с его согласия, кроме случаев, в которых получения личного согласия не требуется согласно законодательству РФ, в том числе при получении персональных данных субъекта от его законного представителя;
• третье лицо, предоставляющее персональные данные субъекта, должно обладать согласием субъекта на передачу персональных данных Оператору и их последующую обработку Оператором;
• передача персональных данных субъектов третьим лицам осуществляется Оператором в случае наличия соответствующего согласия субъекта персональных данных, либо в случаях, когда такое личное согласие не требуется согласно законодательству РФ;
• Оператор принимает необходимые и достаточные меры по защите персональных данных, предусмотренные требованиями действующего законодательства РФ;
• оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

5.4. Оператором в процессе его деятельности создаются, изменяются и хранятся документы и информационные системы, содержащие сведения о субъектах персональных данных. Все персональные данные хранятся на носителях, принадлежащих Оператору назаконных основаниях. Оператор гарантирует безопасность носителей персональных данных субъектов, обеспечение которой описаны в соответствующем разделе Политики.

5.5. Общество обязуется и обязывает иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

5.6. Срок обработки и хранения персональных данных в форме, позволяющей определить субъекта ПД, не превышает срок, необходимый для достижения цели их обработки, если иное не предусмотрено законодательством РФ.

6. Безопасность персональных данных

6.1. Общество предпринимает необходимые технические и организационные меры информационной безопасности для защиты персональных данных от несанкционированного доступа, изменения, раскрытия или уничтожения, путём внутренних проверок процессов сбора, хранения и обработки данных, и мер безопасности, а также осуществления мер по обеспечению физической безопасности данных для предотвращения несанкционированного доступа к персональным данным.

6.2. С целью обеспечения безопасности обрабатываемых персональных данных Оператор применяет следующие меры, включая, но не ограничиваясь:

• назначает лиц, ответственных за обработку персональных данных и/или за обеспечение безопасности персональных данных;
• ограничивает доступ работников к персональным данным в соответствии с должностными обязанностями;
• устанавливает индивидуальные пароли доступа работников в информационные системы Общества в соответствии с их должностными обязанностями;
• разрабатывает положения, регламенты, инструкции и иные локальные нормативные акты по направлениям, связанным с обработкой и защитой персональных данных;
• обеспечивает ознакомление работников Общества с порядком обработки и обеспечения безопасности персональных данных любых субъектов, а также степени ответственности за нарушение такого порядка, проводит методические работы с персоналом, осуществляющим обработку персональных данных;
• определяет состав и объем организационных мероприятий по защите персональных данных в соответствии с требованиями законодательства РФ;
• определяет состав технических средств защиты информации для системы защиты персональных данных в соответствии с нормативными правовыми актами, принятыми Федеральной службой по техническому и экспортному контролю;
• определяет состав криптографических средств защиты информации для системы защиты персональных данных в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации;
• осуществляет сопровождение и контроль внедрения и эксплуатации средств защиты информации в информационных системах Общества.

7. Права субъектов персональных данных

7.1. Субъект персональных данных вправе:

требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством меры по защите своих прав;

требовать предоставления перечня своих персональных данных, обрабатываемых Оператором, и источник их получения;

требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведённых в них исключениях, исправлениях или дополнениях;

обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Оператора при обработке его персональных данных;

требовать удаления полностью или частично своих персональных данных и/или прекращения обработки своих персональных данных.

8. Актуализация персональных данных, ответы на запросы субъектов на доступ к персональным данным

8.1. По запросу субъекта персональных данных (его представителя) Общество сообщает о наличии у него персональных данных, а также предоставляет возможность ознакомления с ними.

8.2. В случае предоставления субъектом персональных данных фактов о неполных, устаревших, недостоверных или незаконно полученных персональных данных Общество обязано внести необходимые изменения, уничтожить или блокировать их, а также уведомить о своих действиях субъекта персональных данных. 

9. Прекращение обработки персональных данных

9.1. Общество прекращает обработку персональных данных субъекта персональных
данных:

• при наступлении условий прекращения обработки персональных данных или по истечении установленных сроков;
• по достижении целей их обработки либо в случае утраты необходимости в достижении этих целей;
• по требованию субъекта персональных данных, если обрабатываемые персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
• в случае выявления неправомерной обработки персональных данных, если обеспечить правомерность обработки невозможно;
• по истечении срока действия согласия субъекта персональных данных на обработку персональных данных или в случае отзыва субъектом персональных данных такого согласия, если для обработки персональных данных не будет иных правовых оснований,предусмотренных законодательством РФ; 
• в случае ликвидации Общества;
• в случае если недостоверные сведения предоставлены субъектом персональных данных и не актуализированы им.

9.2. Персональные данные подлежат уничтожению при достижении целей их обработки, в случае отзыва субъектом персональных данных согласия на их обработку, а также в иных случаях, предусмотренных законодательством РФ.

10. Ответственность

10.1. Должностные лица Общества, организующие обработку персональных данных, работники Общества, обрабатывающие персональные данные, несут ответственность за нарушение правил обработки персональных данных в порядке, установленном действующим законодательством Российской Федерации.