ГУП «Петербургский метрополитен»

Политика обработки персональных данных

Политика в отношении обработки персональных данных ГУП «Петербургский метрополитен»

1. Общие положения

2. Правовые основания обработки персональных данных

3. Цели и принципы обработки, основные категории и объём персональных данных

4. Порядок, условия и сроки обработки персональных данных

5. Категории субъектов персональных данных

6. Передача персональных данных

7. Обеспечение безопасности персональных данных

8. Права субъектов персональных данных

9. Заключительные положения

 

1. Общие положения

1.1.    Настоящий документ определяет политику в отношении обработки персональных данных Санкт-Петербургского государственного унитарного предприятия «Петербургский метрополитен» (далее – ГУП «Петербургский метрополитен» или Оператор).

1.2.    Политика в отношении обработки персональных данных ГУП «Петербургский метрополитен» (далее - Политика) разработана и утверждена в соответствии с требованиями пункта 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - ФЗ №152-ФЗ) и действует в отношении персональных данных, обрабатываемых в ГУП «Петербургский метрополитен».

1.3.    Понятия, содержащиеся в ст. 3 Федерального закона от 27.07.2006
№ 152-ФЗ «О персональных данных», используются в настоящей Политике с аналогичным значением.

1.4.    Целью Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, а также интересов ГУП «Петербургский метрополитен».

1.5.    Политика определяет цели, принципы, порядок и условия обработки  персональных данных работников метрополитена и иных лиц, чьи персональные данные обрабатываются в ГУП «Петербургский метрополитен», а также включает перечень мер, применяемых в целях обеспечения безопасности персональных данных при их обработке.

1.6.    Политика является общедоступным документом, декларирующим концептуальные основы деятельности ГУП «Петербургский метрополитен» при обработке персональных данных.

 

2. Правовые основания обработки персональных данных

2.1.    Правовой основой настоящей Политики в области обработки персональных данных является:

-            Конституция РФ;

-            Гражданский кодекс РФ;

-            Трудовой РФ;

-            Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

-            Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации; информационных технологиях и о защите информации»;

-            Указ Президента РФ от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера»;

-            Постановление Правительства Российской Федерации от 15.09.2008
№ 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

-            Постановление Правительства Российской Федерации от 01.11.2012
№ 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

-            Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;

-            Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

-            иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти;

-            уставные документы Оператора;

-            договоры, заключаемые между Оператором и субъектами персональных данных;

-            согласия субъектов персональных данных на обработку персональных данных;

-            иные основания, когда согласие на обработку персональных данных не требуется в силу закона.

2.2.    Во исполнение настоящей Политики Оператором принимаются (издаются) локальные акты, регламентирующие порядок организации обработки и обеспечения безопасности персональных данных.

 

3. Цели и принципы обработки, основные категории и объём персональных данных

3.1.    ГУП «Петербургский метрополитен» осуществляет обработку персональных данных в целях:

-            осуществления функций и деятельности ГУП «Петербургский метрополитен», предусмотренной действующим законодательством РФ, нормативными актами Санкт-Петербурга, Уставом, лицензиями и локальными актами ГУП «Петербургский метрополитен»;

-            регулирования трудовых и связанных с ними отношений с работниками ГУП «Петербургский метрополитен», в том числе содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, привлечении и отбора кандидатов на работу в ГУП «Петербургский метрополитен»;

-            предоставления работникам ГУП «Петербургский метрополитен» и членам их семей дополнительных гарантий и компенсаций, добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;

-            осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на ГУП «Петербургский метрополитен», в том числе по предоставлению персональных данных в государственные внебюджетные фонды, Федеральную налоговую службу, а также в иные государственные органы;

-            осуществления функций и обязанностей, возложенных правительством Санкт-Петербурга на метрополитен по перевозке пассажиров льготных категорий, оформления проездных документов;

-            осуществления работы по обращениям граждан;

-            заключения и исполнения договоров гражданско-правового характера;

-            осуществления медицинской деятельности и санаторно-курортных услуг;

-            обеспечения пропускного и внутриобъектового режимов на объектах ГУП «Петербургский метрополитен»;

-            исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

-            ведения кадрового делопроизводства и организации учета (в том числе воинского) работников ГУП «Петербургский метрополитен».

3.2.    Содержание и объем обрабатываемых категорий персональных данных субъектов персональных данных определяются в соответствии с целями обработки персональных данных. ГУП «Петербургский метрополитен» не обрабатывает персональные данные, которые являются избыточными по отношению к указанным целям обработки или несовместимы с такими целями, и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.

3.3.    ГУП «Петербургский метрополитен» в своей деятельности обеспечивает соблюдение условий обработки персональных данных, указанных в статье 6 ФЗ № 152-ФЗ и следующих принципов:

-            законности и справедливости целей и способов обработки персональных данных;

-            соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям ГУП «Петербургский метрополитен»;

-            соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

-            достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

-            недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;

-            хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;

-            уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.

3.4.    Оператор обрабатывает биометрические, специальные категории персональных данных при условии письменного согласия соответствующих субъектов персональных данных, а также в иных случаях, предусмотренных законодательством Российской Федерации.

3.5.    ГУП «Петербургский метрополитен» не производит трансграничную (на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.

3.6.    В ГУП «Петербургский метрополитен» могут быть созданы общедоступные источники персональных данных (справочники, адресные книги). Персональные данные, сообщаемые субъектом персональных данных, включаются в такие источники только с письменного согласия субъекта персональных данных.

 

4. Порядок, условия и сроки обработки персональных данных

4.1.    ГУП «Петербургский метрополитен» обрабатывает персональные данные своих работников, а также иных лиц, давших согласие на обработку персональных данных, во исполнение заключенных договоров или с целью их заключения, во исполнение обязательств, предусмотренных федеральным законодательством и иными нормативными правовыми актами, а также в иных целях в соответствии с требованиями ФЗ № 152-ФЗ.

4.2.    Обработка персональных данных ГУП «Петербургский метрополитен» осуществляется следующими способами:

-            неавтоматизированная обработка персональных данных;

-            автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

-            смешанная обработка персональных данных.

4.3.    Перечень действий, совершаемых ГУП «Петербургский метрополитен» с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение, а также осуществление любых иных действий в соответствии с действующим законодательством РФ.

4.4.    Обработка персональных данных прекращается по истечении срока, предусмотренного законом, иным нормативным правовым актом Российской Федерации, договором, по истечении срока действия или отзыва согласия субъекта персональных данных на обработку его персональных данных. При отзыве субъектом персональных данных согласия на обработку его персональных данных такая обработка осуществляется только в случаях, предусмотренных законодательством Российской Федерации.

4.5.    В ГУП «Петербургский метрополитен» обеспечивается защита персональных данных в рамках выполнения комплекса организационно-технических и правовых мероприятий информационной безопасности. При обеспечении защиты персональных данных учитываются требования ФЗ
№ 152-ФЗ, принятых в соответствии с ним нормативных правовых актов и Трудового кодекса Российской Федерации.

4.6.    Сроки обработки и хранения персональных данных определяются действующим законодательством РФ (Гражданским кодексом РФ, Трудовым кодексом РФ, Налоговым кодексом РФ, Федеральным законом от 27.07.2006
№ 152-ФЗ «О персональных данных», иными требованиями действующего законодательства РФ и Положениями об обработке и защите персональных данных в информационных системах персональных данных метрополитена.

4.7.    При осуществлении хранения персональных данных ГУП «Петербургский метрополитен» использует базы данных, находящиеся на территории РФ.

4.8.    ГУП «Петербургский метрополитен» прекращает обработку персональных данных в следующих случаях:

-            при достижении цели обработки персональных данных;

-            при изменении, признании утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;

-            при выявлении неправомерной обработки персональных данных;

-            при отзыве субъектом персональных данных согласия на обработку его персональных данных или истечением срока его действия, если в соответствии с Федеральным законом обработка персональных данных допускается только с согласия субъекта персональных данных.

4.9.    Уничтожение персональных данных осуществляется в порядке и сроки, предусмотренные законодательством Российской Федерации и Положениями об обработке и защите персональных данных в информационных системах персональных данных метрополитена.

4.10.   Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее – поручение Оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ № 152-ФЗ, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных ФЗ № 152-ФЗ. В поручении Оператора должны быть определены: перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки; должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 ФЗ № 152-ФЗ, обязанность по запросу Оператора в течение срока действия поручения Оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Оператора требований, установленных статьей 6 ФЗ № 152-ФЗ, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 ФЗ № 152-ФЗ, в том числе требование об уведомлении Оператора о случаях, предусмотренных частью 3.1 статьи 21 ФЗ № 152-ФЗ.

 

5. Категории субъектов персональных данных

5.1.     В ГУП «Петербургский метрополитен» обрабатываются персональные данные субъектов следующих категорий:

-            работников метрополитена и кандидатов на вакантные должности, обработка персональных данных которых осуществляется в соответствии с Трудовым кодексом РФ и иными нормативными правовыми актами РФ;

-            физических лиц, обработка персональных данных которых осуществляется в целях обеспечения исполнения контрактов и договоров, заключаемых ГУП «Петербургский метрополитен», или обратившихся с жалобой, заявлением или иным обращением;

-            работников сторонних организаций, обработка персональных данных которых осуществляется в целях обеспечения пропускного и внутриобъектового режимов на объектах метрополитена;

-            граждан (пассажиров), обработка персональных данных которых осуществляется для предоставления услуг по перевозке метрополитеном;

-            граждан, обработка персональных данных которых осуществляется для предоставления Оператором иных услуг.

 

6. Передача персональных данных

6.1.    ГУП «Петербургский метрополитен» не предоставляет и не раскрывает сведения, содержащие персональные данные субъектов персональных данных, третьей стороне без согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.

6.2.    ГУП «Петербургский метрополитен» передает обрабатываемые персональные данные в уполномоченные организации, государственные органы, государственные внебюджетные фонды только на основаниях, в объеме и в случаях, предусмотренных законодательством Российской Федерации.

6.3.    По мотивированному запросу, исключительно для выполнения возложенных законодательством функций и полномочий, персональные данные субъекта персональных данных без его согласия могут быть переданы в государственные органы – в случаях, установленных нормативными правовыми актами, обязательными для исполнения.

 

7. Права субъектов персональных данных

7.1.    Персональные данные, обрабатываемые в ГУП «Петербургский метрополитен», относятся к информации конфиденциального характера.

7.2.    ГУП «Петербургский метрополитен» при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

7.3.    Во исполнение норм действующего законодательства, а также в соответствии с настоящей Политикой в ГУП «Петербургский метрополитен» принимаются следующие меры:

-            назначаются ответственные за организацию обработки персональных данных;

-            принимаются (издаются) локальные акты, определяющие правила обработки персональных данных, а также процедуры, направленные на выявление и предотвращение нарушения таких правил;

-            применяются правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со статьей 19 ФЗ № 152-ФЗ;

-            осуществляется внутренний контроль соответствия обработки персональных данных требованиям нормативных актов с целью выявления нарушений установленных процедур по обработке персональных данных и устранения последствий таких нарушений;

-            с работниками ГУП «Петербургский метрополитен», непосредственно осуществляющими обработку персональных данных, проводятся мероприятия по ознакомлению с положениями законодательства Российской Федерации в области персональных данных, с требованиями по защите персональных данных, Политикой в отношении обработки персональных данных и локальными актами ГУП «Петербургский метрополитен» по вопросам обработки персональных данных;

-            осуществляется оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ № 152-ФЗ.

7.4.    Обработка персональных данных работниками ГУП «Петербургский метрополитен» может вестись только в служебных помещениях и на оборудовании ГУП «Петербургский метрополитен», включенном в состав информационных систем персональных данных.

7.5.    Работники ГУП «Петербургский метрополитен», доступ которых к персональным данным необходим для выполнения ими служебных (трудовых) обязанностей, обязаны соблюдать конфиденциальность обрабатываемых персональных данных. Лица, виновные в нарушении требований закона, несут гражданскую, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

7.6.    Оператор обеспечивает в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.

7.7.   В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан с момента выявления такого инцидента уведомить уполномоченный орган по защите прав субъектов персональных данных:

-            в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

-            в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

 

8. Права субъектов персональных данных

8.1.    В соответствии с ФЗ №152-ФЗ субъект персональных данных имеет право:

-            требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

-            получать информацию, касающуюся обработки его персональных данных, обрабатываемых ГУП «Петербургский метрополитен», за исключением случаев, предусмотренных федеральным законом;

-            требовать извещения ГУП «Петербургский метрополитен» всех лиц, которым в рамках действующего законодательства РФ ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

-            обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Оператора при обработке его персональных данных;

-            на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;

-            отозвать согласие на обработку своих персональных данных.

8.2.    По письменному запросу субъекта персональных данных или его представителя Оператор обязан сообщить информацию об осуществляемой им обработке персональных данных указанного субъекта. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных и его представителя (в случае направления запроса представителем субъекта), сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.

8.3.    Если в запросе субъекта персональных данных не отражены все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

8.4.    Порядок приема, регистрации, рассмотрения и учета запросов, указанных в пункте 8.2 настоящей Политики регламентирован Положением о порядке рассмотрения обращений граждан и юридических лиц в ГУП «Петербургский метрополитен».

 

9. Заключительные положения

9.1.    Настоящая Политика является общедоступным документом и подлежит размещению на официальном сайте ГУП «Петербургский метрополитен».

9.2.    Все отношения, касающиеся обработки персональных данных, не получившие отражения в настоящей Политике, регулируются согласно положениям законодательства РФ.

9.3.    Настоящая Политика подлежит пересмотру в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.

9.4.    Контроль за исполнением требований настоящей Политики осуществляется ответственным лицом ГУП «Петербургский метрополитен», назначаемым в установленном порядке.