Политика персональных данных

1. Общие положения

        1.1. В рамках выполнения норм действующего законодательства Российской Федерации в полном объеме Публичное акционерное обществе «Трубная Металлургическая Компания» (далее «Компания» или «Оператор») считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.

        1.2. Настоящая Политика в области обработки и обеспечения безопасности персональных данных (далее – «Политика») разработана в соответствии с требованиями Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных.

        1.3. Политика определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и категории обрабатываемых в Компании персональных данных, права субъектов персональных данных, а также реализуемые требования к защите персональных данных.

        1.4. Используемые в настоящей Политике понятия толкуются согласно их определению в Федеральном законе РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее «Закон «О персональных данных»).

        1.5. Политика действует в отношении всех персональных данных, обрабатываемых в Компании и является общедоступным документом.

        1.6. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих вопросы обработки персональных данных в Компании.

 

2. Принципы и правовые основания обработки персональных данных

        2.1. Обработка персональных данных в Компании осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Компании и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

        2.1.1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

        2.1.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

        2.1.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

        2.1.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

        2.1.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

        2.1.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных, или неточных данных.

        2.1.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

        2.1.8. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

        2.2. Компания производит обработку персональных данных при наличии хотя бы одного из следующих условий (правовых оснований):

        2.2.1. Субъект персональных данных дал согласие на обработку персональных данных.

        2.2.2. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

        2.2.3. Обработка персональных данных необходима для осуществления прав и законных интересов Компании для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

        2.2.4. Обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных.

        2.2.5. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

        2.2.6. Иных условий, предусмотренных действующим законодательством Российской Федерации о персональных данных.

 

3. Категории субъектов персональных данных

        3.1. В Компании осуществляетсяобработка    персональных    данных    следующих категорий субъектов:

        3.1.1. Работники Компании.

        3.1.2. Работники предприятий, входящих в Группу ТМК.

        3.1.3. Кандидаты на вакантные должности.

        3.1.4. Акционеры и члены Совета директоров Компании.

        3.1.5. Лица, с которыми заключены договоры гражданско-правового характера.

        3.1.5. Представители контрагентов (физические лица).

        3.1.6. Посетители Компании и сайтов Компании.

        3.1.7. Другие субъекты персональных данных (для обеспечения реализации целей обработки персональных данных, указанных в пункте 4.1 Политики).

 

4. Цели и способы обработки персональных данных

        4.1. Обработка персональных данных осуществляется в целях:

        4.1.1. Содействия работникам и кандидатам в трудоустройстве и продвижении по службе, контроля количества и качества выполняемой работы, соблюдения норм трудового законодательства и иных актов, содержащих нормы трудового права.

        4.1.2. Осуществление информационного обеспечения Компании и иных предприятий Группы ТМК, облегчение коммуникаций между сотрудниками посредством запуска корпоративных СМИ, а также ведения справочников, корпоративного портала, мобильного приложения, содержащих контактную и иную деловую информацию.

        4.1.3. Организация и осуществление Компанией обучения, повышения квалификации, профессиональной подготовки работников, а также получения необходимой информации от Компании в рамках деятельности Корпоративного Университета TMK2U.

        4.1.4. Организация и управление служебными поездками и командировками сотрудников (включая помощь в бронировании билетов/гостиниц, оформлении виз).

        4.1.5. Оформление визитных карточек, предоставление услуг такси, организация курьерских услуг.

        4.1.6. Выполнение Компанией принятых на себя социальных обязательств в отношении сотрудников и членов их семей (добровольное медицинское страхование, выплата материальной помощи, оформление путевок/предоставление компенсаций за путевки, корпоративная программа софинансирования накопительной части пенсии, предоставление подарков).

        4.1.7. Организация корпоративных и спортивных мероприятий.

        4.1.8. Обеспечение личной безопасности и защита жизни и здоровья сотрудников (в том числе посредством организации пропускного контроля на объектах Общества).

        4.1.9. Заключения   и    исполнения   гражданско-правовых   договоров,   в    том    числе договоров на оказание услуг.

        4.1.10. Соблюдения     законодательства     Российской     Федерации     об     акционерных обществах, о раскрытии информации.

        4.1.11. Соблюдения антимонопольного законодательства.

        4.1.12. Соблюдения законодательства о ценных бумагах.

        4.1.13. Защиты прав и законных интересов Компании, предприятий Группы ТМК и их должностных лиц в судах, органах по разрешению споров, административных органах.

        4.1.14. Формирования отчетности или подготовки предусмотренных в законодательстве заявлений, уведомлений и т.д. в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования, Федеральную налоговую службу и другие государственные органы и службы.

        4.1.15. Проведения контрольных и аудиторских проверок организаций Группы ТМК.

        4.1.16. Получения лицензий.

        4.1.17. Подготовки доверенностей, выдаваемых работникам Компании, работникам предприятий Группы ТМК, иных организаций и физическим лицам.

        4.1.18. Обеспечения пропускного и внутриобъектового режимов в зданиях и помещениях Компании, обеспечения сохранности имущества.

        4.1.19. Предоставления посетителям сайта Компании возможности для обратной связи с Компанией, учета обращений (запросов, предложений, комментариев, претензий, благодарностей) в адрес Компании, а также осуществления информационного обслуживания пользователей сайта.

        4.1.20. Предоставления посетителям сайта Компании консультаций по вопросам, касающимся оказываемых услуг.

        4.1.21. Организации участия посетителей сайта Компании в стимулирующих мероприятиях, направленных на повышение узнаваемости и потребительской лояльности в отношении Компании, а также на продвижение услуг.

        4.1.22. Обеспечения защиты корпоративной информации и организации режима коммерческой тайны.

        4.1.23. Исполнения иных обязательств, в рамках правовых оснований, перечисленных в пункте 2.2 Политики.

        4.2. Обработка персональных данных в Компании осуществляется с использованием средств автоматизации, в том числе в информационных системах персональных данных, и без использования таких средств (смешанная обработка персональных данных).

        4.3. При автоматизированной обработке персональных данных применяется передача персональных данных по внутренней сети Компании и с использованием информационно-телекоммуникационной сети «Интернет».

 

5. Порядок и условия обработки персональных данных

        5.1. К обработке персональных данных допускаются только те работники Компании, в должностные обязанности которых входит обработка персональных данных. Указанные работники имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.

        5.2. Компания осуществляет обработку персональных данных, в том числе, в рамках организации пропускного режима в целях обеспечения личной безопасности сотрудников Компании и иных лиц, посещающих объекты недвижимости (помещения, здания, территорию) Компании, а также обеспечения сохранности материальных и иных ценностей, находящихся в ведении Компании.

        5.3. Компания осуществляет обработку специальных категорий персональных данных о состоянии здоровья, относящихся к возможности выполнения работниками трудовой функции в соответствии с положениями ст. 10 Закона «О персональных данных».

        5.4. Компания обеспечивает обработку персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, прямо предусмотренных законодательством Российской Федерации о персональных данных.

        5.5. Компания вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством, на основании заключаемого с этим лицом договора.

        5.6. В поручении Компании (договоре) определяется перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также указываются требования к защите обрабатываемых персональных данных.

        5.7. Лицо, осуществляющее обработку персональных данных по поручению Компании, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

        5.8. Кроме того, Компания вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

        5.9. Персональные данные хранятся в течение периода, необходимого для достижения целей, в которых такие данные были предоставлены или в течение периода, предусмотренного законодательством. Персональные данные уничтожаются по достижению целей/истечения периода для их обработки персональных данных.

 

6. Обеспечение защиты и безопасности персональных данных

        6.1. Компания предпринимает все необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:

          а) назначением ответственного лица за организацию обработки персональных данных;

          b) осуществлением внутреннего контроля и/или аудита соответствия обработки персональных данных Закону «О персональных данных» и принятыми в соответствии с ними нормативными правовыми актами, локальными актами Компании;

          c) ознакомлением работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, локальными актами Компании в отношении обработки персональных данных и обучением указанных работников;

          d) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

         e) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;

          f) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

          g) учетом машинных носителей персональных данных;

          h) обнаружением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;

          i) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

          j) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

          k) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

 

7. Права и обязанности субъектов персональных данных

        7.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Компанией.

        7.2. Субъект персональных данных вправе требовать от Оператора уточнения своих персональных данных, их блокировки или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

        7.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

        7.4. Для реализации защиты своих прав и законных интересов субъект персональных данных имеет право обратиться к Оператору путем направления соответствующего запроса в письменной форме по адресу: 105062, Российская Федерация, г. Москва, ул. Покровка, д. 40, стр. 2А.

        7.5. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона «О персональных данных» все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

        7.6. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, привлечения виновных лиц к ответственности и урегулирования спорных ситуаций в досудебном порядке.

        7.7. Субъект персональных данных вправе обжаловать действия и бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.

        7.8. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

        7.9. Субъекты персональных данных обязуются предоставлять только достоверные данные о себе.

 

8. Ответственность за нарушение правил обработки персональных данных и требований к защите персональных данных

        8.1. Работники Компании, участвующие в обработке персональных данных, несут дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с действующим законодательством Российской Федерации за нарушение правил обработки персональных данных и требований к защите персональных данных.

 

9. Заключительные положения

        9.1. Настоящая Политика, является общедоступной и подлежит размещению на корпоративном портале Компании, а также официальном сайте Компании.

        9.2. Настоящая Политика подлежит изменению и/или дополнению в случае необходимости, в том числе в случае внесения изменений в нормативные правовые акты в сфере персональных данных.

        9.3. Все отношения с участием Компании, касающиеся обработки и защиты персональных данных и не получившие непосредственного отражения в настоящей Политике, регулируются согласно положениям действующего законодательства Российской Федерации о персональных данных.