Политика обработки личных данных в ЗАО «Газпром Армения»
1.Общие положения
1.1. Политика обработки личных данных в ЗАО «Газпром Армения» (далее-Политика) определяет основные принципы, цели, условия и способы обработки личных данных, перечни субъектов и обрабатываемых в ЗАО «Газпром Армения» личных данных, функции ЗАО «Газпром Армения» при обработке личных данных, права субъектов личных данных, а также реализуемые в ЗАО «Газпром Армения» требования к защите личных данных.
1.2. Политика разработана с учетом требований Конституции Республики Армения, законодательных и иных нормативных правовых актов Республики Армения в области личных данных.
1.3. Положения Политики служат основой для разработки внутренних (локальных) правовых актов, регламентирующих в ЗАО «Газпром Армения» вопросы обработки личных данных работников ЗАО «Газпром Армения» и других субъектов личных данных.
1.4. Политика является основой для разработки дочерними организациями ЗАО «Газпром Армения» внутренних (локальных) правовых актов, определяющих политику обработки личных данных указанных организаций.
2. Законодательные и иные нормативные правовые акты Республики Армения, в соответствии с которыми определяется Политика обработки личных данных в ЗАО «Газпром Армения»
2.1. Политика обработки личных данных в ЗАО «Газпром Армения» определяется в соответствии со следующими нормативными правовыми актами:
2.1.1. Трудовой кодекс Республики Армения;
2.1.2. Закон Республики Армения от 18 мая 2015г. № 49 «О защите личных данных»;
2.1.3. Постановление Правительства Республики Армения от 15 октября 2015г. № 1175-Н «Об утверждении требований к материальным носителям биометрических личных данных и технологиям хранения таких данных вне информационных систем личных данных»;
2.1.4. Иные нормативные правовые акты Республики Армения и нормативные документы уполномоченных органов государственной власти.
2.2. В целях реализации положений Политики в ЗАО «Газпром Армения» разрабатываются соответствующие внутренние (локальные) правовые акты и иные документы, в том числе:
2.2.1. Положение об обработке личных данных в ЗАО «Газпром Армения»;
2.2.2. Перечень должностей структурных подразделений аппарата ЗАО «Газпром Армения», его учреждения и филиалов, при замещении которых осуществляется обработка личных данных;
2.2.3. Регламенты обработки личных данных в структурных подразделениях ЗАО «Газпром Армения», его учреждении и филиалах;
2.2.4. Иные внутренние (локальные) правовые акты и документы, регламентирующие в ЗАО «Газпром Армения» вопросы обработки личных данных.
3. Основные термины и определения, используемые во внутренних (локальных) правовых актах ЗАО «Газпром Армения», регламентирующих вопросы обработки личных данных
Оператор личных данных — орган государственного управления или местного самоуправления, государственные или муниципальные учреждения или организации, юридическое или физическое лицо, которые организуют и (или) осуществляют обработку личных данных;
Обработка личных данных — любое действие или совокупность действий, которые связаны со сбором или с фиксированием, или вводом, или систематизацией, или формированием, или хранением, или использованием, или преобразованием, или восстановлением, или передачей, или исправлением, или блокированием, или уничтожением личных данных, или совершением с ними других действий, независимо от вида и способа осуществления (в том числе, с применением любых средств автоматизации, технических средств или без них);
Субъект данных — физическое лицо, к которому относятся личные данные;
Данные личной жизни — сведения о личной жизни, семейной жизни, физическом, физиологическом, интеллектуальном, социальном состоянии лица или другие подобные сведения;
Биометрические личные данные — сведения, характеризующие физические, физиологические и биологические особенности лица;
Личные данные специальной категории — сведения, касающиеся расовой, национальной принадлежности или этнического происхождения, политических взглядов, религиозных или философских убеждений, членства в профессиональном союзе, состояния здоровья и интимной жизни лица;
Общедоступные личные данные — сведения, которые становятся доступными определенному или неопределенному кругу лиц с согласия субъекта данных или при совершении сознательных действий, направленных на их общедоступность, а также сведения, предусмотренные законом в качестве общедоступных сведений;
База данных — совокупность личных данных, систематизированных по определенным признакам;
Передача личных данных третьим лицам — действие, направленное на передачу личных данных определенному или неопределенному кругу других лиц либо на ознакомление с ними определенного или неопределенного круга других лиц, в том числе обнародование личных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление другому лицу доступа к личным данным иным способом;
Третье лицо — любoе лицо, орган, учреждение или организация, которые не являются субъектом данных, оператором личных данных или уполномоченным лицом, и права или законные интересы которых затрагиваются или могут быть затронуты в результате обработки личных данных;
Использование личных данных — действие, совершаемое с личными данными, прямой или косвенной целью которого может быть принятие решений или формирование мнения, или приобретение прав, или предоставление прав либо льгот, или ограничение либо лишение прав, или реализация иной цели, которые влекут или могут повлечь для субъекта данных или третьих лиц правовые последствия или иным образом соотноситься с их правами и свободами;
Блокирование личных данных — временное приостановление возможности сбора или фиксирования, или систематизации, или передачи, или использования личных данных;
Уничтожение личных данных — действие, в результате которого невозможно восстановить содержание личных данных, имеющихся в информационной системе;
Обезличивание личных данных — действия, в результате которых невозможно определить принадлежность данных конкретному субъекту данных;
Информационная система — совокупность информационных технологий или технических средств, применяемых для обработки включенных в базу данных личных данных, их обработки электронным или неэлектронным способом;
Уполномоченное лицо — юридическое или физическое лицо, орган государственного управления или местного самоуправления, государственные или муниципальные учреждение или организация, которым в установленных законом случаях или на основании договора оператором данных заказан сбор, ввод, систематизация или другой способ обработки личных данных.
4. Принципы и цели обработки личных данных
4.1. ЗАО «Газпром Армения», являясь оператором личных данных, осуществляет обработку личных данных работников ЗАО «Газпром Армения» и других субъектов личных данных, не состоящих с ЗАО «Газпром Армения» в трудовых отношениях.
4.2. Обработка личных данных в ЗАО «Газпром Армения» осуществляется с учетом необходимости обеспечения защиты прав и свобод работников ЗАО «Газпром Армения» и других субъектов личных данных, в том числе защиты права на уважение их личной и семейной жизни, на основе следующих принципов:
4.2.1. Личные данные в ЗАО «Газпром Армения» обрабатываются в законных и определенных целях и не могут быть использованы в других целях без согласия субъекта данных;
4.2.2. ЗАО «Газпром Армения» обязано следить за обработкой и обеспечивать обработку данных с соблюдением требований закона;
4.2.3. Обработка данных должна преследовать законную цель, методы ее достижения должны быть приемлемыми, необходимыми и соразмерными;
4.2.4. Запрещается обработка таких личных данных, которые не являются необходимыми для цели обработки данных или несовместимы с ней;
4.2.5. Oбработке подлежат личные данные в том минимальном количестве, которое необходимо для достижения законных целей;
4.2.6. Обрабатываемые личные данные должны быть полными, точными, ясными и по возможности обновленными;
4.2.7. Личные данные должны храниться таким образом, чтобы исключить их идентификацию с субъектом данных на более длительный срок, чем это необходимо для достижения заранее определенных целей;
4.2.8. Запрещается обработка личных данных, если цель обработки данных может быть достигнута способом обезличивания.
4.3. Личные данные обрабатываются в ЗАО «Газпром Армения» в целях:
4.3.1. Обеспечения соблюдения Конституции Республики Армения, законодательных и иных нормативных правовых актов Республики Армения, внутренних (локальных) правовых актов ЗАО «Газпром Армения»;
4.3.2. Осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Армения на ЗАО «Газпром Армения», в том числе по предоставлению личных данных в органы государственной власти, а также в иные государственные органы;
4.3.3. Регулирования трудовых отношений с работниками ЗАО «Газпром Армения» (обеспечения выполнения требований законов и иных нормативных правовых актов, содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение целостности имущества);
4.3.4. Предоставления работникам ЗАО «Газпром Армения» и членам их семей дополнительных гарантий и компенсаций, в том числе негосударственного пенсионного обеспечения, добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;
4.3.5. Защиты жизни, здоровья или иных жизненно важных интересов субъектов личных данных;
4.3.6. Подготовки, заключения, исполнения и прекращения договоров с контрагентами;
4.3.7. Обеспечения пропускного и внутриобъектового режимов на объектах ЗАО «Газпром Армения»;
4.3.8. Формирования справочных материалов для внутреннего информационного обеспечения деятельности ЗАО «Газпром Армения», его учреждения и филиалов;
4.3.9. Исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Армения об исполнительном производстве;
4.3.10. Осуществления прав и законных интересов ЗАО «Газпром Армения» в рамках осуществления видов деятельности, предусмотренных Уставом и иными внутренними (локальными) правовыми актами ЗАО «Газпром Армения», или третьих лиц, либо достижения общественно значимых целей;
4.3.11. В иных законных целях.
5. Перечень субъектов, личные данные которых обрабатываются в ЗАО «Газпром Армения»
5.1. В ЗАО «Газпром Армения» обрабатываются личные данные следующих категорий субъектов:
5.1.2. Работники структурных подразделений аппарата ЗАО «Газпром Армения», его учреждения и филиалов;
5.1.3. Другие субъекты личных данных (для обеспечения реализации целей обработки, указанных в разделе 4 Политики).
6. Перечень личных данных, обрабатываемых в ЗАО «Газпром Армения»
6.1. Перечень личных данных, обрабатываемых в ЗАО «Газпром Армения», определяется в соответствии с законодательством Республики Армения и внутренними (локальными) правовыми актами ЗАО «Газпром Армения» с учетом целей обработки личных данных, указанных в разделе 4 Политики.
7. Функции ЗАО «Газпром Армения» при осуществлении обработки личных данных
7.1. ЗАО «Газпром Армения» при осуществлении обработки личных данных:
7.1.1. Принимает меры для обеспечения конфиденциальности личных данных;
7.1.2. Принимает правовые, организационные и технические меры для защиты личных данных от случайной потери, незаконного проникновения в информационные системы, незаконного использования, уничтожения, преобразования, блокирования, копирования, записи, распространения и другого вмешательства;
7.1.3. Издает внутренние (локальные) правовые акты, определяющие политику и вопросы обработки и защиты личных данных в ЗАО «Газпром Армения»;
7.1.4. Осуществляет ознакомление работников ЗАО «Газпром Армения», его учреждения и филиалов, непосредственно осуществляющих обработку личных данных, с положениями законодательства Республики Армения и внутренних (локальных) правовых актов ЗАО «Газпром Армения» в области личных данных, в том числе требованиями к защите личных данных, и обучение указанных работников;
7.1.5. В случаях, установленных законодательством Республики Армения сообщает в установленном порядке субъектам личных данных или их представителям информацию о наличии личных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими личными данными при обращении и/или поступлении запросов указанных субъектов личных данных или их представителей, если иное не установлено законодательством Республики Армения;
7.1.6. Прекращает обработку, блокирует и/или уничтожает личные данные в случаях, предусмотренных законодательством Республики Армения в области личных данных;
7.1.7. Совершает иные действия, предусмотренные законодательством Республики Армения в области личных данных.
8. Условия обработки личных данных в ЗАО «Газпром Армения»
8.1. Обработка личных данных в ЗАО «Газпром Армения» осуществляется с согласия субъекта личных данных на обработку его личных данных, если иное не предусмотрено законом «О защите личных данных» либо иными законами Республики Армения.
8.2. ЗАО «Газпром Армения» без согласия субъекта личных данных не раскрывает третьим лицам и не распространяет личные данные, если иное не предусмотрено законом Республики Армения.
8.3. По заданию ЗАО «Газпром Армения», личные данные может обрабатывать уполномоченное лицо. Задание дается в письменной форме, в нем должны быть изложены правовые основания и условия, цель обработки личных данных, перечень личных данных, подлежащих обработке, круг субъектов данных, круг лиц, которым могут передаваться личные данные, технические и организационные мероприятия по защите личных данных и другие необходимые сведения.
8.4. В целях внутреннего информационного обеспечения, ЗАО «Газпром Армения» может создавать внутренние справочные материалы, в которые с письменного согласия субъекта личных данных, если иное не предусмотрено законодательством Республики Армения, могут включаться его фамилия, имя, отчество, место работы, должность, год рождения, адрес, абонентский номер, адрес электронной почты, иные личные данные, сообщаемые субъектом личных данных.
8.5. Доступ к обрабатываемым в ЗАО «Газпром Армения» личным данным разрешается только работникам ЗАО «Газпром Армения», занимающим должности, включенные в перечень должностей структурных подразделений аппарата ЗАО «Газпром Армения», его учреждения и филиалов, при замещении которых осуществляется обработка личных данных.
9. Перечень действий с личными данными и способы их обработки
9.1. ЗАО «Газпром Армения» осуществляет сбор, фиксирование, ввод, систематизацию, формирование, хранение, использование, преобразование, восстановление, передачy, исправление, блокирование, уничтожение личных данных, независимо от вида и способа осуществления (в том числе, с применением любых средств автоматизации, технических средств или без них).
10. Права субъектов личных данных
10.1. Субъекты личных данных имеют право на:
10.1.1. Получение сведений о своих личных данных, об обработке данных, основаниях и целях обработки, а также круге лиц, которым могут быть переданы личные данные обрабатываемых в ЗАО «Газпром Армения»;
10.1.2. Получение информации об обработке своих личных данных, в том числе:
10.1.2.1. О подтверждении факта обработки и цели обработки личных данных;
10.1.2.2. О способах обработки личных данных;
10.1.2.3. О субъектах, которым предоставлены или могут предоставляться личные данные;
10.1.2.4. О перечне обрабатываемых личных данных и об источниках их получения;
10.1.2.5. О сроках обработки личных данных;
10.1.2.6. О возможных правовых последствиях, возникающих для субъекта данных вследствие обработки личных данных.
10.1.3. Ознакомление со своими личными данными, требование от Общества исправления, блокирования или уничтожения своих личных данных, если личные данные являются неполными или неточными, или устаревшими, или получены незаконным путем, или не являются необходимыми для достижения целей обработки;
10.1.4. Отзыв согласия на обработку личных данных;
10.1.5. Принятие предусмотренных законом мер по защите своих прав;
10.1.6. Осуществление иных прав, предусмотренных законодательством Республики Армения.
10.2. Решения, влекущие для субъекта данных правовые последствия, или иным образом соотносящиеся с его правами и законными интересами на основании обработки личных данных, принимаются с согласия субъекта данных или в предусмотренных законом случаях.
11. Меры по обеспечению безопасности обработки личных данных и обязанности ЗАО «Газпром Армения»
11.1. ЗАО «Газпром Армения» как оператор личных данных обязан:
11.1.1. Предоставить по требованию субъекта данных информацию, о своих личных данных, об обработке данных, основаниях и целях обработки, операторе данных, о месте его нахождения, а также круге лиц, которым могут быть переданы личные данные;
11.1.2. Предоставить субъекту данных и уполномоченному органу информацию о наличии личных данных, относящихся к субъекту данных, или предоставить возможность ознакомления с ними в течение пяти дней после получения их письменного запроса;
11.1.3. Осуществить необходимые действия по их дополнению, обновлению, исправлению или уничтожению, в случае неполных, неточных, устаревших, полученных незаконным путем или не являющихся необходимыми для достижения целей обработки личных данных;
11.1.4. Предотвращать доступ к соответствующим технологиям обработки личных данных лиц, не имеющих на это право, и обеспечивать, чтобы законному пользователю этих систем были доступны только обрабатываемые им данные и те данные, которыми разрешается пользоваться;
11.1.5. Уничтожать или блокировать личные данные, не являющиеся необходимыми для достижения законной цели;
11.1.6. В письменной форме разъяснить субъекту данных последствия непредставления личных данных, в том числе права субъекта личных данных.
11.2. Операторы личных данных или другие предусмотренные Законом лица обязаны обеспечивать конфиденциальность личных данных как в процессе исполнения служебных или трудовых обязанностей, связанных с обработкой личных данных, так и после его завершения.
11.3. Биометрические личные данные обрабатываются только с согласия субъекта данных, за исключением случаев, предусмотренных законом, и если осуществление преследуемой законом цели возможно только путем обработки этих биометрических данных.
11.4. Запрещается обработка личных данных специальной категории без согласия лица, за исключением обработки данных, непосредственно предусмотренной законом.
11.5. Обработка личных данных специальной категории незамедлительно прекращается, если отпали основания и цель обработки данных.
11.6. ЗАО «Газпром Армения» как оператор личных данных осуществляет:
11.6.1. Организацию обучения и проведение методической работы с работниками структурных подразделений аппарата ЗАО «Газпром Армения», его учреждения и филиалов, занимающими должности, включенные в перечень должностей при замещении которых осуществляется обработка личных данных;
11.6.2. Установление запрета на передачу личных данных по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны, ЕВСПД ПАО «Газпром» и сетям Интернет без применения установленных в ЗАО «Газпром Армения» мер по обеспечению безопасности личных данных (за исключением общедоступных и/или обезличенных личных данных);
11.6.3. Хранение материальных носителей личных данных с соблюдением условий, обеспечивающих сохранность личных данных и исключающих несанкционированный доступ к ним;
11.6.4. Осуществление внутреннего контроля соответствия обработки личных данных закону Республики Армения «О защите личных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите личных данных, настоящей Политике, внутренным (локальным) правовым актам ЗАО «Газпром Армения»;
11.6.5. Иные меры, предусмотренные законодательством Республики Армения в области личных данных.
11.7. Требования, предъявляемые к обеспечению безопасности обработки личных данных в информационных системах, требования, предъявляемые к материальным носителям биометрических личных данных и технологиям хранения таких личных данных вне информационных систем, устанавливаются постановлением Правительства Республики Армения.
12. Контроль за соблюдением законодательства Республики Армения и внутренних (локальных) правовых актов ЗАО «Газпром Армения» в области личных данных, в том числе требований к защите личных данных
12.1. Контроль за соблюдением структурными подразделениями аппарата ЗАО «Газпром Армения», его учреждением и филиалами законодательства Республики Армения и внутренних (локальных) правовых актов ЗАО «Газпром Армения» в области личных данных, в том числе требований к защите личных данных, осуществляется с целью проверки соответствия обработки личных данных в структурных подразделениях аппарата ЗАО «Газпром Армения», его учреждении и филиалах законодательству Республики Армения и внутренним (локальным) правовым актам ЗАО «Газпром Армения» в области личных данных, в том числе требованиям к защите личных данных, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства Республики Армения в области личных данных, выявления возможных каналов утечки и несанкционированного доступа к личным данным, устранения последствий таких нарушений.
12.2. Персональная ответственность за соблюдение требований законодательства Республики Армения и внутренних (локальных) правовых актов ЗАО «Газпром Армения» в области личных данных в структурных подразделениях аппарата ЗАО «Газпром Армения», его учреждении или филиале, а также за обеспечение конфиденциальности и безопасности личных данных в указанных подразделениях ЗАО «Газпром Армения» возлагается на их руководителей.
13. Заключительные положения
В случае, если отдельные нормы настоящей Политики вступят в противоречие с законодательством Республики Армения и/или Уставом Общества, они утрачивают силу, и применяются соответствующие нормы законодательства Республики Армения и/или Устава Общества. Недействительность отдельных норм настоящей Политики не влечет недействительности других норм и Политики в целом.