Политика в отношении обработки персональных данных

1. Общие положения

1.1. Политика АО «ЭЗС РусГидро» в отношении обработки персональных данных (далее – Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона № 152-ФЗ в целях обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Политика определяет основные принципы, цели, правовые основания обработки персональных данных, перечни и категории обрабатываемых персональных данных, а также реализуемые Обществом требования к защите персональных данных.

1.3. Политика действует в отношении всех персональных данных, обрабатываемых в Обществе.

Политика распространяется на отношения в области обработки персональных данных, возникшие у Общества как до, так и после ее утверждения.

Действие Политики не распространяется на отношения, возникающие при организации в соответствии с законодательством Российской Федерации об архивном деле хранения, комплектования, учета и использования архивных документов Общества, содержащих персональные данные.

1.4. Политика является основой для организации работы по обработке и защите персональных данных в Обществе, в том числе для разработки
ЛНД (А) Общества, регламентирующих конкретные вопросы обработки
и защиты персональных данных в Обществе.

1.5. Политика является обязательной для исполнения всеми работниками Общества.

1.6. Политика является общедоступным документом, размещенным на Сайте, неограниченный доступ к которому предоставляется любому заинтересованному лицу.

1.7. Политика и изменения в нее утверждаются Председателем Правления – Генеральным директором Общества или иным уполномоченным лицом.

1.8. Ответственным за организацию рассмотрения предложений и инициирование внесения изменений в Политику является Департамент безопасности Общества.

2. Принципы обработки персональных данных

2.1. При организации обработки персональных данных Общество руководствуется следующими принципами:

• обработка персональных данных осуществляется в Обществе на законной и справедливой основе;
• обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
• не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
• не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• обработке подлежат только персональные данные, которые отвечают целям их обработки;
• содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
• при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Обществом принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных персональных данных;
• хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

2.2. При обработке персональных данных Общество исходит из того, что субъект персональных данных предоставляет точную и достоверную информацию, во время взаимодействия с Обществом извещает представителей Общества об изменении своих персональных данных.

3. Цели сбора, способы, сроки обработки (хранения) и уничтожения персональных данных

3.1. Для каждой цели обработки персональных данных в ЛНД (А) Общества указываются конкретные категории субъектов персональных данных, категории и перечни персональных данных, обрабатываемых в Обществе, а также установлены способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.

3.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.

Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3.3. Персональные данные обрабатываются Обществом в целях (включая, но не ограничиваясь):

• обеспечения соблюдения трудового законодательства Российской Федерации;
• обеспечения соблюдения налогового законодательства Российской Федерации;
• обеспечения соблюдения пенсионного законодательства Российской Федерации;
• обеспечения соблюдения законодательства о государственной социальной помощи Российской Федерации;
• обеспечения соблюдения законодательства Российской Федерации об обороне;
• обеспечения соблюдения законодательства Российской Федерации о безопасности;
• обеспечения соблюдения законодательства Российской Федерации о противодействии терроризму;
• обеспечения соблюдения законодательства Российской Федерации о противодействии коррупции;
• обеспечения соблюдения законодательства Российской Федерации об исполнительном производстве;
• обеспечения соблюдения законодательства Российской Федерации о государственной тайне;
• обеспечения соблюдения законодательства Российской Федерации о раскрытии информации на рынке ценных бумаг;
• обеспечения соблюдения законодательства Российской Федерации в части раскрытия субъектами электроэнергетики информации;
• обеспечения соблюдения законодательства Российской Федерации о безопасности объектов топливно-энергетического комплекса;
• обеспечения соблюдения законодательства Российской Федерации в сфере закупок товаров, работ, услуг;
• обеспечения соблюдения законодательства Российской Федерации об инсайдерской информации;
• соблюдения законодательства Российской Федерации в целях реализации акционерами Общества их прав (право на участие в собраниях акционеров, право на получение дивидендов, право на получение информации и др.);
• соблюдения законодательства Российской Федерации при выдвижении кандидатов в органы управления и контроля организаций, в которых участвует Общество;
• обеспечения соблюдения законодательства Российской Федерации в банковской сфере;
• ведения кадрового и бухгалтерского учета;
• подготовки, заключения и исполнения гражданско-правового договора;
• исполнения судебного акта;
• осуществления научной, литературной или иной творческой деятельности;
• осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации;
• статистического учета;
• обеспечения пропускного режима на территорию Оператора;
• подбора персонала (соискателей) на вакантные должности;
• обеспечения прохождения ознакомительной, производственной или преддипломной практики на основании договора с учебным заведением;
• предоставления персональных данных в органы государственной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления;
• предоставления сведений в банк для перечисления заработной платы и выплаты вознаграждений, оформления зарплатных карт, прикрепление к зарплатному проекту, расчет и выплаты или удержание денежных средств работникам (заработной платы, премий, надбавок, компенсаций, пособий);
• оформления служебных командировок;
• предоставления информации по запросам, в том числе рассмотрения обращений, поступающих на Линию доверия Группы РусГидро;
• реализации уставных целей Общества, корпоративных коммуникаций и обеспечения корпоративного управления;
• обеспечения содействия органам управления Общества в повышении эффективности управления Группы РусГидро, совершенствовании ее деятельности, в том числе путем системного и последовательного подхода к анализу и оценке системы управления рисками, внутреннего контроля и корпоративного управления, осуществления внутреннего аудита;
• оформления доверенностей;
• организации обучения работников Общества;
• организации и проведения профориентационных мероприятий;
• сбора, анализа и передачи в уполномоченные органы (Минэнерго России, Правительство Российской Федерации) сведений о доходах, имуществе и обязательствах имущественного характера работников (руководителей) Общества;
• бюджетирования и бизнес-планирования расходов на персонал Общества;
• предоставления работникам льгот, гарантий, компенсаций;
• обеспечения информационного обмена оперативной и плановой отчетной информацией в Группе РусГидро;
• предоставления информации в связи с обращением ценных бумаг на организованных торгах (биржах).

3.4.Для каждой цели обработки персональных данных предусмотрены следующие способы обработки персональных данных: автоматизированная обработка персональных данных (с использованием средств вычислительной техники), неавтоматизированная обработка персональных данных (без использования средств вычислительной техники) с фиксацией персональных данных на материальных носителях и смешанная обработка персональных данных (обработка персональных данных, включающая как автоматизированную, так и неавтоматизированную обработку персональных данных).

Обработка Обществом персональных данных автоматизированным способом (в информационных системах персональных данных) и неавтоматизированным способом осуществляется с соблюдением требований законодательства Российской Федерации и ЛНД (А) Общества, регламентирующих вопросы обработки и защиты персональных данных. При обработке персональных данных автоматизированном способом Общество принимает необходимые меры по обеспечению безопасности обрабатываемых персональных данных. Обработка персональных данных неавтоматизированном способом, в том числе хранение материальных носителей, осуществляется в помещениях, обеспечивающих их сохранность, с возможностью определить места хранения персональных данных (материальных носителей) в порядке, предусмотренном законодательством Российской Федерации.

3.5. Сроки обработки и хранения персональных данных для каждой указанной в приложении к Политике цели обработки персональных данных устанавливаются с учетом соблюдения требований, в том числе условий обработки персональных данных, определенных законодательством Российской Федерации, и/или с учетом положений договора, стороной, выгодоприобретателем или поручителем по которому выступает субъект персональных данных, и/или согласия субъекта персональных данных на обработку его персональных данных, при этом обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если иное не установлено законодательством Российской Федерации.

3.6. Уничтожение персональных данных, обработка которых осуществляется в рамках целей, указанных в приложении к Политике, производится в следующих случаях:

• при достижении цели (целей) обработки персональных данных или в случае утраты необходимости в достижении цели (целей) обработки персональных данных, если иное не установлено нормативными правовыми актами Российской Федерации;
• при выявлении факта неправомерной обработки персональных данных;
• при отзыве субъектом персональных данных согласия на обработку персональных данных, если иное не предусмотрено законодательством Российской Федерации;
• при предъявлении субъектом персональных данных требования
  о прекращении обработки персональных данных, если иное не установлено законодательством Российской Федерации.

Способы уничтожения персональных данных определяются ЛНД (А) Общества по вопросам обработки и защиты персональных данных в зависимости от способов обработки персональных данных и материальных носителей персональных данных, на которых осуществляется запись и хранение персональных данных.

4. Перечень субъектов, персональные данные которых обрабатываются в Обществе

4.1. Общество обрабатывает персональные данные следующих категорий субъектов:

• работники Общества, в том числе уволенные;
• члены Совета директоров Общества;
• члены Ревизионной комиссии Общества;
• соискатели на вакантные должности Общества;
• члены семьи и близкие родственники / родственники субъектов персональных данных, указанных в пунктах 4.1.1 – 4.1.4 Политики;
• физические лица, рекомендующие соискателей;
• физические лица, информация о которых подлежит раскрытию на рынке ценных бумаг;
• физические лица, подлежащие включению / включенные в списки инсайдеров Общества;
• физические лица, являющиеся акционерами Общества, участниками / акционерами;
• физические лица, являющиеся представителями акционеров (юридических лиц) Общества, представителями участников / акционеров (юридических лиц);
• физические лица, являющиеся контрагентами / выгодоприобретателями по договорам, заключенным с Обществом;
• физические лица, являющиеся представителями контрагентов / выгодоприобретателей по договорам, заключенным с Обществом;
• физические лица, направляющие обращения в Общество;
• студенты, проходящие ознакомительную, производственную или преддипломную практику в Обществе;
• посетители Общества, которым оформляются разовые или временные пропуска при посещении объектов Общества (в том числе административных зданий);
• посетители Сайта;
• представители субъектов персональных данных.

5. Перечень персональных данных, обрабатываемых в Обществе

5.1. При определении состава обрабатываемых персональных данных категорий субъектов персональных данных Общество руководствуется минимально необходимым составом персональных данных, достаточным для достижения указанных в разделе 3 Политики целей.

5.2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, может осуществляться Обществом с соблюдением законодательства Российской Федерации в следующих случаях:

• субъект персональных данных дал согласие в письменной форме;
• обработка персональных данных, разрешенных субъектом персональных данных, осуществляется с соблюдением запретов и условий, предусмотренных Федеральным законом № 152-ФЗ;
• обработка персональных данных осуществляется в соответствии
  с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;
• обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно
  и в связи с осуществлением правосудия;
• обработка персональных данных осуществляется в соответствии
  с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве и уголовно-исполнительным законодательством Российской Федерации;
• обработка персональных данных осуществляется в соответствии
  с законодательством Российской Федерации об обязательных видах страхования, со страховым законодательством Российской Федерации;
• обработка персональных данных, касающихся состояния здоровья, полученных в результате обезличивания персональных данных, в целях повышения эффективности государственного или муниципального управления, а также в иных целях, в порядке и на условиях, предусмотренных законодательством Российской Федерации.

5.3. Общество не осуществляет трансграничную передачу персональных данных на территории иностранных государств.

5.4. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется в Обществе на основании согласия субъекта персональных данных на распространение с соблюдением установленных субъектом персональных данных запретов и условий на обработку персональных данных.

5.5. Обработка биометрических персональных данных может осуществляться Обществом только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, связанных
с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации.

5.6. В приложении к Политике приведен перечень целей обработки персональных данных и соответствующие им категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки обработки и хранения персональных данных, порядок их уничтожения.

6. Правовые основания обработки персональных данных

6.1. Правовыми основаниями обработки Обществом персональных данных являются:

• Трудовой кодекс Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
• Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»;
• Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
• Федеральный закон от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;
• Федеральный закон от 31.05.1996 № 61-ФЗ «Об обороне»;
• Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
• Федеральный закон от 26.02.1997 № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации»;
• Федеральный закон от 28.12.2010 № 390-ФЗ «О безопасности»;
• Федеральный закон от 06.03.2006 № 35-ФЗ «О противодействии терроризму»;
• Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
• Федеральный закон от 25.12.2008 № 273-ФЗ «О противодействии коррупции»;
• Федеральный закон от 02.10.2007 № 229-ФЗ «Об исполнительном производстве»;
• Федеральный закон от 21.07.2011 № 256-ФЗ «О безопасности объектов топливно-энергетического комплекса»;
• Федеральный закон от 18.07.2011 № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц»;
• Федеральный закон от 05.04.2013 № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд»;
• Федеральный закон от 21.07.1993 № 5485-1 «О государственной тайне»;
• Федеральный закон от 22.04.1996 № 39-ФЗ «О рынке ценных бумаг»;
• Федеральный закон от 02.12.1990 № 395-1 «О банках и банковской деятельности»;
• Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
• Федеральный закон от 26.12.1995 № 208-ФЗ «Об акционерных обществах»;
• Федеральный закон от 08.02.1998 «Об обществах с ограниченной ответственностью»;
• Федеральный закон от 08.08.2001 № 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей»;
• Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»;
• Федеральный закон от 27.12.1991 «О средствах массовой информации»;
• приказ Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»;
• иные нормативные правовые акты Российской Федерации, определяющие случаи и особенности обработки персональных данных;
• Устав Общества;
• Политика и иные ЛНД (А) Общества;
• гражданско-правовые договоры, стороной / выгодоприобретателем / поручителем по которому является субъект персональных данных;
• трудовые договоры;
• согласия субъектов персональных данных на обработку персональных данных.

7. Основные права и обязанности Оператора и субъектов персональных данных

7.1. Ответственность за соблюдение требований законодательства Российской Федерации и ЛНД (А) Общества в области персональных данных в структурных подразделениях Общества, а также за обеспечение конфиденциальности и безопасности персональных данных возлагается на руководителей этих подразделений и работников, допущенных к обработке персональных данных.

7.2. Оператор имеет право:

• осуществлять обработку персональных данных при условии наличия законных оснований, соответствия процессов обработки заявленным целям обработки, требованиям законодательства Российской Федерации, положениям Политики и иным ЛНД (А) Общества;
• требовать от субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных законодательством Российской Федерации о персональных данных;
• ограничить доступ субъекта персональных данных к его персональным данным в случае, если обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, или если доступ субъекта персональных данных к его персональным данным нарушает законные права и интересы третьих лиц, а также в иных случаях, предусмотренных законодательством Российской Федерации;
• обрабатывать общедоступные персональные данные физических лиц;
• обрабатывать персональные данные, разрешенные субъектом персональных данных для распространения, с соблюдением требований Федерального закона № 152-ФЗ;
• осуществлять обработку персональных данных, подлежащих опубликованию / обязательному раскрытию в соответствии с законодательством Российской Федерации;
• поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, на основании заключаемого с этим лицом договора;
• предоставлять персональные данные субъектов третьим лицам в случаях, предусмотренных законодательством Российской Федерации (по запросам судебных, правоохранительных и иных государственных органов).

7.3. Оператор обязан:

• за свой счет обеспечить защиту персональных данных от неправомерного их использования или утраты в порядке, установленном законодательством Российской Федерации;
• при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ;
• не раскрывать третьим лицам и не распространять персональные данные, без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
• сообщить в порядке, предусмотренном Федеральным законом № 152-ФЗ, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя в течение 10 (десяти) рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока представления запрашиваемой информации;
• разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные, в случае если предоставление персональных данных является обязательным в соответствии с законодательством Российской Федерации;
• обеспечить субъекту персональных данных свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации;
• в случае подтверждения факта неточности персональных данных на основании сведений, представленных субъектом персональных данных / его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов, уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение 7 (семи) рабочих дней со дня представления таких сведений и снять блокирование персональных данных;
• вести журнал учета обращений и запросов субъектов персональных данных / их представителей и осуществлять контроль за приемом и обработкой таких обращений и запросов;
• уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных;
• в случае достижения цели обработки персональных данных прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации;
• в случае выявления неправомерности обработки персональных данных, в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, прекратить обработку персональных данных или обеспечить прекращение обработки персональных данных лицом, действующим по поручению Оператора;
• в случае, если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;
• в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

1. в течение 24 (двадцати четырех) часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
2. в течение 72 (семидесяти двух) часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии);

• в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных, прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Оператором и субъектом персональных данных;
• предоставлять персональные данные субъекта только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей в соответствии с законодательством Российской Федерации и Политикой;
• проводить оценку вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством Российской Федерации;

7.4. По запросу субъекта персональных данных или его представителя Оператор обязан:

7.4.1. предоставить информацию, касающуюся обработки его персональных данных, в частности:

• подтверждение факта обработки персональных данных Оператором;
• правовые основания и цели обработки персональных данных;
• применяемые Оператором способы обработки персональных данных;
• наименование и место нахождения Оператора, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством Российской Федерации;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных законом;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные законом.

7.4.2. уточнить неполные, устаревшие или неточные персональные данные;

7.4.3. обеспечить блокирование или уничтожение персональных данных в случае, если они являются незаконно полученными, не являются необходимыми для заявленной цели обработки или отозвано согласие субъекта персональных данных.

7.4.4. прекратить по требованию субъекта персональных данных передачу (распространение, предоставление, доступ) персональных данных, ранее разрешенных им для распространения.

7.5. Субъекты персональных данных / их представители имеют право:

• получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);
• осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные субъекта, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ;
• требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработка которых ведется с нарушением законодательства Российской Федерации, уточнения своих персональных данных, их блокирования или уничтожения;
• при отказе Оператора или уполномоченного им лица исключить или исправить персональные данные субъекта заявить в письменной форме о своем несогласии, представив соответствующее обоснование;
• отозвать свое согласие на обработку персональных данных;
• требовать от Оператора или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них изменениях или исключениях из них;
• обжаловать в суде любые неправомерные действия / бездействие Оператора или уполномоченного им лица, осуществляемые при обработке и защите персональных данных субъекта;
• требовать прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных для распространения.

7.6. Субъекты персональных данных / их представители обязаны:

• предоставлять Оператору персональные данные, соответствующие действительности;
• своевременно уведомлять Оператора обо всех изменениях персональных данных.

 8. Порядок рассмотрения Обществом запросов субъектов персональных данных

8.1. Субъект персональных данных может направить в Общество запросы в отношении обработки его персональных данных (в том числе на уточнение / блокирование / уничтожение / прекращение обработки персональных данных) как в бумажном, так и в электронном виде.

8.2. К бумажным запросам субъектов персональных данных относятся любые письменные обращения, направленные в адрес Общества, в том числе обращения, отправленные через отделения почтовой связи.

8.3. Запрос субъекта персональных данных может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

8.4. Оператором не обрабатываются запросы, связанные с передачей или разглашением персональных данных, поступившие по телефону или факсу, ввиду отсутствия возможности идентифицировать личность субъекта персональных данных.

8.5. Срок представления ответа об обработке персональных данных субъекту персональных данных / или его представителю не должен превышать 10 (десяти) рабочих дней с момента получения обращения.

Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока представления запрашиваемой информации.

8.6. Оператор предоставляет сведения субъекту персональных данных / его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

9. Меры, принимаемые для защиты персональных данных субъектов персональных данных

9.1. Общество принимает необходимые и достаточные организационные и технические меры для защиты персональных данных субъектов персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.

9.2. Защита персональных данных обеспечивается Обществом в установленном законодательством Российской Федерации и ЛНД (А) Общества порядке, путем выполнения комплекса организационно-технических мероприятий, обеспечивающих их безопасность.

9.3. Меры защиты персональных данных, применяемые в Обществе:

• определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных Общества;
• применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Общества, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
• применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• оценка соответствия информационных систем персональных данных Общества требованиям по защите информации до ввода в эксплуатацию информационной системы персональных данных;
• обнаружение фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных Общества и по реагированию на компьютерные инциденты в них;
• издание ЛНД (А) Общества, регламентирующих порядок обработки и защиты персональных данных в Обществе;
• назначение лиц, ответственных за организацию порядка обработки и обеспечения безопасности персональных данных;
• определение перечня должностей работников Общества, имеющих доступ к обработке персональных данных;
• проведение методической работы и ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, в соответствии с законодательством Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, ЛНД(А) Общества по вопросам обработки и защиты персональных данных;
• учет машинных носителей персональных данных;
• установление правил доступа к персональным данным;
• применение технических мер, снижающих вероятность реализации угроз безопасности персональных данных, при помощи сертифицированных средств защиты информации;
• обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях персональных данных, в специальных разделах;
• обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных;
• хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
• реализация разрешительной системы доступа пользователей к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации;
• регистрация и учет действий пользователей информационных систем персональных данных;
• организация пропускного и внутриобъектового режима в помещениях, занимаемых Обществом;
• поддержание технических средств охраны, сигнализации помещений в состоянии постоянной готовности;
• обеспечение резервного копирования и восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• осуществление контроля соответствия обработки персональных данных Федеральному закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам Российской Федерации, Политике и иным ЛНД (А) Общества;
• иные меры, предусмотренные законодательством Российской Федерации.

9.4. Меры защиты персональных данных распространяются как на бумажные, так и на электронные носители информации.

Полный текст Политики АО «ЭЗС РусГидро» в отношении обработки персональных данных с Приложением