1. Общие положения

1.1. Настоящая Политика разработана в соответствии со статьями 86-90 ТК РФ, Федеральным Законом от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства РФ от 06.05.2011 №354, Постановлением Правительства РФ от 04.05.2012 №442, а также приказами и методическими документами ФСТЭК России, ФСБ и Мининформсвязи России и иными нормативно- правовыми актами, определяющими правила обработки персональных данных.

1.2. Настоящая Политика определяет:

• категории субъектов персональных данных, категории персональных данных;

• цели, принципы и условия обработки персональных данных;

• права и обязанности АО «Татэнергосбыт» (далее - Общество) и субъекта персональных данных;

• правовые, организационные, технические и иные меры, принимаемые в АО «Татэнергосбыт» для обеспечения защиты персональных данных.

1.3. Настоящая Политика имеет целью обеспечить соблюдение законных прав и интересов субъектов персональных данных и Общества в связи с необходимостью обработки персональных данных.

1.4. Действие настоящей Политики не распространяется на отношения, возникающие при:

• организации хранения, комплектования, учета и использования содержащих персональные данные архивных документов Общества в соответствии с законодательством об архивном деле в Российской Федерации;

• обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

1.5. Выполнение требований данной Политики является обязательным для всех работников Общества.

2. Основные понятия

Персональные данные (далее — ПД) - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Конфиденциальность персональных данных - обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или иного законного основания.

Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц, к которым предоставлен с согласия субъекта персональных данных, или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Информация - сведения (сообщения, данные) независимо от формы их представления.

Потребители - граждане, использующие на праве собственности или ином законном основании жилые и нежилые помещения, земельные участки, приобретающие электрическую энергию (мощность) в целях потребления на коммунально-бытовые нужды и/или для осуществления коммерческой (предпринимательской) деятельности.

3. Категории субъектов персональных данных, категории обрабатываемых персональных данных

3.1. В Обществе осуществляется обработка персональных данных следующих категории субъектов ПД:

• физические лица, являющиеся соискателями;

• физические лица, являющиеся кандидатами в работники Общества;

• физические лица, являющиеся работниками Общества;

• физические лица, являющиеся бывшими работниками Общества;

• физические лица, являющиеся родственниками работников Общества;

• физические лица, являющиеся Потребителями, а также руководителями, участниками (акционерами) или сотрудниками юридического лица, являющегося Потребителем;

• физические лица, являющиеся Контрагентами, а также руководителями, участниками (акционерами) или сотрудниками юридического лица, являющегося Контрагентом Общества;

• физические лица, являющиеся аффилированными лицами или руководителями, участниками (акционерами) или сотрудниками юридического лица, являющегося аффилированным лицом по отношению к Обществу;

• физические лица, ПД которых сделаны ими общедоступными, а их обработка не нарушает их прав и соответствует требованиям, установленным законодательством о персональных данных;

• иные физические лица, выразившие согласие на обработку Обществом их ПД или физические лица, обработка ПД которых необходима Обществу для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей.

3.2. В Обществе обрабатываются следующие категории персональных данных работников: фамилия, имя, отчество, число, месяц, год рождения, место рождения, пол, гражданство, паспортные данные (серия, номер, наименование выдавшего органа, дата выдачи, код подразделения), адрес и дата регистрации по месту жительства, адрес фактического проживания, домашний и рабочий телефоны (в том числе мобильный), адрес электронной почты, ИНН, СНИЛС, военно-учетные данные, номер полиса добровольного медицинского страхования, сведения об образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность), сведения о профессиональной переподготовке, повышении квалификации, ученая степень, ученое звание, информация о владении иностранными языками, степень владения, сведения о трудовой деятельности, информация о наличии/отсутствии судимости, семейное положение, состав семьи, номер ИПС в ННПФ, размер страховых взносов в ННПФ, размер страховых взносов на накопительную часть трудовой пенсии, заключение предварительного/периодического медицинского осмотра (обследования), сведения об инвалидности, результаты психофизиологического обследования и психологического тестирования, фотография, видеозаписи систем видеонаблюдения, занимаемая должность, подразделение, даты приема, перевода, увольнения, табельный номер, оплата труда, размеры премии и доплат, материальной помощи, сведения о наградах и почетных званиях, номера банковских счетов с реквизитами банков, номера пластиковых карточек, данные по аттестации и тестированию.

К общедоступным ПД работников Общества относятся следующие ПД: фамилия, имя, отчество, место работы, должность, подразделение, номер рабочего телефона, адрес корпоративной электронной почты, фотография.

3.3. В Обществе обрабатываются следующие категории персональных данных потребителей и иных лиц: фамилия, имя, отчество, число, месяц, год рождения, паспортные данные (серия, номер, наименование выдавшего органа, дата выдачи, код подразделения), адрес доставки платежного документа, адрес объекта энергоснабжения, адрес электронной почты, контактный телефон, ИНН и другие ПД, обрабатываемые Обществом в соответствии с законодательством РФ, в том числе локальными нормативными актами Общества, с учетом целей обработки ПД, обозначенных в п.4.1. настоящей Политики.

3.4. Перечень ПД, обрабатываемых в Обществе, определяется в соответствии с законодательством Российской Федерации, в том числе локальными нормативными актами Общества, с учетом целей обработки ПД.

3.5. Обработка специальных категорий ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Обществе не осуществляется.

3.6. Персональные данные относятся к сведениям, имеющим конфиденциальный характер (составляющих охраняемую законом тайну Общества). Режим конфиденциальности в отношении ПД снимается:

• в случае их обезличивания;

• в случае общедоступных ПД;

• в иных случаях, предусмотренных действующим законодательством.

4. Цели, принципы и условия обработки персональных данных

4.1. Общество осуществляет обработку персональных данных в следующих целях:

• заключения, исполнения и прекращения трудовых договоров, организации кадрового учета, исполнения обязательств по трудовым договорам, ведения кадрового делопроизводства, обучения и продвижения по службе, пользования различного вида льготами, контроля количества и качества выполняемой работы, обеспечения соблюдения законов о труде;

• заключения и исполнения требований налогового законодательства, пенсионного законодательства, страхового законодательства, заполнения первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ и другими нормативными документами;

• содействия в трудоустройстве, проверки достоверности ПД, контроля результатов прохождения медицинского освидетельствования;

• предоставления работникам Общества и членам их семей дополнительных гарантий и компенсаций, в том числе негосударственного пенсионного обеспечения, добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;

• подготовки, заключения, исполнения и прекращения гражданско- правовых договоров;

• обеспечения пропускного и внутриобъектового режимов на объектах Общества;

• формирования справочных материалов для внутреннего информационного обеспечения деятельности Общества;

• проведения мероприятий по взысканию дебиторской задолженности, защита интересов Общества в судебных спорах, выявление и определение круга лиц, являющихся надлежащими должниками/ответчиками при предъявлении требований о взыскании дебиторской задолженности;

• формирования и обработки расчетных документов для частных лиц и организаций, заключивших договоры с Обществом; ведение в электронном виде базы по лицевым счетам клиентов физических лиц и по договорам юридических лиц; поддержание контактов с субъектом ПД или его законными представителями;

• содействия членам органов управления в осуществлении ими своих функций; ведение списка аффилированных лиц; выявление заинтересованности указанных лиц в совершаемых Обществом сделках; обеспечение соответствия деятельности Общества в сфере корпоративного управления требованиям правовых норм;

• проведения Обществом конкурсов, акций, опросов, исследований;

• улучшения качества услуг, оказываемых Обществом;

• выявления случаев мошенничества, иных противоправных действий, предотвращения таких противоправных действий в дальнейшем и локализации последствий таких действий;

• а также для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей;

• в иных законных целях.

4.2. Обработка персональных данных Обществом осуществляется на основе принципов:

• законности и справедливости целей и способов обработки ПД;

• соответствия целей обработки ПД целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Общества;

• соответствия объема и характера обрабатываемых ПД, способов обработки ПД целям обработки ПД;

• достоверности ПД, их достаточности для целей обработки, недопустимости обработки ПД, избыточных по отношению к целям, заявленным при сборе ПД;

• недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих ПД;

• хранения ПД в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели их обработки;

• уничтожения по достижении целей обработки ПД или в случае утраты необходимости в их достижении.

4.3. Обработка ПД в Обществе осуществляется на основании условий, определенных законодательством Российской Федерации.

4.4. Обработка ПД в Обществе осуществляется с согласия субъекта персональных данных на обработку его ПД, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.

4.5. Общество без согласия субъекта ПД не раскрывает третьим лицам и не распространяет ПД, если иное не предусмотрено федеральным законом.

4.6. Общество вправе поручить обработку ПД другому лицу с согласия субъекта ПД на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку ПД, цели обработки, обязанность такого лица соблюдать конфиденциальность ПД и обеспечивать безопасность ПД при их обработке, а также требования к защите обрабатываемых ПД в соответствии со статьей 19 Федерального закона «О персональных данных».

4.7. Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

4.8. Обработка ПД в Обществе осуществляется следующими способами:

• неавтоматизированная обработка ПД;

• автоматизированная обработка ПД с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

• смешанная обработка ПД.

4.9. Сроки обработки персональных данных определяются условиями заключаемых договоров, Приказом Минкультуры РФ от 25.08.2010 №558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения» и иными документами.

5. Права и обязанности

5.1. Обработка ПД в Обществе осуществляется на основании: Конституции Российской Федерации, ст. 86-90 Трудового кодекса Российской Федерации, Федерального закона от 02.05.2006 № 59-ФЗ, «О порядке рассмотрения обращений граждан Российской Федерации», Устава Акционерного Общества «Татэнергосбыт», Постановления Правительства РФ от 06.05.2011 №354, Постановления Правительства РФ от 04.05.2012 №442, согласия соискателя на обработку ПД, согласия посетителя сайта на обработку ПД, согласия работника на обработку ПД, договоров и иными документами, определяющими правила обработки персональных данных.

5.2. Общество имеет право:

• обрабатывать ПД субъекта персональных данных в соответствии с заявленной целью;

• требовать от субъекта персональных данных предоставления достоверных ПД, необходимых для исполнения договора, оказания услуги, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных законодательством о персональных данных;

• ограничить доступ субъекта персональных данных к его персональным данным в случае, если Обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц, а также в иных случаях, предусмотренных законодательством Российской Федерации;

• обрабатывать общедоступные ПД физических лиц;

• осуществлять обработку ПД, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации;

• поручить обработку ПД другому лицу с согласия субъекта персональных данных;

• предоставлять ПД субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);

• отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;

• обрабатывать ПД субъекта без его согласия, в случаях, предусмотренных законодательством.

5.3. Общество при обработке персональных данных обязано соблюдать следующие требования:

• при определении объема и содержания обрабатываемых ПД Общество должно руководствоваться принципом достаточности по отношению к целям обработки ПД при исполнении своих обязательств перед субъектами персональных данных;

• Общество не имеет права обрабатывать ПД о членстве в общественных объединениях или профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами;

• при принятии решений, затрагивающих интересы субъекта персональных данных, Общество не имеет права основываться на информации, полученной исключительно в результате автоматизированной обработки;

• защита ПД от неправомерного их использования или утраты должна быть обеспечена Обществом за счет его средств в порядке, установленном федеральным законом;

• Общество несет ответственность за нарушение норм, регулирующих обработку и защиту ПД в соответствии с законодательством.

5.4. Субъект персональных данных имеет право:

• на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей ПД, за исключением случаев, предусмотренных законодательством РФ.

• требовать уточнения своих ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

• требовать перечень своих ПД, обрабатываемых Обществом и источник их получения;

• получать информацию о сроках обработки своих ПД, в том числе о сроках их хранения;

• требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его ПД, обо всех произведенных в них исключениях, исправлениях или дополнениях;

• обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;

• на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;

• отозвать свое согласие на обработку ПД.

5.5. Обязанности субъекта персональных данных:

• передавать Обществу или его представителю комплекс достоверных документированных персональных данных, перечень которых установлен законодательными актами Российской Федерации;

• своевременно сообщать Обществу об изменении своих ПД.

6. Обеспечение защиты персональных данных

6.1. Общество предпринимает необходимые организационные и технические меры для обеспечения безопасности ПД от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

6.2. Обработка ПД осуществляется с соблюдением конфиденциальности, под которой понимается обязанность не раскрывать третьим лицам и не распространять ПД без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

6.3. Общество обеспечивает конфиденциальность ПД субъекта персональных данных, а также обеспечивает использование ПД исключительно в целях, соответствующих закону, договору или иному соглашению, заключенному с субъектом персональных данных.

6.4. Для защиты персональных данных Общество обязуется соблюдать меры безопасности, в том числе:

• ограничивать и регламентировать состав работников Общества, функциональные обязанности которых требуют доступа к персональным данным;

• хранение материальных носителей ПД осуществлять с соблюдением условий, обеспечивающих сохранность ПД и исключающих несанкционированный доступ к ним;

• выявлять нарушения правил обработки персональных данных.

6.5. Общество осуществляет передачу ПД государственным органам в рамках их полномочий в соответствии с законодательством Российской Федерации.

6.6. Общество несет ответственность перед субъектом персональных данных за действия лиц, которым Общество поручает обработку ПД субъекта персональных данных.

7. Заключительные положения

7.1. Настоящая Политика является общедоступной и подлежит размещению на официальном сайте Общества.

7.2. Настоящая Политика подлежит изменению при изменении действующего законодательства и в иных случаях.

7.3. Контроль исполнения требований настоящей Политики осуществляется директором Общества.

7.4. Ответственность должностных лиц Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту ПД, определяется в соответствии с законодательством Российской Федерации.

7.5. Общество, а также его должностные лица и работники несут гражданско-правовую, административную и иную ответственность за несоблюдение принципов и условий обработки ПД физических лиц, а также за разглашение или незаконное использование ПД в соответствии с законодательством Российской Федерации.