Политика по обработке ПДН ТК 2025

Политика в отношении обработки персональных данных 
в ПАО «ТрансКонтейнер»

1.  Общие положения

1.1. Настоящая Политика определяет основные принципы, цели, порядок и условия обработки персональных данных в ПАО «ТрансКонтейнер», а также меры по обеспечению безопасности персональных данных.
1.2. Настоящая    Политика    разработана    на    основании    Конституции Российской     Федерации,     Трудового     кодекса     Российской     Федерации, Гражданского кодекса Российской Федерации, Конвенции о защите физических лиц      при      автоматизированной      обработке      персональных      данных, ратифицированной   Федеральным   законом   от   19.12.2005   №   160-ФЗ   с заявлениями, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»(далее – Закон 
о персональных данных), Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и  иных  нормативных  правовых  актов  Российской  Федерации, устанавливающими особенности обработки персональных данных, и действует в отношении всех персональных данных, которые обрабатывает ПАО «ТрансКонтейнер» (далее – Оператор).
1.3. Политика    является    документом,    к    которому    обеспечивается неограниченный доступ.

1.4. Положения  настоящей  Политики  служат  основой  для  разработки Оператором    локальных    нормативных    актов,    детализирующих    вопросы обработки и защиты персональных данных.

1.5. В     настоящей     Политике     применяются     следующие     понятия: автоматизированная   обработка   персональных   данных   –   обработка
персональных    данных    с    помощью    средств    вычислительной    техники; блокирование персональных данных – временное прекращение обработки
персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); информационная    система    персональных    данных   – совокупность содержащихся  в  базах  данных  персональных  данных  и  обеспечивающих  их обработку информационных технологий и технических средств; обезличивание персональных данных – действия, в результате которых становится  невозможным  без  использования  дополнительной  информации определить   принадлежность   персональных   данных   конкретному   субъекту персональных данных;
обработка  персональных  данных  –   любое  действие  (операция)  или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных    данных    включает    в    себя    в    том    числе    сбор,    запись, систематизацию,  накопление,  хранение,  уточнение  (обновление,  изменение), извлечение,    использование,    передачу    (распространение,    предоставление, доступ), обезличивание, блокирование, удаление и/или уничтожение;
персональные данные – любая информация, относящаяся к прямо или косвенно  определенному  или  определяемому  физическому  лицу  (субъекту персональных данных);
предоставление    персональных    данных    –    действия,    направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
распространение   персональных   данных   –   действия,   направленные на раскрытие персональных данных неопределенному кругу лиц;
уничтожение  персональных  данных  –  действия,  в  результате  которых становится   невозможным   восстановить   содержание   персональных   данных в информационной системе персональных данных и/или в результате которых уничтожаются материальные носители персональных данных.

2. Принципы обработки персональных данных

2.1. Обработка    Оператором    персональных    данных    осуществляется на основе следующих принципов:
обработка персональных данных производится Оператором на законной и справедливой основе;
обработка     персональных     данных     ограничивается     достижением конкретных, заранее определенных и законных целей, при этом не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
при  обработке  персональных  данных  не  допускается  объединение  баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
обработке  подлежат  только  персональные  данные,  которые  отвечают целям их обработки;
содержание и объем обрабатываемых персональных данных соответствует заявленным Оператором целям обработки; при     обработке     персональных     данных     обеспечивается     точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных, при этом Оператор принимает необходимые меры (либо обеспечивает их принятие) по удалению или уточнению неполных, или неточных данных;
хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не    установлен    федеральным    законом,    договором,    стороной    которого, выгодоприобретателем   или   поручителем   по   которому   является   субъект персональных   данных,   при   этом   обрабатываемые   персональные   данные уничтожаются   либо   обезличиваются   Оператором   по   достижении   целей обработки  или  в  случае  утраты  необходимости  в  достижении  этих  целей, если иное не предусмотрено федеральным законом.

3. Основные права и обязанности Оператора и субъектов персональных данных

3.1. Оператор имеет право:
самостоятельно   определять   состав   и   перечень   мер,   необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом   о   персональных   данных   и   принятыми   в   соответствии   с   ним нормативными  правовыми  актами,  если  иное  не  предусмотрено  Законом о персональных данных или другими федеральными законами;
поручить  обработку  персональных  данных  другому  лицу  с  согласия субъекта  персональных  данных,  если  иное  не  предусмотрено  федеральным законом,   на   основании   заключаемого   с   этим   лицом   договора.   Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано  соблюдать  принципы  и  правила  обработки  персональных  данных, предусмотренные      Законом      о      персональных      данных,      соблюдать конфиденциальность  персональных  данных,  принимать  необходимые  меры, направленные  на  обеспечение  выполнения  обязанностей,  предусмотренных Законом о персональных данных;
в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.
3.2. Оператор обязан:
принимать необходимые меры для выполнения обязанностей оператора, предусмотренных законодательством Российской Федерации в сфере обработки и защиты персональных данных;
уведомлять    уполномоченный    орган    по    защите    прав    субъектов персональных данных в соответствии с Законом о персональных данных;
разъяснять  субъекту  персональных  данных  юридические  последствия отказа предоставить  его  персональные  данные  и  (или)  дать  согласие  на  их4
обработку, если это является обязательным в соответствии с законодательством Российской Федерации;
блокировать    неправомерно    обрабатываемые    персональные    данные в случае выявления неправомерной обработки персональных данных;
уточнить персональные данные в случае подтверждения факта неточности персональных данных;
уничтожить  персональные  данные  в  случаях,  установленных  Законом о персональных данных;
прекратить обработку персональных данных в случаях, предусмотренных Законом о персональных данных;
уведомлять субъекта персональных данных об устранении допущенных нарушений или уничтожении его персональных данных;
уведомлять    уполномоченный    орган    по    защите    прав    субъектов персональных   данных   в   случае   установления   факта   неправомерной   или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных;
предоставлять   по   просьбе   субъекта   персональных   данных   или   его представителя информацию, касающуюся обработки его персональных данных, в порядке,     установленном     законодательством     Российской     Федерации и локальными нормативными актами ПАО «ТрансКонтейнер»;
опубликовать  или  иным  образом  обеспечить  неограниченный  доступ к  настоящей  Политике  и  сведениям  о  реализуемых  требованиях  к  защите персональных данных.
3.3. Субъект персональных данных имеет право:
получать информацию, касающуюся обработки его персональных данных, в порядке, форме и сроки, установленные Законом о персональных данных. Сведения   предоставляются   субъекту   персональных   данных   Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся  к  другим  субъектам  персональных  данных,  за  исключением случаев, когда имеются законные основания для раскрытия таких персональных данных;
требовать    от    Оператора    уточнения    его    персональных    данных, их  блокирования  или  уничтожения  в  случае,  если  персональные  данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
отозвать свое согласие на обработку персональных данных;
принимать предусмотренные законодательством меры по защите своих прав и законных интересов;
обжаловать   в   уполномоченном   органе   по   защите   прав   субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных.5

4. Категории и перечень обрабатываемых персональных данных 
и категории субъектов персональных действий

4.1. Для реализации целей обработки Оператор осуществляет обработку персональных данных своих работников, а также иных субъектов персональных данных, не состоящих в трудовых отношениях с Оператором.
4.2. Категории   и   перечень   обрабатываемых   персональных   данных, категории субъектов определяются в локальных нормативных актах Оператора для каждой цели обработки персональных данных.

5. Порядок и условия обработки персональных данных

5.1. Обработка    персональных    данных    осуществляется    Оператором в соответствии с требованиями законодательства Российской Федерации.
5.2. Оператор производит обработку персональных данных при наличии хотя бы одного из следующих условий:
обработка  персональных  данных  осуществляется  с  согласия  субъекта персональных данных на обработку его персональных данных;
обработка  персональных  данных  необходима  для  достижения  целей, предусмотренных   международным   договором   Российской   Федерации   или законом,  для  осуществления  и  выполнения  возложенных  законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
обработка  персональных  данных  осуществляется  в  связи  с  участием Оператора  в  конституционном,  гражданском,  административном,  уголовном судопроизводстве,  судопроизводстве  в  арбитражных  судах,  необходима  для исполнения  судебного  акта,  акта  другого  органа  или  должностного  лица, подлежащих  исполнению  в  соответствии  с  законодательством  Российской Федерации об исполнительном производстве;
обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является  субъект  персональных  данных,  а  также  для  заключения  договора, по       которому       субъект       персональных       данных       будет       являться выгодоприобретателем или поручителем;
обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
обработка  персональных  данных  необходима  для  осуществления  прав и  законных  интересов  Оператора  или  третьих  лиц  либо  для  достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
осуществляется     обработка     персональных     данных,     подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
5.3. Обработка Оператором специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов,6
религиозных  или  философских  убеждений,  состояния  здоровья,  интимной жизни, допускается в случаях, если:
субъект   персональных   данных   дал   согласие   в   письменной   форме на обработку своих персональных данных;
обработка персональных данных, разрешенных субъектом персональных данных   для   распространения,   осуществляется   с   соблюдением   запретов и условий, предусмотренных статьей 10.1 Закона о персональных данных;
обработка    персональных    данных    осуществляется    в    соответствии с   законодательством   о   государственной   социальной   помощи,   трудовым законодательством, пенсионном законодательством Российской Федерации;
обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц;
обработка  персональных  данных  необходима  для  установления  или осуществления прав субъекта персональных данных или третьих лиц, равно как и в связи с осуществлением правосудия;
обработка    персональных    данных    осуществляется    в    соответствии с  законодательством  Российской  Федерации  об  обороне,  о  безопасности, о противодействии        терроризму,        о        транспортной        безопасности, о  противодействии    коррупции,    об    оперативно-розыскной    деятельности, об           исполнительном            производстве,            уголовно-исполнительным законодательством Российской Федерации;
обработка    персональных    данных    осуществляется    в    соответствии с   законодательством   об   обязательных   видах   страхования,   со   страховым законодательством.
5.4. Обработка персональных данных о судимости может осуществляться Оператором  исключительно  в  случаях  и  в  порядке,  которые  определяются в соответствии с федеральными законами.
5.5. Обработка специальных категорий персональных данных должна быть незамедлительно  прекращена,  если  устранены причины, вследствие которых осуществлялась   их   обработка,   если   иное   не   установлено   федеральными законами.
5.6. Оператор осуществляет обработку персональных данных следующими способами:
неавтоматизированная 
обработка 
персональных 
данных; 
автоматизированная   обработка   персональных   данных   с   передачей полученной  информации  по  информационно-телекоммуникационным  сетям или без таковой;
смешанная обработка персональных данных.
5.7. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
5.8. Не   допускается   раскрытие   третьим   лицам   и   распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных7
данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
Требования к содержанию согласия на обработку персональных данных, разрешенных    субъектом    персональных    данных    для    распространения, утверждены  приказом  Роскомнадзора  от  24.02.2021  №  18  «Об  утверждении требований  к  содержанию  согласия  на  обработку  персональных  данных, разрешенных субъектом персональных данных для распространения».
5.9. Передача  персональных   данных  органам  дознания  и   следствия, в   Федеральную   налоговую   службу,   Социальный   фонд   России   и   другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
5.10. Оператор  осуществляет  хранение  персональных  данных  в  форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует  каждая  цель  обработки  персональных  данных,  если  срок  хранения персональных данных не установлен федеральным законом, договором.
5.11. Персональные     данные     на     бумажных     носителях     хранятся Оператором в течение сроков хранения документов, для которых эти сроки предусмотрены Федеральным законом от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов  местного  самоуправления  и  организаций,  с  указанием  сроков  их хранения, утвержденным приказом Росархива от 20.12.2019 № 236, а также иными законами Российской Федерации.
5.12. Срок      хранения      персональных      данных,      обрабатываемых в   информационных   системах   персональных   данных,   соответствует   сроку хранения персональных данных на бумажных носителях.
5.13. При   сборе   персональных   данных,   в   том   числе   посредством 
информационно-телекоммуникационной 
сети 
«Интернет», 
запись, 
систематизация,  накопление,  хранение,  уточнение  (обновление,  изменение), извлечение персональных данных граждан Российской Федерации с  использованием  баз  данных,  находящихся  за  пределами  Российской Федерации, не допускаются, за исключением случаев, указанных в Законе о персональных данных.

6. Обеспечение выполнения обязанностей Оператора и мер по защите персональных данных

6.1. Безопасность  персональных  данных,  обрабатываемых  Оператором, обеспечивается     принятием     необходимых     правовых,     организационных и технических мер для защиты персональных данных от неправомерного или случайного    доступа    к    ним,    уничтожения,    изменения,    блокирования,8
копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.2. Оператор принимает следующие меры, необходимые для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных:
назначение  ответственного  за  организацию  обработки  персональных данных;
назначение  ответственного  за  обеспечение  безопасности  персональных данных в информационных системах;
издание  необходимых  локальных  нормативных  документов  Оператора по вопросам обработки персональных данных;
осуществление   внутреннего   контроля   и   (или)   аудита   соответствия обработки  персональных  данных  Закону  о  персональных  данных, принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике и иным локальным нормативным актам Оператора;
оценка    вреда    в    соответствии    с    требованиями,    установленными законодательством  Российской  Федерации,  который  может  быть  причинен субъектам персональных данных в случае нарушения Закона о персональных данных, его соотношение с принимаемыми Оператором мерами, направленными на   обеспечение   выполнения   обязанностей   Оператора,   предусмотренными Законом о персональных данных;
ограничение состава лиц, допущенных к обработке персональных данных; определение угроз безопасности персональных данных при их обработке
в информационных системах персональных данных;
разработка на основе модели угроз системы защиты персональных данных; контроль за принимаемыми мерами по обеспечению безопасности 
персональных   данных   и   уровня   защищенности   информационных   систем персональных данных;
установление правил доступа к персональным данным, обрабатываемым в   информационной   системе   персональных   данных,   а   также   обеспечение регистрации   и   учета  действий,   совершаемых   с  персональными   данными в информационной системе персональных данных;
использование антивирусных средств;
использование  средств  восстановления  системы  защиты  персональных данных;
организация обучения работников Оператора, осуществляющих обработку персональных данных;
организация  пропускного  режима  на  территорию  Оператора,  охрана помещений с техническими средствами обработки персональных данных;
и иные меры, предусмотренные Законом о персональных данных.
6.3. Перечень и содержание мероприятий по обеспечению безопасности персональных данных, перечень лиц, ответственных за организацию обработки и    обеспечение    безопасности    персональных    данных,    устанавливаются локальными нормативными актами Оператора.

7. Трансграничная передача

7.1. Оператор до начала осуществления деятельности по трансграничной передаче  персональных  данных  обязан  уведомить  уполномоченный  орган по   защите   прав   субъектов   персональных   данных   о   своем   намерении осуществлять трансграничную передачу персональных данных.
7.2. Порядок  уведомления  о  трансграничной  передаче  персональных данных устанавливается локальными нормативными актами Оператора.

8. Заключительные положения

8.1. Настоящая   Политика   является   общедоступной,   неограниченный доступ к настоящей Политике обеспечивается Оператором через размещение на    официальном    сайте    ПАО    «ТрансКонтейнер»    в    информационно- телекоммуникационной сети «Интернет».
8.2. Иные   права   и   обязанности   Оператора   в   связи   с   обработкой персональных данных определяются законодательством Российской Федерации в области персональных данных.
8.3. Работники Оператора, виновные в нарушении норм, регулирующих обработку     и     защиту     персональных     данных,     несут     материальную, дисциплинарную,  административную,  гражданско-правовую  или  уголовную ответственность в порядке, установленном федеральными законами.