Политика АО "НПО РусБИТех" в отношении обработки персональных данных

Перечень терминов и определений

Автоматизированная обработка персональных данных	–	обработка персональных данных с помощью средств вычислительной техники
Блокирование персональных данных	–	временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)
Информационная система персональных данных	–	совокупность содержащейся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств
Обезличивание персональных данных	–	действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных
Обработка персональных данных	–	любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных
Оператор персональных данных	–	организация, самостоятельно или совместно с другими лицами организующая и (или) осуществляющая обработку персональных данных, а также определяющая цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором персональных данных в рамках настоящей Политики является АО «НПО РусБИТех»
Персональные данные	–	любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
Предоставление персональных данных	–	действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Распространение персональных данных	–	действия, направленные на раскрытие персональных данных неопределенному кругу лиц
Трансграничная передача персональных данных	–	передача персональных данных на   территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу
Уничтожение персональных данных	–	действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в     результате которых уничтожаются материальные носители персональных данных

 

1 Общие положения

Настоящая Политика Акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» в отношении обработки персональных данных (далее – Политика) определяет цели, способы и принципы обработки персональных данных, права и обязанности АО «НПО РусБИТех» (далее – Оператор) при обработке персональных данных, права субъектов персональных данных и устанавливает общие требования к обеспечению безопасности персональных данных, обрабатываемых Оператором.

Политика является общедоступным документом, декларирующим основы деятельности Оператора при обработке персональных данных.

2 Цели сбора персональных данных

Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями обработки персональных данных.

К целям обработки персональных данных Оператора относятся:

• осуществление своей деятельности в соответствии с Уставом Оператора, в том числе заключение, исполнение и прекращение гражданско-правовых договоров с контрагентами;
• оформление трудовых отношений, ведение кадрового делопроизводства и бухгалтерского учета, содействие работникам в трудоустройстве, обучении и продвижении по службе, пользовании льготами и гарантиями, обеспечение личной безопасности работников, контроля количества и качества работы и сохранности имущества, организации пропускного режима;
• обеспечение соблюдения законодательства Российской Федерации;
• в иных случаях, установленных действующим законодательством, Уставом Оператора.

3 Правовые основания обработки персональных данных

Настоящая Политика разработана в соответствии с требованиями Федерального закона от 27.07.2026 г. № 152-ФЗ «О персональных данных», действующего законодательства Российской Федерации в области защиты персональных данных, нормативной правовой документации в области защиты информации и нормативной документации Оператора, включая:

• Конституцию Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон от 26.12.1995 № 208-ФЗ «Об акционерных обществах»;
• Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
• Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
• Федеральный закон от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;
• Федеральный закон от 28.03.1998 N 53-ФЗ «О воинской обязанности и военной службе»;
• Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
• Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Приказ Минздрава России от 30.05.2023 г. № 266н «Об  утверждении Порядка и периодичности проведения предсменных, предрейсовых, послесменных, послерейсовых медицинских осмотров, медицинских осмотров в течение рабочего дня (смены) и перечня включаемых в них исследований»;
• согласие субъекта персональных данных на обработку персональных данных с учетом требований, предусмотренных законодательством Российской Федерации для соответствующей категории персональных данных;
• договоры, стороной которых является субъект персональных данных;
• Устав Оператора;
• иные нормативные правовые документы, регулирующие отношения, связанные с деятельностью Оператора.

4 Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Оператор осуществляет обработку следующих категорий субъектов персональных данных:

• лиц, являющихся работниками Оператора;
• лиц, не являющихся работниками Оператора.

К лицам, являющимся работниками Оператора, относятся действующие работники Оператора, бывшие работники Оператора и кандидаты на замещение вакантных должностей.

К лицам, не являющимся работниками Оператора, относятся родственники работников Оператора, клиенты и контрагенты Оператора (физические лица), а также представители / работники контрагентов Оператора (юридических лиц).

Оператор осуществляет обработку следующих категорий персональных данных:

• специальные персональные данные;
• биометрические персональные данные;
• общедоступные персональные данные;
• иные категории персональных данных.

В соответствии с частью 1 статьи 10 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» к специальным персональным данным, обрабатываемым Оператором, относятся сведения о  судимости (наличие (отсутствие) судимости, дата (число, месяц, год) привлечения к уголовной ответственности (снятия или погашения судимости), статья).

В соответствии с частью 1 статьи 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» к биометрическим персональным данным, обрабатываемым Оператором, относятся:

• фотографические изображения, содержащиеся в системе контроля управления доступом;
• сведения, содержащиеся в медицинском заключении установленной формы об отсутствии у гражданина заболевания, препятствующего предоставлению допуска к сведениям, составляющим государственную тайну (наличие (отсутствие) заболевания, форма заболевания).

В соответствии с частью 1 статьи 8 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» к общедоступным персональным данным, обрабатываемым Оператором, относятся:

• фамилия, имя, отчество субъекта персональных данных;
• дата рождения субъекта персональных данных;
• пол субъекта персональных данных;
• адрес электронной почты субъекта персональных данных;
• абонентский номер телефона субъекта персональных данных;
• данные свидетельства о присвоении идентификационного номера налогоплательщика (ИНН).

В соответствии с пунктом 5 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 01.11.2012 г. № 1119 к иным персональным данным относятся данные, не являющиеся общедоступными, специальными и биометрическими персональными данными. К иным персональным данным, обрабатываемым Оператором относятся:

• данные паспорта субъекта персональных данных;
• данные паспорта, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации;
• адрес регистрации и адрес проживания субъекта персональных данных;
• данные страхового номера индивидуального лицевого счета субъекта персональных данных;
• данные полиса обязательного медицинского страхования субъекта персональных данных;
• сведения о воинском учете субъекта персональных данных;
• сведения о наградах, иных поощрениях и знаках отличия субъекта персональных данных;
• банковские реквизиты субъекта персональных данных;
• сведения, содержащиеся в справках о доходах, расходах, об имуществе и обязательствах имущественного характера;
• место рождения субъекта персональных данных;
• занимаемая должность;
• замещаемая должность;
• сведения о дисциплинарных взысканиях;
• сведения, содержащиеся в материалах служебных проверок;
• семейное положение субъекта персональных данных;
• сведения о близких родственниках (степень родства, фамилия, имя, отчество, дата (число, месяц, год) и место рождения, место и адрес работы (службы), адрес места жительства, сведения о регистрации по месту жительства или пребывания);
• гражданство / вид на жительство субъекта персональных данных;
• сведения о полученном образовании субъекта персональных данных;
• сведения о трудовой деятельности субъекта персональных данных;
• наличие формы допуска к государственной тайне субъекта персональных данных.

5 Порядок и условия обработки персональных данных

Оператор осуществляет обработку персональных данных как с использованием средств автоматизации, так и без использования таких средств.

Обработка персональных данных включает в себя:

• сбор;
• запись;
• систематизацию;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передачу (распространение, предоставление, доступ);
• обезличивание;
• блокирование;
• удаление;
• уничтожение.

Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», а именно:

• обработка персональных данных осуществляется Оператором на законной и справедливой основе;
• обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
• не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков). При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных используется отдельный материальный носитель;
• обработке подлежат только персональные данные, которые отвечают целям их обработки;
• содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
• при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры, либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
• хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
• запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации осуществляется с использованием баз данных, находящихся на территории Российской Федерации, в том числе при использовании Оператором сети «Интернет».

Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

Оператор вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта с согласия субъекта персональных данных.

Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Кроме того, Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Обработка персональных данных Оператором осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только Оператором, которому оно направлено.

Трансграничная передача персональных данных осуществляется Оператором с согласия субъекта персональных данных.

Оператор до начала осуществления деятельности по трансграничной передаче персональных данных должен уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных в соответствии с действующим законодательством Российской Федерации.

Порядок взаимодействия сторон, принимающих участие в трансграничной передаче персональных данных, предусмотрен Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Оператор при обработке персональных данных принимает правовые, организационные и технические меры, необходимые и достаточные для обеспечения выполнения требований действующего законодательства Российской Федерации для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

6 Права субъектов персональных данных

В соответствии со статьей 14 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

• подтверждение факта обработки персональных данных Оператором;
• правовые основания и цели обработки персональных данных;
• цели и применяемые Оператором способы обработки персональных данных;
• наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
• информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
• информацию о способах исполнения Оператором обязанностей, установленных статьей 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
• иные сведения, предусмотренные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» или другими федеральными законами.

Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Субъект персональных данных имеет право на отзыв согласия на обработку персональных данных, данного Оператору.

Доступ субъекта персональных данных к своим персональным данным может быть ограничен в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

7 Обязанности Оператора при обработке персональных данных

При сборе персональных данных Оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Если в соответствии с федеральным законом предоставление персональных данных и (или) получение Оператором согласия на обработку персональных данных являются обязательными, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.

Если персональные данные получены не от субъекта персональных данных, Оператор, за исключением случаев, предусмотренных частью 4 статьи 18 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

• наименование либо фамилия, имя, отчество и адрес Оператора или его представителя;
• цель обработки персональных данных и ее правовое основание;
• перечень персональных данных;
• предполагаемые пользователи персональных данных;
• права субъекта персональных данных, установленные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
• источник получения персональных данных.

В соответствии с частью 4 статьи 18 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» Оператор освобождается от обязанности предоставить субъекту персональных данных перечисленные выше сведения, в случаях, если:

• субъект персональных данных уведомлен об осуществлении обработки его персональных данных Оператором;
• персональные данные получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
• обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
• Оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или  иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
• предоставление субъекту персональных данных сведений нарушает права и законные интересы третьих лиц.

8 Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

Оператор обязан сообщить в порядке, предусмотренном статьей 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с  этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в  случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семь рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

Оператор прекращает обработку персональных данных или   обеспечивает прекращение обработки персональных данных лицом, действующим по поручению Оператора:

• в случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, в срок, не превышающий трех рабочих дней с даты этого выявления;
• в случае отзыва субъектом персональных данных согласия на обработку его персональных данных;
• в случае достижения цели обработки персональных данных.

В случае достижения цели обработки персональных данных Оператор обязан уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных.

В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не  требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами.

В случае обращения субъекта персональных данных к Оператору с  требованием о прекращении обработки персональных данных Оператор обязан в срок, не превышающий десяти рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

В случае отсутствия возможности уничтожения персональных данных в течение указанного срока Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в  срок не более чем шесть месяцев, если иной срок не установлен законодательством Российской Федерации.