ПОЛИТИКА
в отношении обработки персональных
данных на сайте
АКЦИОНЕРНОГО ОБЩЕСТВА «ОБЪЕДИНЕННАЯ
ЭНЕРГЕТИЧЕСКАЯ КОМПАНИЯ»
1.1.
Конфиденциальность
персональных данных – обязательное
для соблюдения Оператором или иным получившим доступ к персональным данным
лицом требование не допускать их распространения без согласия субъекта
персональных данных или наличия иного законного основания
1.2.
Персональные
данные (ПДн) - любая информация,
относящаяся к прямо или косвенно определённому лицу или определяемому
физическому лицу (субъекту персональных данных).
1.3.
Оператор
- государственный орган,
муниципальный орган, юридическое или физическое лицо, самостоятельно или
совместно с другими лицами организующие и (или) осуществляющие обработку
персональных данных, а также определяющие цели обработки персональных данных,
состав персональных данных, подлежащих обработке, действия (операции),
совершаемые с персональными данными.
1.4.
Обработка
персональных данных - любое
действие (операция) или совокупность действий (операций), совершаемых с
использованием средств автоматизации или без использования таких средств с
персональными данными, включая сбор, запись, систематизацию, накопление,
хранение, уточнение (обновление, изменение), извлечение, использование,
передачу (распространение, предоставление, доступ), обезличивание,
блокирование, удаление, уничтожение персональных данных.
1.5.
Автоматизированная
обработка персональных данных -
обработка персональных данных с помощью средств вычислительной техники.
1.6.
Распространение
персональных данных - действия,
направленные на раскрытие персональных данных неопределенному кругу лиц.
1.7.
Предоставление
персональных данных - действия,
направленные на раскрытие персональных данных определенному лицу или
определенному кругу лиц.
1.8.
Блокирование
персональных данных - временное
прекращение обработки персональных данных (за исключением случаев, если
обработка необходима для уточнения персональных данных).
1.9.
Уничтожение
персональных данных - действия, в
результате которых становится невозможным восстановить содержание персональных
данных в информационной системе персональных данных и (или) в результате
которых уничтожаются материальные носители персональных данных.
1.10. Обезличивание персональных
данных - действия, в результате
которых становится невозможным без использования дополнительной информации
определить принадлежность персональных данных конкретному субъекту персональных
данных.
1.11. Информационная система
персональных данных (ИСПДн) -
совокупность содержащихся в базах данных персональных данных и обеспечивающих
их обработку информационных технологий и технических средств.
1.12. Трансграничная передача
персональных данных - передача
персональных данных на территорию иностранного государства органу власти
иностранного государства, иностранному физическому лицу или иностранному
юридическому лицу.
1.13. Сайт - совокупность связанных между
собой веб-страниц, размещенных в сети Интернет по уникальному адресу URL, а
также его субдоменах.
1.14. Субдомены – страницы
или совокупность страниц, размещенные в сети Интернет, расположенные на доменах
третьего уровня, принадлежащие Сайту, а также другие временные страницы, внизу
который указана контактная информация владельца Сайта.
1.15. Cookies – небольшой
фрагмент данных, отправленный веб-сервером и хранимый на компьютере
пользователя, который веб-клиент или веб-браузер каждый раз пересылает
веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего Сайта.
1.16. IP-адрес – уникальный
сетевой адрес узла в компьютерной сети, через который Пользователь получает
доступ на Сайт.
1.17. Пользователь Сайта – лицо, имеющее
доступ к Сайту посредством сети Интернет и использующее информацию, материалы и
продукты Сайта.
2.1. АО «ОЭК» (далее - Оператор) уделяет приоритетное
внимание вопросам обеспечения информационной безопасности. Со стороны Оператора
принимается комплекс правовых, организационных и технических мер, направленных
на защиту персональных данных пользователей (Субъектов персональных данных),
полученных во время использования Сайта АО «ОЭК», его программ и его продуктов
Пользователями Сайта.
2.2.
Настоящая политика в
отношении обработки персональных данных (далее - Политика) определяет основные
положения обработки персональных данных (далее - ПДн), реализуемые меры защиты
ПДн во время использования субъектами ПДн любого из сервисов Сайта.
2.3.
Целью принятия Политики
является выполнение требований законодательства в области защиты ПДн (п.2 ч. 1
ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
2.4.
Настоящая Политика
разработана в соответствии с требованиями законодательства в области защиты
ПДн, основанного на Конституции Российской Федерации и состоящего из
Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и других
федеральных законах и подзаконных актах, определяющих случаи и особенности
обработки ПДн.
2.5.
Действие настоящей
Политики распространяется на ПДн субъектов, обрабатываемые Оператором на Сайте с
применением средств автоматизации и без применения таких средств.
2.6.
Целью обеспечения защиты
ПДн является обеспечение защиты прав и свобод субъекта ПДн, в том числе минимизация
ущерба, возникающего вследствие возможной реализации угроз безопасности ПДн.
2.7.
Оператор оставляет за
собой право пересматривать, изменять и дополнять настоящую Политику в случае
изменения законодательных и нормативно-правовых актов, а также по своему
усмотрению. Новая редакция Политики вступает в силу, с момента ее размещения в
открытом доступе на Сайте Оператора, если иное не предусмотрено новой редакцией
Политики.
2.8.
Использование
Пользователем Сайта Оператора означает согласие Пользователя с настоящей
Политикой и условиями обработки персональных данных Пользователя.
2.9.
В случае несогласия с
условиями Политики, Пользователь должен прекратить использование Сайта.
3.
ПРИНЦИПЫ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Обработка ПДн осуществляется Оператором на основе следующих
принципов:
3.1.1.
Обработка ПДн
осуществляется на законной и справедливой основе.
3.1.2.
Обработка ПДн
осуществляется в соответствии с полномочиями Оператора.
3.1.3.
Обработка ПДн
ограничивается достижением конкретных, заранее определённых и законных целей.
3.1.4.
Персональные данные,
цели обработки которых несовместимы между собой, обрабатываются Оператором в
различных базах данных.
3.1.5.
Содержание и объем ПДн
соответствуют заявленным целям обработки.
3.1.6.
При обработке ПДн
Оператор обеспечивает точность ПДн, их достаточность, а в необходимых случаях и
актуальность по отношению к целям обработки ПДн. Оператор принимает необходимые
меры по удалению или уточнению неполных или неточных данных.
3.2.
Хранение ПДн в форме,
позволяющей определить субъекта ПДн, осуществляется не дольше, чем этого
требуют цели обработки ПДн, если срок хранения ПДн не установлен действующим
законодательством. Обрабатываемые
ПДн
подлежат уничтожению либо обезличиванию по достижении целей обработки или в
случае утраты необходимости в достижении этих целей, если иное не предусмотрено
действующим законодательством.
3.3.
Оператор и иные лица,
получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не
распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено
законодательством Российской Федерации.
4.
ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ
ДАННЫХ, ОБРАБАТЫВАЕМЫХ ОПЕРАТОРОМ
4.1.
Перечень ПДн,
обрабатываемых на Сайте, определяется в соответствии с законодательством
Российской Федерации о ПДн, Правилами технологического присоединения
энергопринимающих устройств потребителей электрической энергии, объектов по
производству электрической энергии, а также объектов электросетевого хозяйства,
принадлежащих сетевым организациям и иным лицам, к электрическим сетям,
утвержденных постановлением Правительства Российской Федерации от 27.12.2004 №
861, Правилами предоставления доступа к минимальному набору функций
интеллектуальных систем учета электрической энергии (мощности), утвержденными
постановлением Правительства Российской Федерации от 19.06.2020 № 890, и
конкретизируется в соответствии с целями обработки ПДн, установленных в п. 6
настоящей Политики.
5.
УСЛОВИЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Обработка ПДн допускается в следующих случаях:
5.1.1.
Обработка ПДн
осуществляется с согласия субъекта ПДн на обработку его ПДн.
а) Получение и обработка ПДн в случаях,
предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных
данных» и иными законами, осуществляется Оператором с письменного согласия
субъекта ПДн или его представителя. Равнозначным содержащему собственноручную
подпись субъекта ПДн или его представителя, согласию в письменной форме на
бумажном носителе признается согласие в электронной форме.
б) Согласие на обработку ПДн может быть дано
субъектом ПДн или его представителем в любой позволяющей подтвердить факт его
получения форме, если иное не установлено Федеральным законом от 27.07.2006 г.
№ 152-ФЗ «О персональных данных» или иными законами.
в) В случае отзыва субъектом ПДн согласия на
обработку ПДн Оператор вправе продолжить обработку ПДн без согласия субъекта
ПДн (при отзыве субъектом ПДн согласия на обработку ПДн) при наличии оснований,
указанных в п.п. 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11
Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
5.1.2.
Обработка ПДн необходима
для исполнения договора, стороной которого либо выгодоприобретателем или
поручителем, по которому является субъект ПДн, а также для заключения договора
по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться
выгодоприобретателем или поручителем.
5.1.3.
Обработка ПДн необходима
для осуществления прав и законных интересов оператора или третьих лиц либо для
достижения общественно значимых целей при условии, что при этом не нарушаются
права и свободы субъекта ПДн.
5.1.4.
Осуществляется обработка
ПДн, разрешенных субъектом ПДн для распространения, (далее - персональные
данные, сделанные общедоступными субъектом ПДн).
5.1.5.
Осуществляется обработка
ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с
федеральным законом.
5.1.6.
Обработка ПДн
осуществляется в соответствии с целями, указанными в разделе 6 Политики или
заявленными при сборе ПДн, а также полномочиями Оператора, определенными
действующим законодательством Российской Федерации и договорными отношениями с Субъектами
ПДн и контрагентами Оператора.
5.2.
ПДн субъекта могут быть получены Оператором от
лица, не являющегося субъектом ПДн, при условии предоставления Оператору
подтверждения наличия оснований, указанных в п.п. 2-11
части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от
27.07.2006 г. № 152-ФЗ «О персональных данных» или иных оснований,
предусмотренных законодательством Российской Федерации. Право доступа к ПДн
субъектов персональных данных на электронных носителях имеют работники
Оператора в соответствии с их должностными обязанностями.
5.3.
Передача персональных
данных субъектов ПДн третьим лицам может осуществляться Оператором только в
соответствии с требованиями действующего законодательства Российской Федерации.
5.4.
Оператор вправе поручить
обработку ПДн третьей стороне с согласия субъекта ПДн и в иных случаях,
предусмотренных действующим законодательством Российской Федерации, на
основании заключаемого с этой стороной договора, (далее - Поручение). Третья
сторона, осуществляющая обработку ПДн по поручению Оператора, обязана соблюдать
принципы и правила обработки ПДн, предусмотренные Федеральным законом от 27.07.2006
№ 152-ФЗ «О персональных данных», обеспечивая конфиденциальность и безопасность
ПДн при их обработке.
6.
ЦЕЛИ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. ПДн обрабатываются в целях:
6.1.1.
создания учётной записи
и Личного кабинета Пользователя на Сайте Оператора;
6.1.2.
Идентификации
Пользователя, зарегистрированного на Сайте Оператора для его дальнейшей
авторизации, оформления заказа (заявки) и других действий приема заявки на
оказание услуг, заключение договора на оказание услуг;
6.1.3.
Определение места
нахождения Пользователя для обеспечения безопасности, предотвращения
мошенничества;
6.1.4.
информационного
сопровождения процедуры оказания услуг и представления документов в электронном
виде, оформленных в ходе реализации услуг;
6.1.5.
приема обращений и
предоставление ответов;
6.1.6.
приема заявок на
оказание услуг, заключение договоров на оказание услуг;
6.1.7.
осуществления
информационного обмена между участниками технологического присоединения;
6.1.8.
предоставление информации
об отключениях электрической энергии;
6.1.9.
направление
информационных и(или) рекламно-информационных сообщений с согласия Пользователя;
6.1.10. аналитика действий субъекта ПДн на Сайте;
6.1.11. в статистических или иных исследовательских целях, за
исключением целей, указанных в статье 15 Федерального закона от 27.07.2006 №
152-ФЗ «О персональных данных», при условии обязательного обезличивания
персональных данных.
6.1.12. Предоставление Пользователю эффективной технической
поддержки при возникновении проблем, связанных с использованием Сайта.
7.
ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Оператор вправе осуществлять следующие действия
(операции) с ПДн: сбор, запись, систематизацию, накопление, хранение, уточнение
(обновление, изменение), извлечение, использование, передачу (предоставление,
доступ), обезличивание, блокирование, удаление, уничтожение, с использованием
средств автоматизации.
7.2.
В целях реализации прав субъектов ПДн Оператор при обработке ПДн:
7.2.1.
принимает необходимые меры для выполнения обязанностей, предусмотренных
законодательством Российской Федерации;
7.2.2.
осуществляет
блокирование, уточнение и уничтожение неправомерно обрабатываемых персональных
данных, а также прекращение их неправомерной обработки;
7.2.3.
уведомляет субъекта
ПДн об устранении допущенных нарушений или уничтожении его персональных данных;
7.2.4.
предоставляет по
просьбе субъекта ПДн или его представителя информацию, касающуюся обработки его
персональных данных, в порядке, установленном законодательством Российской
Федерации, а также нормативными документами Оператора.
7.3.
Оператор защищает
в том числе данные, которые автоматически передаются при посещении страниц:
-
IP адрес;
-
информация
из cookies;
-
информация о
браузере;
-
время
доступа;
-
реферер
(адрес предыдущей страницы).
Отключение cookies может повлечь невозможность доступа к
частям Сайта, требующим авторизации.
7.4.
Сайт
осуществляет сбор статистики об IP-адресах своих посетителей. Данная информация
используется с целью предотвращения, выявления и решения технических проблем.
7.5.
Любая иная
персональная информация неоговоренная выше (история посещения, используемые
браузеры, операционные системы и т.д.) подлежит надежному хранению и
нераспространению, за исключением случаев, предусмотренных Федеральным законом
«О персональных данных».
7.6.
Обработка
персональных данных Пользователя осуществляется без ограничения срока.
7.7.
Обработка персональных данных осуществляется с помощью средств
вычислительной техники (автоматизированная обработка) либо при непосредственном
участии работников Оператора без использования средств вычислительной техники
(неавтоматизированная обработка).
7.8.
Передача персональных данных третьим лицам осуществляется с письменного
согласия субъектов персональных данных, за исключением случаев, когда это
необходимо в целях предупреждения угрозы жизни и здоровью субъектов
персональных данных, а также в иных случаях, установленных законодательством
Российской Федерации.
7.9.
Обработка персональных данных, разрешенных субъектом персональных данных
для распространения, осуществляется с соблюдением запретов и условий,
установленных статьей 10.1 Федерального закона «О персональных данных».
Согласие на обработку
персональных данных, разрешенных субъектом персональных данных для распространения,
оформляется отдельно от иных согласий субъекта персональных данных.
8.
СРОКИ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1.
Сроки обработки ПДн
субъектов персональных данных зависят от целей обработки ПДн и определяются в
соответствии с действующим законодательством Российской Федерации и иными
нормативными правовыми актами.
9.
ПРАВА СУБЪЕКТОВ
ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1.
Права субъекта ПДн
регулируются действующим законодательством, в частности, определяются статьям 14-17
Федерального закона от 27.06.2006 № 152- ФЗ «О персональных данных».
9.2.
Субъект ПДн имеет право
на получение информации, касающейся обработки его персональных данных:
9.2.1.
подтверждение факта
обработки персональных данных Оператором;
9.2.2.
правовые основания и
цели обработки ПДн;
9.2.3.
применяемые Оператором
способы обработки ПДн;
9.2.4.
наименование и место
нахождения Оператора, сведения о лицах (за исключением работников Оператора),
которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании
договора с Оператором или на основании федерального закона;
9.2.5.
обрабатываемые ПДн,
относящиеся к соответствующему субъекту ПДн, источник их получения, если иной
порядок представления таких данных не предусмотрен федеральным законом;
9.2.6.
сроки обработки ПДн, в
том числе сроки их хранения;
9.2.7.
порядок осуществления
субъектом ПДн прав, предусмотренных Федеральным законом от 27.06.2006 № 152-ФЗ
«О персональных данных»;
9.2.8.
информацию об
осуществленной или о предполагаемой трансграничной передаче данных;
9.2.9.
наименование или
фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению
Оператора, если обработка поручена или будет поручена такому лицу;
9.2.10.
иные сведения,
предусмотренные Федеральным законом от 27.06.2006 № 152-ФЗ «О персональных
данных» или другими федеральными законами;
9.2.11.
направить запрос на
отзыв согласия на обработку своих ПДн;
9.2.12.
принимать
предусмотренные законом меры по защите своих прав;
9.2.13.
защищать свои права и
законные интересы, возместить убытки и (или) получить компенсацию морального
вреда в судебном порядке.
9.3.
Субъект ПДн вправе
требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в
случае, если ПДн являются неполными, устаревшими, неточными, незаконно
полученными или не являются необходимыми для заявленной цели обработки, а также
принимать предусмотренные законодательством меры по защите своих прав.
9.4.
Указанные в пункте 9.2.
сведения предоставляются субъекту ПДн в доступной форме, и в них не должны
содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев,
если имеются законные основания для раскрытия таких ПДн.
9.5.
Указанные в пункте 9.2.
сведения предоставляются субъекту ПДн или его законному представителю
Оператором при обращении либо при получении запроса субъекта ПДн или его
представителя. Запрос должен содержать номер основного документа, удостоверяющего
личность субъекта ПДн или его представителя, сведения о дате выдачи указанного
документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн
в отношениях с оператором (номер договора, дата заключения договора, условное
словесное обозначение и (или) иные сведения), либо сведения, иным образом
подтверждающие факт обработки ПДн Оператором, подпись субъекта ПДн или его
представителя. Запрос может быть направлен в форме электронного документа и
подписан электронной подписью в соответствии с законодательством Российской
Федерации.
9.6.
Право субъекта
персональных данных на доступ к его ПДн может быть ограничено в соответствии с
федеральными законами, в том числе если доступ субъекта ПДн к его ПДн нарушает
права и законные интересы третьих лиц.
9.7.
Если субъект
персональных данных считает, что Оператор осуществляет обработку его ПДн с
нарушением требований федерального законодательства или иным образом нарушает
его права и свободы, субъект ПДн вправе обжаловать действия или бездействие
Оператора в уполномоченный орган по защите прав субъектов ПДн или в судебном
порядке.
9.8.
Субъект ПДн имеет право
на защиту своих прав и законных интересов, в том числе на возмещение убытков и
(или) компенсацию морального вреда в судебном порядке.
10.
МЕРЫ ПО ОБЕСПЕЧЕНИЮ
БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ
10.1. Оператор при обработке ПДн принимает необходимые и
достаточные организационные и технические меры или обеспечивает их принятие,
предусмотренные законодательством в области защиты ПДн, для защиты ПДн,
требующих обеспечения конфиденциальности, от неправомерного или случайного
доступа, уничтожения, изменения, блокирования, копирования, распространения, а
также от иных неправомерных действий с ней третьих лиц.
10.2. Меры по обеспечению безопасности персональных данных
при их обработке, применяемые Оператором, планируются и реализуются в целях
обеспечения соответствия требованиям законодательства в области ПДн и принятым
в соответствии с ним нормативным правовым актам.
10.3.Обеспечение
безопасности ПД достигается, в частности:
10.3.1. определением
угроз безопасности ПДн при их обработке в информационных системах ПДн;
10.3.1.
применением
организационных и технических мер по обеспечению безопасности ПДн при их
обработке в информационных системах персональных данных, необходимых для
выполнения требований к защите ПДн, исполнение которых обеспечивает
установленные Правительством Российской Федерации уровни защищенности ПДн;
10.3.2.
применением
прошедших в установленном порядке процедуру оценки соответствия средств защиты
информации;
10.3.3.
оценкой
эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в
эксплуатацию информационной системы персональных данных;
10.3.4.
учетом машинных
носителей информации;
10.3.5.
обнаружением
фактов несанкционированного доступа к ПДн и принятием мер, в том числе мер по
обнаружению, предупреждению и ликвидации последствий компьютерных атак на
информационные системы ПДн и по реагированию на компьютерные инциденты в них;
10.3.6.
восстановлением
ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа
к ним;
10.3.7.
установлением
правил доступа к ПДн, обрабатываемым в информационной системе ПДн, а также
обеспечением регистрации и учета всех действий, совершаемых с ПДн в
информационной системе ПДн;
10.3.8.
контролем за принимаемыми мерами по
обеспечению безопасности ПДн и уровня защищенности информационных систем ПДн.
10.3.9.
назначением ответственного за организацию
обработки ПДн;
10.3.10. разработкой и внедрением локальных актов по вопросам обработки
ПДн;
10.3.11. ограничение доступа в помещения, где размещены технические
средства, осуществляющие обработку ПДн, а также хранятся носители информации;
10.3.12. внесением ПДн (не являющиеся общедоступными, требующими соблюдения
конфиденциальности) в перечень конфиденциальной информации Оператора;
10.3.13. получением обязательства о неразглашении сведений конфиденциального
характера, в том числе ПДн, со всех работников Оператора, непосредственно
участвующих в обработке ПДн;
10.3.14. ознакомление работников Оператора непосредственно осуществляющих
обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том
числе требованиями к защите ПДн, локальными актами по вопросам обработки ПДн;
10.3.15. контролем за принимаемыми мерами по обеспечению безопасности ПДн.
10.4. Внутренний контроль
за соответствием обработки ПДн законодательству и принятым в соответствии с ним
нормативным правовым актам осуществляется в порядке, установленном
Постановлением Правительства Российской Федерации от 01.11. 2012 № 1119 «Об
утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных».
10.5. Базы данных Оператора находятся на территории
Российской Федерации.
11.
ОГРАНИЧЕНИЯ НА
ДЕЙСТВИЯ НАСТОЯЩЕЙ ПОЛИТИКИ
Действие
Политики не распространяется на отношения, возникающие при:
11.1 организации
хранения, комплектования, учета и использования содержащих ПДн документов
Архивного фонда Российской Федерации и других архивных документов в
соответствии с законодательством об архивном деле в Российской Федерации;
11.2. обработке
ПДн, отнесенных в установленном порядке к сведениям, составляющим
государственную тайну;
10.3. Предоставление, распространение, передача и получение информации о деятельности судов в Российской Федерации, содержащей ПДн, ведение и использование информационных систем и информационно-телекоммуникационных сетей в целях создания условий для доступа к указанной информации осуществляются в соответствии с Федеральным законом от 22.12. 2008 № 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».