Политика ПАО "ЛУКОЙЛ" в отношении обработки персональных данных
1. Общие положения
1.1. Политика ПАО «ЛУКОЙЛ» в отношении обработки персональных данных (далее – Политика) определяет порядок обработки персональных данных в ПАО «ЛУКОЙЛ» (далее также «Компания», «Оператор») в соответствии со статьей 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон) и определяет принципы, цели, порядок, способы и правовые основания обработки персональных данных, а также содержит сведения о реализуемых требованиях к защите персональных данных.
1.2. Целью настоящей Политики является создание условий для обеспечения защиты прав и свобод субъектов персональных данных при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также информирование субъектов персональных данных и лиц, участвующих в обработке персональных данных, о соблюдении в ПАО «ЛУКОЙЛ» основополагающих принципов законности, справедливости, неизбыточности, соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки.
1.3. Политика применяется ко всем действиям с персональными данными в Компании, вне зависимости от способов, сроков и целей обработки.
1.4. Политика действует в отношении всех персональных данных, обрабатываемых в Компании, является общедоступной и размещается на официальном сайте Компании. Оператор принимает все возможные меры для обеспечения неограниченного доступа к Политике.
1.5. Оператором персональных данных является ПАО «ЛУКОЙЛ»: ИНН 7708004767, ОГРН 1027700035769, фактический адрес: 101000, г. Москва, б-р Сретенский, д.11, регистрационный номер в реестре операторов, осуществляющих обработку персональных данных, № 08-0009299 (pd.rkn.gov.ru).
1.6. Ответственный за организацию обработки персональных данных в ПАО «ЛУКОЙЛ» - начальник Управления организации обработки персональных данных, e-mail: personal.data@lukoil.com.
2. Термины и определения
Для целей Политики применены следующие термины с соответствующими определениями:
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных или наличия иного законного основания.
3. Принципы обработки персональных данных
ПАО «ЛУКОЙЛ» руководствуется следующими принципами при обработке персональных данных:
3.1. Обработка персональных данных осуществляется на законной и справедливой основе.
3.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в несовместимых целях.
3.4. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки.
3.5. При обработке персональных данных обеспечивается точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры для удаления или уточнения неполных или неточных данных.
3.6. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
3.7. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4. Категории субъектов персональных данных
4.1. Основные категории субъектов, чьи персональные данные обрабатываются в Компании:
работники ПАО «ЛУКОЙЛ», а также бывшие работники Компании;
работники иных организаций Группы «ЛУКОЙЛ»;
члены семей и близкие родственники работников ПАО «ЛУКОЙЛ» и иных организаций Группы «ЛУКОЙЛ»;
кандидаты на замещение вакантных должностей;
кандидаты на замещение руководящих должностей в организациях Группы «ЛУКОЙЛ»;
контрагенты (физические лица, а также физические лица – представители юридических лиц);
физические лица, участвующие в судебных и арбитражных делах, касающихся защиты прав и законных интересов ПАО «ЛУКОЙЛ» и иных организаций Группы «ЛУКОЙЛ»;
лица, информация о которых подлежит раскрытию;
члены Совета директоров ПАО «ЛУКОЙЛ» и их родственники;
акционеры ПАО «ЛУКОЙЛ» и их уполномоченные представители;
посетители объектов ПАО «ЛУКОЙЛ»;
пользователи сайтов ПАО «ЛУКОЙЛ», предоставившие свои персональные данные ПАО «ЛУКОЙЛ»;
авторы обращений в ПАО «ЛУКОЙЛ»;
иные физические лица, предоставившие свои персональные данные в целях их обработки, предусмотренных разделом 5 настоящей Политики.
5. Цели обработки
5.1. Основные цели обработки персональных данных в Компании:
осуществление ПАО «ЛУКОЙЛ» функций, полномочий и обязанностей, предусмотренных законодательством Российской Федерации и Уставом ПАО «ЛУКОЙЛ»;
обеспечение реализации гарантий трудовых прав работников, создания благоприятных условий труда, защиты прав и интересов сторон трудовых отношений, соблюдение трудового законодательства Российской Федерации и законодательства об охране труда;
оказание содействия в трудоустройстве, формирование кадрового резерва в организациях Группы «ЛУКОЙЛ»;
формирование статистической документации в соответствии с трудовым и налоговым законодательством, а также иной отчетности в государственные органы и органы местного самоуправления в установленных случаях;
предоставление дополнительных гарантий и компенсаций работникам ПАО «ЛУКОЙЛ» и членам их семей, а также другим субъектам персональных данных, имеющим право на социальное обеспечение в соответствии с локальными нормативными актами ПАО «ЛУКОЙЛ»;
обеспечение заключения, исполнения и прекращения заключенных договоров (соглашений) с ПАО «ЛУКОЙЛ»;
соблюдение законодательства Российской Федерации об акционерных обществах, антимонопольного законодательства и законодательства о ценных бумагах;
обеспечение пропускного и внутриобъектового режимов на объектах ПАО «ЛУКОЙЛ»;
рассмотрение обращений граждан Российской Федерации и иных физических лиц;
организация социально значимых и корпоративных мероприятий ПАО «ЛУКОЙЛ»;
осуществление спонсорской и благотворительной деятельности ПАО «ЛУКОЙЛ»;
освещение деятельности ПАО «ЛУКОЙЛ», иных организаций Группы «ЛУКОЙЛ» на сайтах ПАО «ЛУКОЙЛ» в информационно-телекоммуникационной сети «Интернет»;
формирование справочных материалов для внутреннего информационного обеспечения деятельности ПАО «ЛУКОЙЛ», иных организаций Группы «ЛУКОЙЛ»;
улучшение работы сайта, повышение эффективности и удобства работы с сайтом.
5.2. Состав, объем и категории персональных данных, обрабатываемых в Компании, определяются в соответствии с законодательством Российской Федерации и локальными нормативными актами Компании с учетом целей обработки персональных данных, указанных в пункте 5.1 настоящей Политики.
5.3. Оператором могут разрабатываться локальные нормативные акты в области персональных данных, в которых в зависимости от задач и функций, выполняемых структурными подразделениями ПАО «ЛУКОЙЛ», могут быть конкретизированы определенные ПАО «ЛУКОЙЛ» цели обработки персональных данных, а также указана дополнительная информация, определяющая особенности обработки персональных данных в структурных подразделениях ПАО «ЛУКОЙЛ» в рамках определенных настоящей Политикой целей.
5.4. Компания не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, судимости, за исключением случаев, предусмотренных законодательством Российской Федерации.
Компания осуществляет обработку сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Оператором для установления личности субъекта персональных данных (биометрические персональные данные), только в порядке, предусмотренном законодательством Российской Федерации.
6. Правовые основания обработки персональных данных
Обработка Оператором персональных данных, в зависимости от целей обработки, осуществляется:
6.1. С согласия субъектов персональных данных на обработку их персональных данных, которое должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено Федеральным законом. В случаях, предусмотренных Федеральным законом, согласие на обработку персональных данных дается в письменной форме;
6.2. В целях исполнения законов Российской Федерации, международных договоров Российской Федерации, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
6.3. В целях исполнения или заключения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации Компанией своего права на уступку прав (требований) по такому договору;
6.4. Для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
6.5. Для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
6.6. Для осуществления прав и законных интересов Оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
6.7. В статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;
6.8. В иных случаях, предусмотренных законодательством Российской Федерации.
7. Способы обработки персональных данных, условия ее прекращения
7.1. Обработка персональных данных в Компании осуществляется следующими способами:
неавтоматизированная обработка персональных данных;
автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
смешанная обработка персональных данных.
7.2. К числу условий прекращения обработки персональных данных относятся:
достижение целей обработки персональных данных;
истечение срока действия согласия на обработку персональных данных;
отзыв субъектом персональных данных согласия на обработку своих персональных данных;
выявление случаев неправомерной обработки персональных данных;
утрата необходимости в достижении целей обработки персональных данных;
ликвидация Оператора как юридического лица.
8. Передача персональных данных
8.1. В целях соблюдения законодательства Российской Федерации, для достижения целей обработки персональных данных, а также в интересах субъектов персональных данных Компания в ходе своей деятельности предоставляет персональные данные органам государственной власти, органам местного самоуправления, фондам, общественным и коммерческим организациям в случаях, предусмотренных законодательством Российской Федерации;
8.2. Компания вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, на основании заключаемого с этим лицом договора (далее – поручение). В поручении должны быть определены:
перечень действий (операций) с персональными данными, которые будут совершаться юридическим лицом, осуществляющим обработку персональных данных;
цели обработки;
обязанность такого юридического лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке;
требования к защите обрабатываемых персональных данных в соответствии с требованиями Федерального закона;
ответственность такого юридического лица перед Компанией.
8.3. Лицо, осуществляющее обработку персональных данных по поручению Компании, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
8.4. В случае если Компания поручает обработку персональных данных другому юридическому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Компания. Юридическое лицо, осуществляющее обработку персональных данных по поручению Компании, несет ответственность перед Компанией.
8.5. Передача персональных данных внутри Компании осуществляется в соответствии с локальными нормативными актами Компании.
8.6. Трансграничная передача персональных данных осуществляется Компанией только при наличии согласия в письменной форме субъекта персональных данных на такую передачу, за исключением случаев, предусмотренных Федеральным законом.
8.7. Компания до начала осуществления трансграничной передачи персональных данных обязана убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.
8.8. Трансграничная передача персональных данных на территорию иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
9. Сроки обработки, хранения и уничтожения персональных данных
9.1. Сроки обработки и хранения персональных данных категорий субъектов персональных данных, указанных в пункте 4.1 настоящей Политики, определяются в соответствии с требованиями законодательства Российской Федерации и локальных нормативных актов ПАО «ЛУКОЙЛ», регламентирующих данные вопросы, а также положениями договора, стороной, выгодоприобретателем или поручителем по которому выступает субъект персональных данных, а при их отсутствии - согласием субъекта персональных данных на обработку персональных данных.
9.2. Обработка персональных данных осуществляется не дольше, чем этого требуют цели обработки персональных данных, если иное не установлено законодательством Российской Федерации.
9.3. Хранение персональных данных в Компании осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если иной срок хранения персональных данных не установлен федеральным законом Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
9.4. Компания при хранении персональных данных обязуется использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с частью 5 статьи 18 Федерального закона.
9.5. Компания обеспечивает раздельное хранение персональных данных, обрабатываемых без использования средств автоматизации, в том числе использование отдельного материального носителя персональных данных для каждой категории персональных данных.
При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы.
9.6. Срок хранения документов архивного фонда, содержащих персональные данные, определяется исходя из требований законодательства об архивном деле в Российской Федерации.
9.7. Персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в их достижении, если иное не предусмотрено законодательством Российской Федерации.
9.8. Порядок и способы уничтожения персональных данных определяются локальными нормативными актами ПАО «ЛУКОЙЛ» в области персональных данных в зависимости от способов обработки персональных данных и материальных носителей персональных данных, на которых осуществляются запись и хранение персональных данных.
10. Реализуемые меры защиты
Компания принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в их отношении. К таким мерам, в соответствии с Федеральным законом, в частности, относятся:
10.1. Назначение ответственного за организацию обработки персональных данных.
10.2. Издание Оператором локальных нормативных актов в сфере персональных данных:
определяющих политику оператора в отношении обработки персональных данных;
определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований;
устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
10.3. Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с Федеральным законом.
10.4. Осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям к защите персональных данных, настоящей Политике, иным локальным актам Оператора.
10.5. Проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом.
10.6. Ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, настоящей Политикой, иными локальными актами по вопросам обработки персональных данных и обучение указанных работников.
10.7. Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
10.8. Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных.
10.9. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
10.10. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
10.11. Учет машинных носителей персональных данных.
10.12. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них. .
10.13. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
10.14. Установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
10.15. Разработка и внедрение локальных нормативных актов, регламентирующих вопросы обработки и защиты персональных данных.
10.16. Ограничение числа работников, имеющих доступ к персональным данным.
10.17. Установление особого режима допуска в помещения, в которых ведется обработка персональных данных и (или) хранятся материальные носители персональных данных.
10.18. Ограничение числа лиц, имеющих доступ в помещения, в которых ведется обработка персональных данных и (или) хранятся материальные носители персональных данных.
10.19. Установление порядка уничтожения персональных данных.
10.20. Размещение технических средств обработки персональных данных в пределах охраняемой территории.
10.21. Резервное копирование информации для возможности восстановления персональных данных.
10.22. Проведение периодического контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
11. Права и обязанности субъектов персональных данных
11.1. Субъект персональных данных имеет право:
11.1.1. На получение информации, касающейся обработки его персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных Компанией;
правовые основания и цели обработки персональных данных;
цели и применяемые Компанией способы обработки персональных данных;
наименование и место нахождения Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Компании, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные законодательством Российской Федерации.
11.1.2. Требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
11.1.3. Отозвать согласие на обработку персональных данных в предусмотренных законом случаях.
11.1.4. Обжаловать действия или бездействие Компании в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если субъект персональных данных считает, что Компания осуществляет обработку его персональных данных с нарушением требований Федерального закона или иным образом нарушает его права и свободы.
11.1.5. На защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
11.2. Субъект персональных данных обязан:
11.2.1. Предоставлять Компании достоверные персональные данные, состав которых установлен законодательством Российской Федерации и локальными нормативными актами Компании.
11.2.2. Сообщать Компании об изменении своих персональных данных в сроки, установленные законодательством Российской Федерации и локальными нормативными актами Компании.
12. Ответственность
Работники Компании, участвующие в обработке персональных данных, несут дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с действующим законодательством Российской Федерации за нарушение правил обработки персональных данных и требований к защите персональных данных.