Политика МГУП «Тирастеплоэнерго» в отношении обработки персональных данных абонент.

Новости Тирасполя декабря 27 2018

1. Общие положения

     1.1.Политика МГУП «Тирастеплоэнерго» в отношении обработки персональных данных абонентов и контрагентов предприятия (далее - политика) определяет порядок, условия обработки персональных данных и реализацию требований по защите персональных данных в МГУП «Тирастеплоэнерго» (далее - предприятие) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защита прав на неприкосновенность частной жизни, личную и семейную тайну.

     1.2.Действие настоящей политики распространяется на все процессы предприятия, в рамках которых осуществляется обработка персональных данных субъектов персональных данных всех категорий, а также на подразделения предприятия, принимающие участие в указанных процессах.

     1.3.Правовой основой настоящей политики является Конституция Приднестровской Молдавской Республики, Закон Приднестровской Молдавской Республики от 16 апреля 2010 года № 53-3-IV «О персональных данных» (САЗ 10-15), Трудовой кодекс Приднестровской Молдавской Республики, Гражданский Кодекс Приднестровской Молдавской Республики, Законы Приднестровской Молдавской Республики, Указы Президента Приднестровской Молдавской Республики, Постановления Правительства Приднестровской Молдавской Республики, другие нормативные правовые акты в области обработки и обеспечения безопасности персональных данных.

     1.4.В настоящей политике используются основные понятия, определённые в статье 3 Закона Приднестровской Молдавской Республики от 16 апреля 2010 года № 53-3-1V «О персональных данных» (САЗ 10-15).

     1.5.Предметом деятельности предприятия в рамках реализации условий настоящей Политики является оказание услуг по следующим видам деятельности:

- качественное и бесперебойное обеспечение тепловой энергией потребителей на нужды отопления в осенне-зимний период и круглогодично на нужды горячего водоснабжения.

- обслуживание тепловых сетей;

- проектирование, строительство и эксплуатация объектов теплоснабжения, магистральных теплотрасс, подъемных, котлов, сосудов и трубопроводов, работающих под давлением;

- коммерческие операции, связанные с расчетами потребителей за полученную тепловую энергию;

- монтаж, ремонт, наладка, аттестация и переаттестация теплового оборудования и систем контроля, котлов, сосудов и трубопроводов, работающих под давлением;

- деятельность по ввозу, эксплуатации и ремонту средств измерений;

- внешнеэкономическая деятельность;

- организация деятельности автомобильного транспорта, в том числе, эксплуатация специализированного автотранспорта;

- строительные работы по прокладке внешних инженерных сетей и коммуникаций;

- общестроительные и ремонтные работы;

- торгово-закупочная деятельность;

-по теплоснабжению потребителей, обеспечению безопасности теплоснабжения, обеспечения платежей потребителями услуг и предоставления компетентной информации потребителю об оказанных услугах.

     1.6.Место нахождения руководства предприятия: г.Тирасполь, ул. Шутова, 3,почтовый адрес: ПМР, 3300 MD, г. Тирасполь, ул. Шутова, 3.

     Предприятие имеет один филиал и реализует свои полномочия по сбору и обработке персональных данных посредством соответствующих подразделений предприятия по следующим адресам:

1) Предприятие:

3300 MD г.Тирасполь, ул.Шутова, 3;

2) Филиал предприятия:

5500 MD г.Рыбница, ул.Маяковского, 43.

     1.7.Персональные данные являются конфиденциальной информацией. При этом предприятие не обрабатывает специальные категории персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, равно как не обрабатывает биометрические персональные данные. Кроме того, предприятие не осуществляет трансграничную передачу персональных данных за исключением доверенностей на право подписания соответствующих документов с иностранными организациями.

     1.8.Обеспечение необходимого и достаточного уровня безопасности персональных данных и другой конфиденциальной информации является важнейшим условием деятельности предприятия.

2. Принципы, цели и условия обработки персональных данных

     2.1.Обработка персональных данных осуществляется предприятием на законной и справедливой основе.

     2.2.При обработке персональных данных предприятия соблюдаются следующие принципы:

-обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей; не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

-не допускается объединение баз данных, содержащих персональных данные, обработка которых осуществляется в целях, несовместимых между собой;

-обработке подлежат только персональные данные, которые отвечают целям их обработки;

содержание и объём обрабатываемых персональных данных соответствуют заявленным целям обработки; не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;

-при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;

-хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законом.

     2.3.Сроки хранения документов, содержащих персональные данные, определены Номенклатурой дел предприятия.

     2.4.Предприятие производит обработку персональных данных с соблюдением условий, указанных в законе Приднестровской Молдавской Республики от 16 апреля 2010 года № 53-3-IV «О персональных данных» (САЗ 10-15).

     Источниками персональных данных предприятия являются:

а)ГУ регистрации и нотариата Министерства юстиции Приднестровской Молдавской Республики - данные в отношении юридических лиц;

б)налоговые инспекции городов и районов - в отношении физических лиц в статусе индивидуальных предпринимателей;

в)ГУП «Республиканский расчётный информационный центр» - в отношении физических лиц объектов;

г)непосредственно потребители услуг, товаров;

д)контрагенты предприятия, с которыми осуществляются какие-либо отношения.

3. Обработка персональных данных и реализация требований по защите                   персональных данных

     3.1.Для осуществления своих полномочий предприятие обрабатывает персональные данные следующих субъектов:

а) потребителейтепловой энергии;

б) контрагентов предприятия;

в) письменно или устно обратившихся субъектов, в том числе субъектов, чьи обращения были на основании требований законодательства Приднестровской Молдавской Республики перенаправлены на предприятие.

     3.2.Целью обработки персональных данных вышеуказанных субъектов персональных данных являются:

а) расчётное обслуживание потребителей тепловой энергии;

б) хранение баз данных о потребителях тепловой энергии, платежах за оказанные услуги;

д) получение подтверждения полномочий лица, представляющего интересы контрагента;

е) подтверждение прав собственности на объекты теплоснабжения;

д)проведение систематической инвентаризации потребителей тепловой энергии, объектов теплоснабжения;

е)актуализация предоставления льгот потребителям тепловой энергии, обладающим правом их пользованием в соответствии с действующим законодательством ПМР;

ж)правильное отнесение потребителя тепловой энергии к соответствующей тарификационной группе;

з)исполнение договорных обязательств, ведение бухгалтерского учёта и контроля над финансово-хозяйственной деятельностью предприятия;

и)регистрация и рассмотрение обращений граждан;

к)оформление договоров теплоснабжения, договоров о безвозмездной передаче имущества во временное пользование, договоров на техническое обслуживание, до говоров на техническое присоединение к системе теплоснабжения, хозяйственных договоров;

л)оформление документов об отсрочке или рассрочке задолженности за потребление тепловой энергии или оказанные услуги;

м)обеспечения соблюдения Конституции ПМР, законодательных и иных нормативных правовых актов ПМР, локальных нормативных актов предприятия;

н) осуществления функций, полномочий и обязанностей, возложенных на предприятие, в том числе по предоставлению персональных данных в органы государственной власти, а также в иные государственные органы;

о)защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;

п)обеспечения пропускного и внутри объектового режимов на предприятии;

р)формирования справочных материалов для внутреннего информационного обеспечения деятельности предприятия и его филиалов;

с)осуществления прав и законных интересов предприятия в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами предприятия, третьих лиц либо достижения общественно значимых целей;

т)в иных законных целях.

     3.3.С целью обеспечения выполнения обязанностей, предусмотренных Законом Приднестровской Молдавской Республики от 16 апреля 2010 года № 53-3-IV «О персональных данных» (САЗ 10-15) и принятыми в соответствии с ним нормативными правовыми актами предприятием приняты следующие меры:

-приняты правовые, организационные и технические меры, установленные законодательством Приднестровской Молдавской Республики в области персональных данных, по обеспечению безопасности обрабатываемых персональных данных;

-выполнены требования по обработке персональных данных, осуществляемой без использования средств автоматизации;

-с целью осуществления внутреннего контроля над соответствием обработки персональных данных, обязательным требованиям на предприятии является организация проведения периодических проверок условий обработки персональных данных;

-работники предприятия, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Приднестровской Молдавской Республики о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по обработке персональных данных.

     3.4.Предприятие не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законом.

     3.5.На предприятии используются следующие основные принципы построения системы безопасности персональных данных:

- законность;

- системность;

- комплексный подход;

- непрерывность защиты;

- своевременность;

- преемственность и совершенствование;

- разумная достаточность (экономическая целесообразность);

- минимизация полномочий;

- персональная ответственность;

- гибкость системы защиты;

- обоснованность и реализуемость;

- специализация и профессионализм обслуживающего персонала;

- обязательность контроля.

     3.6.Объектами защиты являются:

- персональные данные, обрабатываемые и хранящиеся на серверах, на автоматизированных рабочих местах пользователей (далее - АРМ), на отчуждаемых (съемных) носителях информации, на выносных терминалах, мониторах;

- персональные данные, передаваемые по каналам и линиям связи;

- персональные данные, хранящиеся в документированном виде на бумажных носителях;

- прикладное и системное программное обеспечение серверов, АРМ, используемых для обработки персональных данных;

- аппаратные средства программно-технических комплексов, оборудование серверов, АРМ, коммуникационное оборудование;

- средства защиты информации информационных систем персональных данных;

- съемные (отчуждаемые) машинные носители информации - накопители на гибких и жестких магнитных дисках, Flash-накопители, оптические диски (CD-R, CD-RW, DVD-R, DVD-RW) и т.д.

     3.7.Доступ работников и посетителей в служебные помещения предприятия, в которых ведётся обработка персональных данных, ограничен. Общение с абонентами, контрагентами предприятия осуществляется таким образом, чтобы данные лица не видели информации на мониторах работников.

     3.8.Исключён несанкционированный доступ к персональным данным, определён перечень лиц, осуществляющих обработку персональных данных, определены месте хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях. Лица, допущенные к эксплуатации средств защиты информации, обучены правилам работы с ними. Компоненты информационных систем персональных данных размещаются в помещениях, находящихся под охраной, исключающим возможность бесконтрольного проникновения в помещения посторонних лиц и обеспечивающим физическую сохранность находящихся в помещении защищаемых ресурсов (документов, АРМ и т.д.).

     3.9.Ключевым элементом в системе обработки персональных данных является персонал предприятия. Каждый работник предприятия обязан участвовать в работе по реализации настоящей политики. Любой работник предприятия обязан сообщить ответственному лицу за организацию обработки персональных данных о нарушениях, связанных с обработкой персональных данных. При этом расследование нарушения правил обработки персональных данных проводится всегда независимо от других расследований. Цель расследования - выявление причин и принятие своевременных корректирующих мер, направленных на предотвращение подобных инцидентов в будущем.

     3.10.Руководитель предприятия пропагандирует цели и внедряет культуру обработки персональных данных в соответствии с требованиями законодательства Приднестровской Молдавской Республики. Руководитель предприятия назначает подотчётное лицо, ответственное за организацию обработки персональных данных. Лицо, ответственное за организацию обработки персональных данных, принимает решения в интересах недопущения нарушений при обработке персональных данных, с санкции руководителя организует мероприятия по устранению выявленных нарушений, при необходимости активно взаимодействует в этих целях с государственными органами.

     Кроме того, лицо, ответственное за организацию обработки персональных данных обязано:

а)осуществлять внутренний контроль по соблюдению на предприятии законодательства Приднестровской Молдавской Республики о персональных данных, в том числе требований к защите персональных данных;

б)доводить до сведения работников предприятия: положения законодательства Приднестровской Молдавской Республики о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

в)организовывать приём и обработку обращений и запросов субъектов персональных данных или их законных представителей и (или) осуществлять контроль над приёмом и обработкой таких обращений и запросов.

4. Права субъектов персональных данных

     4.1.Субъекты персональных данных имеют право:

- на полную информацию об их персональных данных, обрабатываемых на предприятии;

- доступа к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных законом;

- на уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

- отозвать согласие на обработку персональных данных;

- на принятие предусмотренных законом мер по защите своих прав;

- на обжалование действия или бездействия предприятия, осуществляемого с нарушением требований законодательства ПМР в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;

- осуществление иных прав, предусмотренных законодательством ПМР.

5. Меры, принимаемые предприятием для обеспечения выполнения обязанностей оператора при обработке персональных данных

     5.1.Меры, необходимые и достаточные для обеспечения выполнения предприятием обязанностей оператора, предусмотренных законодательством ПМР в области персональных данных, включают:

-назначение лица, ответственного за организацию обработки персональных данных на предприятии;

- принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;

-организацию обучения и проведение методической работы с работниками структурных подразделений предприятия, его филиалов, занимающими должности, включенные в перечень должностей, при замещении которых осуществляется обработка персональных данных;

-получение согласий субъектов персональных данных на обработку их персональных данных согласно приложению №1 к настоящей политике, за исключением случаев, предусмотренных законодательством ПМР;

-обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности, путем их фиксации на отдельных материальных носителях персональных данных, в специальных разделах;

-обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных;

-установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям, вне пределов контролируемой зоны, и сетям интернет без применения установленных на предприятии мер по обеспечению безопасности персональных данных (за исключением общедоступных и (или) обезличенных персональных данных);

- хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;

- осуществление внутреннего контроля за соответствием обработки персональных данных закону ПМР «О персональных данных», и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей политике, локальным нормативным актам предприятия;

- иные меры, предусмотренные законодательством ПМР в области персональных данных.

     5.2.Персональная ответственность за соблюдение требований законодательства ПМР и локальных нормативных актов предприятия в области персональных данных в структурных подразделениях предприятия, его филиалах, а также, ответственность за обеспечение конфиденциальности и безопасности персональных данных в указанных подразделениях возлагается на их руководителей.

6. Заключительные положения

     6.1.Ответственность работников предприятия, допущенных к обработке персональных данных, за невыполнение обязательных требований определяется в соответствии с законодательством Приднестровской Молдавской Республики и локальными актами предприятия в области обработки персональных данных.

     6.2.Пересмотр положений настоящей политики проводится по мере необходимости, а также в случаях:

- при изменении законодательства Приднестровской Молдавской Республики в области персональных данных;

- в случаях выявления несоответствий, затрагивающих обработку персональных данных;

- по результатам контроля выполнения требований по обработке и защите персональных данных;

- по решению руководителя предприятия.

     6.3.Права и обязанности предприятия в связи с обработкой персональных данных определяются законодательством Приднестровской Молдавской Республики в области персональных данных.