Политика конфиденциальности | АЛРОСА
О нас
Мы строим компанию мирового уровня, и наша стратегия направлена не только на обеспечение лидерства по объемам добычи — мы стремимся к тому, чтобы во всех аспектах своей деятельности АЛРОСА руководствовалась самыми высокими международными стандартами
В раздел
Наш бизнес
В своей деятельности АЛРОСА опирается на мощную ресурсную базу, отлаженные производственные процессы, инновационные технологии и международные стандарты ведения бизнеса
В раздел
Карьера
Присоединяйся к команде мирового лидера в области алмазодобычи!
В раздел
Бриллианты АЛРОСА
Только натуральные алмазы и непревзойденное качество огранки
В раздел
Ювелирные украшения
Только настоящие бриллианты в украшениях ALROSA Diamonds
В раздел
СМИ
Мы всегда рады рассказать о нашей деятельности и ответить на вопросы журналистов
В раздел

ГлавнаяПолитика конфиденциальности

Термины и определения

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1. Общие положения

1.1. Политика АК «АЛРОСА» (ПАО) в области обработки персональных данных (далее - Политика) разработана в соответствии с требованиями, установленными Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Федеральный закон) и Общим регламентом по защите данных (General Data Protection Regulation) (Regulation (EU) 2016/679) от 27 апреля 2016 г. (далее – GDPR) и содержит сведения о реализуемых требованиях к обработке и защите персональных данных.

1.2. Политика разработана с учетом требований Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, Конституции Российской Федерации, международных договоров Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации в области персональных данных.

1.3. Целью настоящего документа является информирование субъектов персональных данных и лиц, участвующих в обработке персональных данных, о соблюдении в АК «АЛРОСА» (ПАО) (далее – Компания) основополагающих принципов законности, справедливости, неизбыточности, соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки.

1.4. Обеспечение защиты прав и свобод человека при обработке его персональных данных, в том числе защита прав на неприкосновенность частной жизни, личную и семейную тайну, является одной из приоритетных задач Компании.

1.5. Политика действует в отношении всех персональных данных, обрабатываемых в Компании и является общедоступным документом.


2. Правовые основания обработки персональных данных

2.1. Обработка Компанией персональных данных, в зависимости от целей обработки, осуществляется:

2.1.1 с согласия субъектов персональных данных на обработку их персональных данных;

2.1.2 в целях исполнения законов Российской Федерации, международных договоров Российской Федерации, постановлений Правительства Российской Федерации и иных нормативных правовых актов Российской Федерации;

2.1.3 в целях исполнения или заключения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации Компанией своего права на уступку прав (требований) по такому договору;

2.1.4 в целях ведения уставной деятельности Компании.


3. Цели и применяемые способы обработки персональных данных

3.1. Обработка персональных данных в Компании осуществляется с использованием средств автоматизации, в том числе в информационных системах персональных данных, и без использования таких средств (смешанная обработка персональных данных).

3.2. При автоматизированной обработке персональных данных применяется передача персональных данных по внутренней вычислительной сети и с использованием информационнотелекоммуникационной сети интернет.

3.3. Цели обработки персональных данных соответствуют фактически осуществляемой Компанией деятельностью, предусмотренной учредительными документами Компании, и конкретных бизнес-процессов в конкретных информационных системах персональных данных (по структурным подразделениям Компании и их процедурам в отношении определенных категорий субъектов персональных данных).

3.4. Обработка персональных данных осуществляется в целях:

3.4.1 содействия работникам и кандидатам в трудоустройстве, обучении и продвижении по службе, контроля количества и качества выполняемой работы, соблюдения норм трудового законодательства и иных актов, содержащих нормы трудового права;

3.4.2 обеспечения социальных льгот и гарантий, личной безопасности или иных жизненно важных интересов работников Компании и членов их семей;

3.4.3 заключения и исполнения гражданско-правовых договоров, в том числе договоров на оказание услуг;

3.4.4 защиты прав и законных интересов Компании и их должностных лиц в судах, органах по разрешению споров, административных органах;

3.4.5 формирования отчетности или подготовки предусмотренных в законодательстве заявлений, уведомлений и т.д. в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования, Федеральную налоговую службу и другие государственные органы и службы;

3.4.6 консолидации статистических данных и показателей по Компании;

3.4.7 проведения контрольных и аудиторских проверок Компании;

3.4.8 проведения закупочных процедур, предусмотренных внутренними нормативными документами Компании;

3.4.9 подготовки доверенностей, выдаваемых работникам Компании, иных организаций и физическим лицам;

3.4.10 обеспечения пропускного и внутриобъектового режимов в административных зданиях Компании, обеспечения сохранности имущества;

3.4.11 ведения телефонных и иных информационных справочников, публикации сообщений на внутрикорпоративных порталах, досках почета и в общедоступных информационных системах персональных данных;

3.4.12 исполнения иных обязательств, в рамках правовых оснований, перечисленных в пункте 2.1 Политики.


4. Обрабатываемые персональные данные и источники их получения

4.1. Персональные данные получаются Компанией непосредственно от субъекта персональных данных или его представителя, если иной порядок получения персональных данных не установлен Федеральным законом.

4.2. Персональные данные могут быть получены не от субъекта персональных данных при наличии согласия субъекта персональных данных на передачу его персональных данных в Компанию для обработки, если иной порядок получения персональных данных не предусмотрен Федеральным законом.

4.3. Обработка специальных категорий персональных данных (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни), биометрических персональных данных (характеризующих физиологические и биологические особенности человека, на основании которых можно установить личность субъекта) в Компании не допускается, за исключением случаев, предусмотренных п. 2 ст. 10 и ст. 11 Федерального закона.

4.4. Не допускается использование персональных данных для политической агитации, а также для продвижения товаров, работ, услуг, за исключением случаев, предусмотренных Федеральным законом.

4.5. В Компании обрабатываются персональные данные, принадлежащие:

4.5.1 работникам Компании, их родственникам;

4.5.2 работникам дочерних обществ Компании;

4.5.3 кандидатам, рассматриваемым для заключения трудовых договоров;

4.5.4 субъектам, обработка персональных данных которых связана с исполнением условий заключенных договоров;

4.5.5 субъектам, заключившим трудовые договоры или гражданско-правовые договоры с Компанией;

4.5.6 лицам, состоявшим ранее в трудовых отношениях с Компанией;

4.5.7 потенциальным контрагентам (физическим лицам);

4.5.8 учредителям (физическим лицам) потенциальных контрагентов;

4.5.9 адвокатам, нотариусам, осуществляющим взаимодействие с Компанией;

4.5.10 авторам письменных обращений в адрес Компании;

4.5.11. Другим субъектам персональных данных (для обеспечения реализации целей обработки персональных данных, указанных в пункте 3 Политики).

4.6. Компанией обрабатываются в том числе персональные данные работников Компании, разрешённые работниками для распространения и включенные в общедоступные источники персональных данных с письменного согласия субъекта персональных данных, а именно: фамилия, имя, отчество, изображение (фотография) лица, число и месяц рождения, должность и место работы, табельный номер, номер и местоположение рабочего помещения, статус работника (работает, в отпуске и т.д.), наименование структурного подразделения, адрес служебной электронной почты, рабочие номера телефонов (в том числе мобильного).


5. Сроки обработки и хранения персональных данных

5.1. Обработка персональных данных начинается не ранее возникновения правовых оснований обработки персональных данных, перечисленных в пункте 3 Политики.

5.2. Обработка персональных данных прекращается при достижении целей обработки, утрате правовых оснований обработки, окончании сроков хранения документов, установленных законодательством об архивном деле в Российской Федерации и внутренними нормативными документами Компании.

5.3. По истечении срока обработки персональные данные уничтожаются или обезличиваются для использования в статистических или иных исследовательских целях.


6. Права субъектов персональных данных

6.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных в порядке и в сроки, предусмотренные Федеральным законом.

6.2. Субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные Федеральным законом меры по защите своих прав.

6.3. Права субъекта персональных данных на доступ к его персональным данным могут быть ограничены в соответствии с Федеральным законом.

6.4. Принятие решений на основании исключительно автоматизированной обработки персональных данных, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, допускается с согласия субъекта в письменной форме.

6.5. Субъект персональных данных вправе обжаловать действия или бездействие Компании путем обращения в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

6.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

6.7. Компания обеспечивает функционирование процесса приема и контроля обработки запросов и обращений субъектов персональных данных.

6.8. Для реализации своих прав субъекту персональных данных необходимо обратиться к ответственному за организацию обработки персональных данных по адресу: 115184, Озерковская наб., 24.

6.9. Компания обрабатывает и отвечает на запросы субъектов персональных данных в течение 30 дней.


7. Сведения о третьих лицах, участвующих в обработке персональных данных

7.1. Компания вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом, на основании заключаемого с этим лицом договора.

7.2. В договоре Компании определяется перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также указываются требования к защите обрабатываемых персональных данных.

7.3. Лицо, осуществляющее обработку персональных данных по поручению Компании, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

7.4. В случае, если Компания поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Компания. Лицо, осуществляющее обработку персональных данных по поручению Компании, несет ответственность перед Компанией.


8. Ответственность за нарушение правил обработки персональных данных и требований к защите персональных данных

Работники Компании, участвующие в обработке персональных данных, несут дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с действующим законодательством Российской Федерации за нарушение правил обработки персональных данных и требований к защите персональных данных.

9. Уточнение, исправление, удаление и уничтожение персональных данных

9.1. В случае подтверждения факта неточности персональных данных – персональные данные подлежат уточнению Компанией, а в случае подтверждения факта неправомерности их обработки – обработка должна быть прекращена.

9.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Компания обязана прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) в срок, не превышающий 30 дней с даты поступления указанного отзыва, если:

  • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

  • Компания не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;

  • иное не предусмотрено соглашением между Компанией и субъектом персональных данных.

9.3. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в п. 9.2, Компания осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев, если иной срок не установлен федеральными законами.


10. Трансграничная передача персональных данных

10.1. Обработка и хранение персональных данных происходит на территории Российской Федерации.

10.2. Если субъект персональных данных является резидентом страны, отличной от Российской Федерации, то в таком случае будет происходить трансграничная передача персональных данных на серверы Компании, то есть на территорию Российской Федерации.

10.3. Передача персональных данных за территорию Российской Федерации Компанией не осуществляется.


11. Соотношение Политики и Общего регламента ЕС по защите персональных данных

11.1. Политика составлена также в соответствии с требованиями Общего регламента по защите данных (General Data Protection Regulation) (Regulation (EU) 2016/679) от 27 апреля 2016 года (далее – GDPR).

11.2. АК «АЛРОСА» (ПАО) выступает оператором и контролером данных по регламенту GDPR и несет соответствующую ответственность.

11.3. Дополнительные права для субъектов персональных данных, являющихся субъектом права Европейского союза:

11.3.1. Право на запрос копии персональных данных, которые хранятся в Компании. Если субъект персональных данных выражает желание получить копию части или всех персональных данных, которые хранятся в Компании, то ему необходимо отправить письмо с помощью электронной почты на адрес gdpr_request@alrosa.ru.

11.3.2. Право опротестовать обработку персональных данных.

11.3.3. Право получения персональных данных в структурированном, широкоиспользуемом и машинно-читаемом формате.

11.3.4. Право организовать передачу данных от текущего контролера другому контролеру при условии, что:
(а) обработка осуществляется на основании согласия или договора, и
(б) обработка осуществляется средствами автоматизации.
Чтобы реализовать это право, необходимо отправить письмо на адрес электронной почты gdpr_request@alrosa.ru.
11.3.5. Право на забвение.
Для полного удаления всех данных субъекта персональных данных необходимо отправить письмо с помощью электронной почты на адрес gdpr_request@alrosa.ru.
11.3.6. Получение информации об утечках персональных данных.

11.3.7. Право направления жалобы в орган по защите данных на сбор и использование Компанией персональных данных субъекта персональных данных.

11.4. Компания обеспечивает защиту и конфиденциальность обрабатываемых персональных данных субъектов персональных данных, попадающих под действие GDPR.


12. Обеспечение безопасности и конфиденциальности персональных данных

12.1. Безопасность и конфиденциальность персональных данных, обрабатываемых Компанией, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных.

12.2. Для предотвращения несанкционированного доступа к персональным данным оператором применяются следующие организационно-технические меры: назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных; ограничение состава лиц, допущенных к обработке персональных данных; ознакомление субъектов с требованиями федерального законодательства и нормативных документов Компании по обработке и защите персональных данных; организация учета, хранения и обращения носителей, содержащих информацию с персональными данными; определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз; разработка на основе модели угроз системы защиты персональных данных; проверка
готовности и эффективности использования средств защиты информации; разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации; регистрация и учет действий пользователей информационных систем персональных данных; использование антивирусных средств и средств восстановления системы защиты персональных данных; применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации; организация пропускного режима на территорию Компании, охраны помещений с техническими средствами обработки персональных данных.


13. Заключительные положения

13.1. Компания вправе вносить изменения в Политику без согласия субъекта персональных данных.

13.2. Политика действует бессрочно до замены ее новой версией.

13.3. Актуальная версия Политики в свободном доступе расположена в специальном разделе корпоративного сайта https://alrosa.ru