Politik der Verarbeitung personenbezogener Daten

1. Allgemeine Bestimmungen

1.1. In der Politik der Verarbeitung personenbezogener Daten bei der PAO Gazprom (nachstehend „Politik“) sind Grundsätze, Ziele, Konditionen und Verfahren der Verarbeitung personenbezogener Daten, Listen von Datensubjekten und personenbezogenen Daten, die bei der Gazprom verarbeitet werden, Funktionen der Gazprom bei der Verarbeitung personenbezogener Daten, Rechte von Datensubjekten sowie Anforderungen an den Schutz personenbezogener Daten, die bei der Gazprom erfüllt werden, definiert.

1.2. Diese Politik wurde nach Maßgabe der Verfassung der Russischen Föderation, der Rechtssätze und anderer Richtlinien der Russischen Föderation in Bezug auf personenbezogene Daten erstellt.

1.3. Die Regelungen der Politik dienen als Grundlage für die Aufsetzung lokaler Richtlinien, die bei der Gazprom die Verarbeitung personenbezogener Daten von Gazprom-Mitarbeitern und anderen Datensubjekten regeln.

1.4. Die Politik dient als Grundlage für die Aufsetzung lokaler Richtlinien in Tochtergesellschaften und Betrieben der Gazprom, in denen die Politik der Verarbeitung personenbezogener Daten in diesen Unternehmen definiert ist.

2. Rechtssätze und andere Richtlinien der Russischen Föderation, nach denen sich die Politik der Verarbeitung personenbezogener Daten bei der Gazprom richtet

2.1. Die Politik der Verarbeitung personenbezogener Daten bei Gazprom richtet sich nach folgenden rechtlichen Regelungen:

  • Arbeitsgesetz der Russischen Föderation;
  • Föderales Gesetz vom 27. Juli 2006 Nr. 152-FZ „Über personenbezogene Daten“;
  • Weisung des Präsidenten der Russischen Föderation vom 6. März 1997 Nr. 188 „Über die Genehmigung der Liste vertraulicher Daten“;
  • Regierungsverordnung der Russischen Föderation vom 15. September 2008 Nr. 687 „Genehmigung der Richtlinie über Besonderheiten der Verarbeitung personenbezogener Daten, die ohne Automatisierungsmittel erfolgt“;
  • Regierungsverordnung der Russischen Föderation vom 6. Juli 2008 Nr. 512 „Genehmigung der Anforderungen an Datenträger biometrischer personenbezogener Daten und an Technologien für die Speicherung dieser Daten außerhalb von Informationssystemen personenbezogener Daten“;
  • Regierungsverordnung der Russischen Föderation vom 1. November 2012 Nr. 1119 „Genehmigung der Anforderungen an den Schutz personenbezogener Daten bei deren Bearbeitung in Informationssystemen personenbezogener Daten“;
  • Weisung des Föderalen Dienstes für technische und Exportkontrolle Russlands Nr. 55, des Föderalen Sicherheitsdienstes Russlands Nr. 86, des Ministeriums für Information und Fernmeldewesen Russlands Nr. 20 vom 13. Februar 2008 „Genehmigung der Vorgehensweise bei der Klassifizierung von Informationssystemen personenbezogener Daten“;
  • Weisung des Föderalen Dienstes für technische und Exportkontrolle vom 18. Februar 2013 Nr. 21 „Genehmigung des Bestandes und des Inhalts organisatorischer und technischer Maßnahmen für die Sicherheit personenbezogener Daten bei deren Verarbeitung in Informationssystemen personenbezogener Daten“;
  • Weisung des Föderalen Aufsichtsdienstes im Fernmeldewesen, Informationstechnologien und Massenkommunikation vom 5. September 2013 Nr. 996 „Genehmigung der Anforderungen und Methoden für die Entpersonalisierung von Daten“;
  • weitere Richtlinien der Russischen Föderation und Richtlinien zuständiger staatlicher Behörden.

2.2. Um die Bestimmungen der Politik umzusetzen, werden bei der Gazprom entsprechende lokale Richtlinien und andere Dokumente erstellt, unter anderem:

  • Geschäftsordnung zur Verarbeitung personenbezogener Daten bei der PAO Gazprom;
  • Geschäftsordnung zur Gewährleistung der Sicherheit personenbezogener Daten bei deren Verarbeitung in Informationssystemen personenbezogener Daten der PAO Gazprom, deren Tochtergesellschaften und Betriebe;
  • Liste von Ämtern in Verwaltungsstrukturen der PAO Gazprom, deren Filialen und Niederlassungen, bei deren Besetzung personenbezogene Daten verarbeitet werden;
  • Regelwerke für die Verarbeitung personenbezogener Daten in Verwaltungsstrukturen der PAO Gazprom, deren Filialen und Niederlassungen;
  • weitere lokale Richtlinien und Dokumente, welche die Verarbeitung personenbezogener Daten bei der Gazprom regeln.

3. Grundbegriffe und Definitionen, die in lokalen Richtlinien der Gazprom, in denen die Verarbeitung personenbezogener Daten geregelt ist, verwendet werden

Personenbezogene Daten – allfällige Informationen, die sich direkt oder indirekt auf eine bestimmte bzw. zu identifizierende Person (Datensubjekt) beziehen.

Informationen – Angaben (Mitteilungen, Daten) unabhängig von deren Darstellungsweise.

Verwalter – staatliche Behörde, kommunale Behörde, juristische bzw. natürliche Person, die selbstständig bzw. gemeinsam mit anderen Personen die Verarbeitung personenbezogener Daten organisiert und/oder personenbezogene Daten verarbeitet sowie Verarbeitungszwecke personenbezogener Daten, den Bestand personenbezogener Daten, die zu verarbeiten sind, und Handlungen (Vorgänge), die mit personenbezogenen Daten vorgenommen werden, bestimmt.

Verarbeitung personenbezogener Daten – jedwede Handlung (Vorgang) oder eine Gesamtheit von Handlungen (Vorgängen), die unter Einsatz von Automatisierungsmitteln bzw. ohne Einsatz derartiger Mittel mit personenbezogenen Daten vorgenommen werden, einschließlich Erhebung, Aufzeichnung, Systematisierung, Sammlung, Speicherung, Präzisierung (Aktualisierung, Abänderung), Entnahme, Nutzung, Weiterleitung (Verbreitung, Bereitstellung, Zugriff), Entpersonalisierung, Blockierung, Entfernung, Vernichtung personenbezogener Daten.

Automatisierte Verarbeitung personenbezogener Daten – Verarbeitung personenbezogener Daten anhand von Computertechnik.

Bereitstellung personenbezogener Daten – Handlungen, die auf die Offenlegung personenbezogener Daten für eine bestimmte Person bzw. einen bestimmten Personenkreis ausgerichtet sind.

Verbreitung personenbezogener Daten – Handlungen, die auf die Offenlegung personenbezogener Daten für einen unbestimmten Personenkreis ausgerichtet sind.

Grenzüberschreitende Weiterleitung personenbezogener Daten – Weiterleitung personenbezogener Daten in das Gebiet eines anderen Staates, an eine ausländische staatliche Behörde, eine ausländische natürliche oder juristische Person.

Blockierung personenbezogener Daten – vorübergehende Einstellung der Verarbeitung personenbezogener Daten (davon ausgenommen sind Fälle, in denen die Verarbeitung für die Präzisierung personenbezogener Daten erforderlich ist).

Vernichtung personenbezogener Daten – Handlungen, infolge derer eine Wiederherstellung des Inhalts personenbezogener Daten im Informationssystem personenbezogener Daten unmöglich ist und/oder infolge derer Datenträger vernichtet werden.

Entpersonalisierung von Daten – Handlungen, infolge derer es ohne Verwendung zusätzlicher Informationen unmöglich ist, die Zugehörigkeit personenbezogener Daten zu einem konkreten Datensubjekt festzustellen.

Informationssystem personenbezogener Daten – Gesamtheit der in den Datenbanken enthaltenen personenbezogenen Daten sowie der Informationstechnologien und technischen Mittel, die deren Verarbeitung ermöglichen.

4. Prinzipien und Ziele der Verarbeitung personenbezogener Daten

4.1. Als Verwalter personenbezogener Daten verarbeitet die Gazprom personenbezogene Daten von Gazprom-Mitarbeitern und anderen Datensubjekten, die in keinem Arbeitsverhältnis zur Gazprom stehen.

4.2. Die Verarbeitung personenbezogener Daten erfolgt bei der Gazprom angesichts der Notwendigkeit, Rechte und Freiheiten von Gazprom-Mitarbeitern und anderen Datensubjekten, unter anderem die Rechte auf Privatsphäre, persönliches und Familiengeheimnis, aufgrund folgender Prinzipien zu schützen:

  • Die Verarbeitung personenbezogener Daten erfolgt bei der Gazprom auf rechtmäßiger und gerechter Grundlage.
  • Die Verarbeitung personenbezogener Daten beschränkt sich auf konkrete, von vornherein definierte und rechtmäßige Ziele.
  • Eine Verarbeitung personenbezogener Daten, die den Zwecken der Erhebung personenbezogener Daten nicht entspricht, ist nicht zulässig.
  • Eine Bündelung von Datenbanken, die personenbezogene Daten enthalten, deren Verarbeitung zu gegensätzlichen Zwecken erfolgt, ist unzulässig.
  • Zu verarbeiten sind nur personenbezogene Daten, die ihren Verarbeitungszwecken entsprechen.
  • Inhalt und Umfang der zu verarbeitenden personenbezogenen Daten hat den erklärten Verarbeitungszwecken zu entsprechen. Eine Redundanz der zu verarbeitenden personenbezogenen Daten gegenüber den erklärten Verarbeitungszwecken ist nicht zulässig.
  • Bei der Verarbeitung personenbezogener Daten sind Präzision der personenbezogenen Daten, deren Angemessenheit und bei Bedarf deren Aktualität für die Verarbeitungszwecke personenbezogener Daten zu gewährleisten. Die Gazprom trifft bzw. gewährleistet notwendige Maßnahmen, um unvollständige oder ungenaue personenbezogene Daten zu entfernen.
  • Die Speicherung personenbezogener Daten erfolgt in einer Form, die es ermöglicht, das Datensubjekt nicht länger zu identifizieren, als dies für die Verarbeitungszwecke personenbezogener Daten notwendig ist, es sei denn, die Speicherungsdauer personenbezogener Daten ist durch föderales Gesetz oder Vertrag, dessen Partei, Begünstigter oder Bürge das Datensubjekt ist, geregelt.
  • Bearbeitete personenbezogene Daten werden vernichtet bzw. entpersonalisiert, nachdem die Verarbeitungszwecke erreicht worden sind bzw. wenn der Bedarf an diesen Verarbeitungszwecken entfällt, sofern im föderalen Gesetz nicht abweichend geregelt.

4.3. Personenbezogene Daten werden bei der Gazprom zu folgenden Zwecken verarbeitet:

  • um die Einhaltung der Verfassung der Russischen Föderation, der Rechtssätze und anderer Richtlinien der Russischen Föderation sowie der lokalen Richtlinien der PAO Gazprom sicherzustellen;
  • um Funktionen, Befugnisse und Verpflichtungen zu erfüllen, die der Gazprom nach Maßgabe russischen Rechts auferlegt sind, unter anderem in Bezug auf die Bereitstellung personenbezogener Daten für staatliche Behörden, für den Rentenfonds der Russischen Föderation, für den Sozialversicherungsfonds der Russischen Föderation, für den Föderalen Krankenversicherungsfonds sowie für andere staatliche Behörden;
  • um das Arbeitsverhältnis mit Mitarbeitern der Gazprom zu regeln (Hilfe bei Anstellung, Studium und beruflichem Werdegang, Gewährleistung der persönlichen Sicherheit, Kontrolle über Arbeitsqualität und –umfang, Gewährleistung der Unversehrtheit von Vermögenswerten);
  • um Mitarbeitern der Gazprom und deren Familienangehörigen zusätzliche Garantien und Ausgleichszahlungen zu gewähren, unter anderem in Bezug auf nicht staatliche Rentenversorgung, private Krankenversicherung, medizinische Betreuung und andere Arten der Sozialversorgung;
  • um Leben, Gesundheit oder andere lebenswichtige Interessen von Datensubjekten zu schützen;
  • um Verträge mit Partnern vorzubereiten, abzuschließen, zu erfüllen und zu beenden;
  • um die Geschäftsordnung für das Betreten und den Aufenthalt an Gazprom-Objekten einzuhalten;
  • um Auskunftsmaterial für die interne Informationsbegleitung der Tätigkeit der Gazprom, deren Filialen, Niederlassungen, Tochtergesellschaften und Betriebe zu erstellen;
  • um Rechtssprüche und Erlasse staatlicher Behörden bzw. Amtspersonen, die nach russischem Vollzugsrecht bindend sind, zu erfüllen;
  • um Rechte und berechtigte Interessen der Gazprom im Rahmen ihrer Unternehmenszwecke nach Maßgabe der Satzung und anderer lokaler Richtlinien der Gazprom, oder Dritter durchzusetzen bzw. gesellschaftlich relevante Zwecke zu erzielen;
  • zu anderen rechtmäßigen Zwecken.

5. Liste von Datensubjekten, deren personenbezogene Daten bei der Gazprom verarbeitet werden

5.1. Bei der Gazprom werden personenbezogene Daten folgender Gruppen von Datensubjekten verarbeitet:

  • Mitarbeiter von Verwaltungsstrukturen der PAO Gazprom, deren Filialen und Niederlassungen;
  • Mitarbeiter von Tochtergesellschaften und Betrieben der Gazprom;
  • andere Datensubjekte (um die Verarbeitungszwecke, die in Abschnitt 4 der Politik angegeben sind, zu erfüllen).

6. Liste personenbezogener Daten, die bei der Gazprom verarbeitet werden

6.1. Die Liste personenbezogener Daten, die bei der Gazprom verarbeitet werden, wird nach Maßgabe russischen Rechts und lokaler Richtlinien der Gazprom unter Berücksichtigung von Verarbeitungszwecken personenbezogener Daten, die in Abschnitt 4 der Politik angegeben sind, aufgesetzt.

6.2. Die Verarbeitung besonderer Kategorien personenbezogener Daten, die sich auf ethnische bzw. nationale Zugehörigkeit, politische Anschauungen, religiöse oder philosophische Überzeugungen und Privatleben beziehen, wird bei der Gazprom nicht vorgenommen.

7. Funktionen der Gazprom bei der Verarbeitung personenbezogener Daten

7.1. Die Gazprom übt bei der Verarbeitung personenbezogener Daten folgende Aktivitäten aus:

  • Sie trifft Maßnahmen, die für die Einhaltung rechtlicher Regelungen der Russischen Föderation und lokaler Richtlinien der Gazprom auf dem Gebiet personenbezogener Daten notwendig und ausreichend sind.
  • Sie trifft rechtliche, organisatorische und technische Maßnahmen, um personenbezogene Daten gegen unberechtigten bzw. zufälligen Zugriff, Vernichtung, Abänderung, Blockierung, Kopieren, Bereitstellung, Verbreitung personenbezogener Daten sowie gegen andere unberechtigte Handlungen in Bezug auf personenbezogene Daten zu schützen.
  • Sie bestellt eine Person, die für die Organisation der Verarbeitung personenbezogener Daten bei der Gazprom zuständig ist.
  • Sie erlässt lokale Richtlinien, welche die Politik, die Verarbeitung und den Schutz personenbezogener Daten bei der Gazprom bestimmen.
  • Sie klärt Mitarbeiter der Gazprom, deren Filialen und Niederlassungen, die sich mit der Verarbeitung personenbezogener Daten unmittelbar befassen, über rechtliche Regelungen in der Russischen Föderation und über Richtlinien der Gazprom hinsichtlich personenbezogener Daten auf, unter anderem über Anforderungen an den Schutz personenbezogener Daten, und übernimmt die Schulung dieser Mitarbeiter.
  • Sie veröffentlicht diese Politik oder verschafft einen unbeschränkten Zugang zu dieser Politik auf eine andere Weise.
  • Sie informiert ordnungsgemäß Datensubjekte bzw. deren Vertreter über das Vorliegen personenbezogener Daten, die sich auf die jeweiligen Datensubjekte beziehen, und bietet ihnen Einsichtnahme in ihre personenbezogenen Daten auf Verlangen und/oder Anfrage dieser Datensubjekte bzw. deren Vertreter, sofern nach russischem Recht nicht abweichend geregelt.
  • Sie stellt die Verarbeitung personenbezogener Daten ein und vernichtet sie, sofern dies nach Maßgabe russischen Rechts in Bezug auf personenbezogene Daten vorgesehen ist.
  • Sie übt weitere Aktivitäten aus, die nach Maßgabe russischen Rechts hinsichtlich personenbezogener Daten vorgesehen sind.

8. Konditionen der Verarbeitung personenbezogener Daten bei Gazprom

8.1. Die Verarbeitung personenbezogener Daten erfolgt bei der Gazprom mit Einwilligung des Datensubjektes in die Verarbeitung dessen personenbezogener Daten, sofern nach Maßgabe russischen Rechts hinsichtlich personenbezogener Daten nicht abweichend geregelt.

8.2. Die Gazprom offenbart Dritten keine personenbezogenen Daten ohne Zustimmung des Datensubjektes und verbreitet sie nicht, sofern im föderalen Gesetz nicht abweichend geregelt.

8.3. Die Gazprom ist berechtigt, mit Zustimmung des Datensubjektes eine andere Person mit der Verarbeitung personenbezogener Daten aufgrund eines Vertrages, der mit dieser Person abgeschlossen worden ist, zu beauftragen. Der Vertrag hat folgende Bestimmungen zu enthalten: eine Liste von Handlungen (Vorgängen) mit personenbezogenen Daten, die ein Dritter für deren Verarbeitung vornimmt, Verarbeitungszwecke und Verpflichtung dieses Dritten, mit den personenbezogenen Daten vertraulich umzugehen und die Sicherheit personenbezogener Daten bei deren Verarbeitung zu gewährleisten sowie die Anforderungen an den Schutz der verarbeiteten personenbezogenen Daten nach Maßgabe von Artikel 19 des Föderalen Gesetzes „Über personenbezogene Daten“ zu erfüllen.

8.4. Für Zwecke der internen Informationsversorgung kann die Gazprom interne Auskünfte erstellen, in die mit schriftlicher Zustimmung des Datensubjektes – sofern nach russischem Recht nicht abweichend geregelt – dessen Name, Vor- und Vatersname, Dienststelle, Amt, Geburtsdatum und –ort, Anschrift, Rufnummer, E-Mail-Adresse und andere personenbezogene Daten, die das Datensubjekt mitgeteilt hat, aufgenommen werden können.

8.5. Der Zugang zu den personenbezogenen Daten, die bei der Gazprom verarbeitet werden, ist nur Mitarbeitern der Gazprom gestattet, die Ämter aus der Liste von Ämtern in Verwaltungsstrukturen der Gazprom, deren Filialen und Niederlassungen, bei deren Besetzung die Verarbeitung personenbezogener Daten erfolgt, besetzen.

9. Liste von Handlungen mit personenbezogenen Daten und Verfahren für deren Verarbeitung

9.1. Die Gazprom betreibt Erhebung, Aufzeichnung, Systematisierung, Sammlung, Speicherung, Präzisierung (Aktualisierung, Abänderung), Entnahme, Nutzung, Weiterleitung (Verbreitung, Bereitstellung, Zugriff), Entpersonalisierung, Blockierung, Entfernung, Vernichtung personenbezogener Daten.

9.2. Die Verarbeitung personenbezogener Daten erfolgt bei der Gazprom in folgenden Verfahren:

  • nicht automatisierte Verarbeitung personenbezogener Daten;
  • automatisierte Verarbeitung personenbezogener Daten mit oder ohne Weiterleitung der erhobenen Daten über Informations- und Telekommunikationsnetze;
  • kombinierte Verarbeitung personenbezogener Daten.

10. Rechte von Datensubjekten

10.1. Datensubjekte haben Anrecht auf

  • vollständige Informationen über ihre personenbezogenen Daten, die bei der Gazprom verarbeitet werden;
  • Zugang zu ihren personenbezogenen Daten, einschließlich der Aushändigung von Kopien allfälliger Aufzeichnungen, die ihre personenbezogenen Daten enthalten, unter Vorbehalt von Fällen, die im föderalen Gesetz geregelt sind, sowie auf Zugang zu medizinischen Daten, die sich auf sie beziehen, mit Unterstützung einer medizinischen Fachkraft ihrer Wahl;
  • Präzisierung ihrer personenbezogenen Daten, deren Blockierung bzw. Vernichtung, sofern diese personenbezogenen Daten unvollständig, veraltet, ungenau, unrechtmäßig erhoben worden sind oder für den erklärten Verarbeitungszweck nicht benötigt werden;
  • Einziehung der Einwilligung in die Verarbeitung personenbezogener Daten;
  • gesetzliche Rechtsmittel zu ihrem Schutz;
  • Anfechtung von Handlungen bzw. Unterlassungen der Gazprom, die gegen russisches Recht auf dem Gebiet personenbezogener Daten verstoßen, bei der zuständigen Behörde für den Schutz von Datensubjekten oder auf gerichtlichem Wege;
  • Wahrnehmung weiterer Rechte, die in Gesetzen der Russischen Föderation vorgesehen sind.

11. Maßnahmen, die von der Gazprom getroffen werden, um Verwalterpflichten bei der Verarbeitung personenbezogener Daten zu erfüllen

11.1. Notwendige und ausreichende Maßnahmen der Gazprom, die für die Erfüllung von Verwalterpflichten, die nach russischem Recht auf dem Gebiet personenbezogener Daten vorgesehen sind, umfassen

  • die Bestellung einer Person, die für die Organisation der Verarbeitung personenbezogener Daten bei der Gazprom zuständig ist;
  • den Erlass lokaler Richtlinien und anderer Dokumente in Bezug auf die Verarbeitung und den Schutz personenbezogener Daten;
  • die Organisation von Schulungen und Unterweisungen von Kollegen aus Verwaltungsstrukturen der Gazprom, deren Filialen und Niederlassungen, die Ämter besetzen, welche auf der Liste von Ämtern in Verwaltungsstrukturen der Gazprom, deren Filialen und Niederlassungen, bei deren Belegung personenbezogene Daten verarbeitet werden, erfasst sind;
  • die Einholung von Einwilligungen von Datensubjekten in die Verarbeitung deren personenbezogener Daten, unter Vorbehalt von Fällen, die nach russischem Recht geregelt sind;
  • die Ausgliederung personenbezogener Daten, die ohne Automatisierungsmittel verarbeitet werden, aus anderen Informationen, unter anderem mittels deren Fixierung auf gesonderten Datenträgern und in speziellen Datenbereichen;
  • die getrennte Aufbewahrung personenbezogener Daten und dazugehöriger Datenträger, deren Verarbeitung für verschiedene Zwecke bestimmt ist und die verschiedene Kategorien personenbezogener Daten enthalten;
  • das Verbot, personenbezogene Daten über offene Kommunikationskanäle außerhalb des kontrollierten Bereichs, des unternehmensinternen Datenübertragungsnetzes der Gazprom und über Internet weiterzuleiten, ohne dass die bei der Gazprom beschlossenen Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten getroffen werden (unter Vorbehalt allgemein zugänglicher und/oder entpersonalisierter Daten);
  • die Verwahrung von Datenträgern unter Einhaltung von Bedingungen, welche die Unversehrtheit personenbezogener Daten sicherstellen und einen unberechtigten Zugriff ausschließen;
  • die unternehmensinterne Kontrolle über die Konformität der Verarbeitung personenbezogener Daten mit dem Föderalen Gesetz „Über personenbezogene Daten“, mit einschlägigen Richtlinien, mit den Anforderungen an den Schutz personenbezogener Daten, mit dieser Politik und mit lokalen Richtlinien der Gazprom;
  • weitere Maßnahmen, die nach russischem Recht in Bezug auf personenbezogene Daten vorgesehen sind. 

11.2. Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten bei deren Verarbeitung in Informationssystemen personenbezogener Daten werden nach Maßgabe lokaler Richtlinien der Gazprom beschlossen, in denen Fragen der Sicherheit personenbezogener Daten bei deren Verarbeitung in Informationssystemen personenbezogener Daten der Gazprom geregelt sind.

12. Kontrolle über die Einhaltung von Rechtssätzen der Russischen Föderation und von lokalen Richtlinien der Gazprom hinsichtlich personenbezogener Daten, einschließlich Anforderungen an den Schutz personenbezogener Daten

12.1. Bei der Gazprom erfolgt eine Kontrolle darüber, inwiefern Verwaltungsstrukturen der Gazprom, deren Filialen und Niederlassungen sich an Rechtssätze der Russischen Föderation und lokale Richtlinien der Gazprom in Bezug auf personenbezogene Daten, einschließlich des Schutzes personenbezogener Daten, halten. Sie wird vorgenommen, um zu prüfen, ob die Verarbeitung personenbezogener Daten in Verwaltungsstrukturen der Gazprom, deren Filialen und Niederlassungen den Maßgaben russischen Rechts und den lokalen Richtlinien der Gazprom hinsichtlich personenbezogener Daten, einschließlich des Schutzes personenbezogener Daten, entspricht. Sie dient auch dazu, dass Maßnahmen ergriffen werden, die darauf ausgerichtet sind, Verstöße gegen Rechtssätze der Russischen Föderation hinsichtlich personenbezogener Daten zu verhindern und festzustellen, sowie mögliche Datenlecks und nicht genehmigte Zugriffe auf personenbezogene Daten zu ermitteln und Folgen derartiger Verstöße zu beheben. 

12.2. Mit der unternehmensinternen Kontrolle über die Einhaltung von Rechtssätzen der Russischen Föderation und lokaler Richtlinien der Gazprom hinsichtlich personenbezogener Daten, einschließlich der Anforderungen an den Schutz personenbezogener Daten, ist eine Person betraut, die für die Organisation der Verarbeitung personenbezogener Daten bei der Gazprom zuständig ist.

12.3. Die unternehmensinterne Kontrolle darüber, inwiefern die Verarbeitung personenbezogener Daten dem Föderalen Gesetz „Über personenbezogene Daten“ und den einschlägigen Richtlinien sowie den Anforderungen an den Schutz personenbezogener Daten, dieser Politik und den lokalen Richtlinien der Gazprom entspricht, wird von dem Dienst für Unternehmensschutz der PAO Gazprom ausgeübt.

12.4. Die Geschäftsführung einer Verwaltungsstruktur der PAO Gazprom, deren Filiale oder Niederlassung trägt die persönliche Verantwortung für die Einhaltung von Rechtssätzen der Russischen Föderation und von lokalen Richtlinien der Gazprom hinsichtlich personenbezogener Daten sowie für die Gewährleistung der Vertraulichkeit und Sicherheit personenbezogener Daten in den erwähnten Strukturen der Gazprom.