Положение об обработке и защите персональных данных
ООО «НЕГА ЮГ»
СОДЕРЖАНИЕ
2 ЦЕЛЬ И ОБЛАСТЬ ПРИМЕНЕНИЯ ПОЛОЖЕНИЯ
3 ОСНОВНЫЕ ТЕРМИНЫ И СОКРАЩЕНИЯ
5 ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6 ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
8 РАСПРОСТРАНЕНИЕ И ПРЕДОСТАВЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
9 ОБЕЗЛИЧИВАНИЕ, БЛОКИРОВАНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
10 ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ
11 CРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
12 ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
13 ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
16 ПРИЛОЖЕНИЯ
1. ИНФОРМАЦИЯ О ДОКУМЕНТЕ
Тип документа: | Положение | ||
Минимальная периодичность пересмотра документа: | 1 раз в год | Максимальная периодичность пересмотра документа: | 1 раз в 2 года |
Ограничения доступа: | Общедоступная информация |
2. ЦЕЛЬ И ОБЛАСТЬ ПРИМЕНЕНИЯ ПОЛОЖЕНИЯ
2. 1. Настоящее Положение об обработке и защите персональных данных в ООО «НЕГА ЮГ» (далее – Положение) разработано в целях эффективной организации мероприятий по защите и регламентации обработки персональных данных клиентов, посетителей веб-сайта, собственником или пользователем (на основании договора/соглашения, заключенного с собственником веб-сайта) которого является ООО «НЕГА ЮГ» (далее – Общество), работников, лиц, с которыми заключены договоры гражданско-правового характера и сотрудников организаций, заказчиков и исполнителей работ по договорам, заключенным с Обществом, а также устанавливает правила работы с персональными данными физических лиц в Обществе и по поручениям на обработку персональных данных.
2. 2. Действие настоящего Положения является обязательным для работников Общества и лиц, с которыми заключены договоры гражданско-правового характера.
2. 3. Положение разработано в целях реализации требований законодательства Российской Федерации в области обработки персональных данных субъектов персональных данных.
2. 4. Положение раскрывает способы и принципы обработки Обществом персональных данных, права и обязанности Общества при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Обществом в целях обеспечения безопасности персональных данных при их обработке.
3. ОСНОВНЫЕ ТЕРМИНЫ И СОКРАЩЕНИЯ
3. 1. В настоящем Положении применяются следующие термины с соответствующими определениями:
Таблица 1. Перечень терминов
Термин | Определение термина |
Общество | Общество с ограниченной ответственностью «НЕГА ЮГ». |
Блокирование персональных данных | Временное прекращение обработки персональных данных субъектов (за исключением случаев, если обработка необходима для уточнения персональных данных). |
Договор | Соглашение двух или более лиц об установлении, изменении или прекращении гражданских прав и обязанностей независимо от его наименования (контракт, соглашение и т. п.). |
Документированная информация | Зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель. |
Информация | Сведения (сообщения, данные) независимо от формы их представления. |
Использование персональных данных | Действия (операции) с персональными данными, совершаемые специально уполномоченными лицами ООО «НЕГА ЮГ» в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов персональных данных со стороны юридических лиц ООО «НЕГА ЮГ» либо иным образом затрагивающих их права и свободы или права и свободы других лиц. |
Контрагент | Юридическое, физическое лицо или иной субъект гражданских правоотношений, с которым Общество намерено заключить договор, либо уже являющееся стороной договора с Обществом. |
Клиент | Субъект персональных данных, перед которым у Общества есть обязательства, согласно заключенному договору, или иному документу. |
Конфиденциальность информации | Обязательное для выполнения лицом, получившим доступ к определенной информации, требование не допускать разглашения и передачи такой информации третьим лицам или распространения её неопределенному кругу лиц без согласия ее обладателя. |
Обезличивание персональных данных | Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. |
Обработка персональных данных | Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ, трансграничная передача), обезличивание, блокирование, удаление, уничтожение персональных данных. |
Общедоступные источники персональных данных и общедоступные персональные данные | Общедоступные источники персональных данных – это источники, свободные для ознакомления и использования любыми лицами (в том числе справочники, адресные книги, общедоступные веб-сайты и т.д.). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные относящаяся прямо или косвенно к субъекту персональных данных. |
Оператор персональных данных (далее - Оператор) | Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. |
Персональные данные физического лица | Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). |
Предоставление персональных данных | Действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. |
Распространение персональных данных | Действия, направленные на раскрытие персональных данных неопределенному кругу лиц. |
Подразделение информационных технологий | Подразделение, специально уполномоченное лицо Общества, или сторонняя компания, действующая на основании договора по оказанию соответствующих услуг с ООО «НЕГА ЮГ», на которое возложены функции по предоставлению информационных сервисов и обеспечению бесперебойной эксплуатации информационных систем обработки персональных данных. |
Информационная система обработки персональных данных | Информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. |
Веб-сайт | Совокупность программных, информационных, а также медийных средств, логически связанных между собой, собственником или пользователем (на основании договора/соглашения, заключенного Обществом с собственником веб-сайта) которых является Общество. |
Специально уполномоченные лица | Должностные лица ООО «НЕГА ЮГ», которые допущены к обработке персональных данных приказом генерального директора. |
Уничтожение персональных данных | Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. |
Электронный документ | Документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах |
Подразделение информационной безопасности | Структурное подразделение ООО «ФСК «Лидер» или другого юридического лица, действующее на основании договора с ООО «НЕГА ЮГ», осуществляющее контроль за соблюдением правил по обработке и сохранности персональных данных |
Кадровое подразделение | Структурное подразделение ООО «НЕГА ЮГ» ответственное за кадровое делопроизводство или структурное подразделение организации ответственная за кадровое делопроизводство, действующее на основании договора по оказанию соответствующих услуг. |
ГК ФСК | Структурные подразделения юридических лиц, с которыми заключен договор на оказания тех или иных услуг в рамках обработки персональных данных (информационные технологии, безопасность, кадровый учет, бухгалтерский учет) |
3. 2. В настоящем Положении применяются следующие сокращения:
Таблица 2. Перечень сокращений
Сокращение | Расшифровка сокращения |
ООО | Общество с ограниченной ответственностью |
ИТ | Информационные технологии |
ФСБ | Федеральная служба безопасности Российской Федерации |
ФСТЭК | Федеральная служба по техническому и экспортному контролю |
ИСПДн | Информационная система обработки персональных данных |
4. ОБЩИЕ ПОЛОЖЕНИЯ
4. 1 Порядок ввода в действие и изменения Положения:
4. 1. 1 Настоящее Положение вступает в силу с даты его утверждения приказом Генерального директора Общества и действует до замены его новым Положением.
4. 1. 2 Все изменения в Положение вносятся приказом Генерального директора Общества.
4. 2 В соответствии с п. 8 ст. 86 Трудового кодекса Российской Федерации все работники Общества и их представители должны быть ознакомлены под расписку с настоящим Положением. Ознакомление с положением осуществляет Специалист кадрового администрирования, а также лица, действующие на основании договора и поручения. Листы ознакомления (журналы ознакомления) должны храниться в кадровом подразделении.
4. 3 В соответствии с Федеральным законом №152 от 27.07.2006 «О персональных данных» Положение должно быть доступно для ознакомления всем субъектам, доверяющим Обществу обработку своих персональных данных.
4. 4 Специально уполномоченные лица Общества обязаны:
4. 4. 1 Ознакомиться с федеральными законами в части обработки, хранения и уничтожения персональных данных, локальными актами Общества по вопросам защиты информации и обработки персональных данных и (или) пройти обучение по соответствующим программам. Листы ознакомления должны храниться в кадровом подразделении. За сбор и передачу листов ознакомления отвечают руководители структурных подразделений, в чьём подчинении находятся указанные работники.
4. 4. 2 Руководствоваться настоящим Положением в своей работе, что должно быть закреплено в их должностных инструкциях или функциональных обязанностях.
4. 4. 3 Добросовестно соблюдать выполнение федеральных законов и локальных актов Общества.
4. 5 С целью организации обработки персональных данных, осуществления контроля и (или) аудита соответствия обработки персональных данных законодательству Российской Федерации и принятым в соответствии с ним нормативным правовым актам требованиям к защите персональных данных, также Положению и иным локальным актам Общества, используются следующие процедуры:
4. 5. 1 Осуществление обработки персональных данных в соответствии с принципами и условиями обработки персональных данных, установленными законом о персональных данных.
4. 5. 2 Осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных силами Общества с привлечением компетентных сторонних организаций или без привлечения таковых.
4. 5. 3 Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4. 5. 4 Обеспечение при обработке персональных данных точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных.
4. 5. 5 Обеспечение надлежащей защиты всех категорий персональных данных, в соответствии с законодательством Российской Федерации, и нормативными актами ФСБ и ФСТЭК, об обеспечении безопасности хранения и обработки данных.
5. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5. 1 Персональные данные в Обществе могут обрабатываться в следующих целях:
5. 1. 1 Заключения, исполнения и прекращения гражданско-правовых договоров (Приложение 11) с физическими, юридическими лицами, индивидуальными предпринимателями и иными лицами в случаях, предусмотренных законодательством Российской Федерации и Уставом Общества;
5. 1. 2 Организации кадрового учета Общества, обеспечения соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам; ведения кадрового делопроизводства, содействия работникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также страховых взносов, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с законодательством Российской Федерации.
5. 1. 3 Обработка и хранение информации с персональными данными субъектов являющихся соискателями на трудоустройство в Общество (резюме и анкета соискателя) для проверки требований на соответствие уровню образования, дополнительных знаний и навыков, при принятия на вакантную должность.
5. 1. 4 Обработка и хранение информации содержащей персональные данные субъектов во внутреннх ИСПДн, включая электронный документооборот, обеспечивающих исполнение работниками должностных обязанностей и функционирование подразделений Общества.
5. 1. 5 Обработки персональных данных по поручению оператора(ов) персональных данных при заключении договоров на обработку персональных данных с оператором персональных данных. В том числе с использованием трансграничной передачи данных на территорию иностранных государств, являющимися сторонами Конвенции (Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Заключена в г. Страсбурге 28.01.1981)), с обеспечением адекватной защиты прав субъектов персональных данных.
5. 1. 6 Осуществления статистических или иных исследовательских целей, за исключением целей продвижения товаров, работ, услуг на рынке, а также за исключением целей политической агитации, при условии обязательного обезличивания персональных данных.
5. 1. 7 Заключения, исполнения и прекращения договоров, результатом которых является право собственности (или право приобрести такие права в будущем), право на оформление в собственность или иное законное право в отношении объекта недвижимости, в соответствии с законодательством Российской Федерации и оказания услуг с физическими, юридическими лицами, индивидуальными предпринимателями и иными лицами в случаях, предусмотренных законодательством Российской Федерации и деятельностью Общества.
5. 1. 8 Создания личных кабинетов Клиентов и посетителей веб-сайта Общества, формирования учетных записей и обработки заявок на коммуникацию.
5. 1. 9 Идентификация, авторизация и аутентификация Клиента в качестве пользователя веб-сайта Общества.
5. 1. 10 Идентификация Клиента и его уполномоченных лиц, выгодоприобретателей в рамках обеспечения надлежащего исполнения застройщиком/правообладателем и/или специализированным агентом/агентством недвижимости и/или Обществом своих обязательств по договорам (стороной которых является или будет являться субъект персональных данных).
5. 1. 11 Передача персональных данных в управляющую организацию многоквартирным домом/зданием, в составе которого расположен объект недвижимости, в том числе, для заключения между управляющей организацией и субъектом персональных данных договора на управление многоквартирным домом/зданием, в составе которого расположен объект недвижимости; подготовкой управляющей организацией платежных документов в связи с эксплуатацией/обслуживанием /содержанием объектов недвижимости.
5. 1. 12 Передача персональных данных:
- техническим партнерам / обработчикам (ООО «СРМ Солюшнс» (Адрес местонахождения: 123022, г. Москва, ул. 2 Звенигородская д. 13, строение 43, помещение VIII, комната 4) и ООО «Аутофклауд» (Адрес место нахождения: 117556, г. Москва, вн.тер.г. муниципальный округ Нагорный, Б-р Чонгарский, д. 1 к. 2, помещ. 61/1) с целью обеспечения технической возможности обработки и использования обезличенных данных Клиента;
- ООО «Яндекс» (адрес местонахождения: Российская Федерация, 119021, Россия, г. Москва, ул. Льва Толстого, д. 16) с целью сбора и хранения информации о посещаемости веб-сайта Общества, предпочтениях и поведении посетителя веб-сайта Общества, его идентификация с целью проведения маркетинговых исследований сервисом «Яндекс.Метрика»;
- иным третьим лицам, с которыми Общество взаимодействует на основании договоров/соглашений, включающих условия обработки персональных данных, и с целью оказания услуг и информирования и исключительно в объеме, необходимом для оказания таких услуг.
5. 1. 13 Передача персональных данных в фонд капитального ремонта, для целей подготовки фондом капитального ремонта платежных документов по сбору платежей в фонд капитального ремонта.
5. 1. 14 Идентификация Клиентов, их уполномоченных лиц, выгодоприобретателей в рамках соблюдения требований законодательства об инвестиционных фондах и в сфере противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансирования терроризма.
5. 1. 15 Любые контакты с Клиентом по указанным им каналам связи, в том числе для аналитики действий физического лица на веб-сайте, обработки входящих запросов, направления информации о продуктах и услугах Общества, выполнения условий договоров (стороной которых является или будет являться субъект персональных данных), размещения объявления о продаже/покупке недвижимости, информационного обмена между Обществом и Партнерами Общества, а также направление рекламно-информационных рассылок о любых проводимых маркетинговых и рекламных акциях, предоставления справочной информации, в рамках полученного от Клиента согласия на коммуникацию (Приложение 16, 17).
5. 2 Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.
5. 3 Обработка персональных данных, несовместимых с целями сбора персональных данных, не допускается.
5. 4 Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным в Положении целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6. 1 Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Федеральным законом «О персональных данных» №152 от 27.07.2006, настоящим Положением и локальными актами Общества в части обработки, хранения и уничтожения персональных данных. Обработка персональных данных допускается в следующих случаях:
- обработка персональных данных осуществляется с письменного согласия субъекта персональных данных на обработку его персональных данных, с указанием перечня данных, целей и сроков их обработки;
- обработка персональных данных полученных с веб-сайта Общества осуществляется с явно выраженного в электронном виде согласия субъекта персональных данных на обработку его персональных данных, с указанием перечня данных, целей и сроков их обработки на веб-сайте Общества. Электронное согласие на обработку персональных данных субъекта не может быть получено при сборе категорий, описанных в статьях 8, 10, 11, 12 и 16 Федерального закона №152.
- обработка персональных данных необходима для достижения целей, предусмотренных настоящим Положением, законом, для осуществления и выполнения возложенных на оператора законодательством Российской Федерации функций, полномочий и обязанностей;
- обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее – исполнение судебного акта);
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- обработка персональных данных при условии обязательного обезличивания персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей продвижения товаров, работ, услуг на рынке, а также за исключением целей политической агитации;
- обработка персональных данных, доступ к которым предоставлен субъектом персональных данных по его просьбе или с его согласия неограниченному кругу лиц (общедоступные персональные данные);
- обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
- обработка персональных данных по поручению оператора(ов) персональных данных. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые могут совершаться при обработке персональных данных Обществом, а также цели обработки с указанием требований к защите обрабатываемых персональных данных. Обработка персональных данных по поручению оператора(ов) осуществляется в Обществе без согласия субъекта персональных данных на обработку его персональных данных. В случае если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.
6. 2 Обработка персональных данных, осуществляемая с согласия субъекта персональных данных, должна включать в себя:
Письменное согласие:
- фамилию, имя, отчество (при его наличии), адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя, отчество (при его наличии), адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
- наименование или фамилию, имя, отчество (при его наличии) и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов и информационных систем обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись субъекта персональных данных и дата оформления согласия.
Электронное согласие:
- наименование или фамилию, имя, отчество (при его наличии) и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов и информационных систем обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
- оповещение, с однозначно определяемым действием субъекта персональных данных, подтверждающее его согласие на обработку персональных данных.
6. 3 Общество не имеет права обрабатывать специальные категории персональных данных субъектов персональных данных об их расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, интимной жизни.
6. 4 Обработка специальной категории персональных данных о состоянии здоровья субъектов осуществляется в Обществе с письменного согласия субъектов либо без их согласия в определенных случаях:
- персональные данные сделаны общедоступными субъектом персональных данных;
- обработка персональных данных осуществляется в соответствии
с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
- обработка персональных данных осуществляется в соответствии
с Федеральным законом «О безопасности» и Федеральным законом «О персональных данных»;
- обработка персональных данных осуществляется в соответствии
с законодательством об обязательных видах страхования, со страховым законодательством Российской Федерации.
6. 5 Обработка специальных категорий персональных данных незамедлительно прекращается, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.
6. 6 Запрещается обработка персональных данных исключительно автоматизированной обработкой, в результате которой могут возникнуть юридические последствия в отношении субъекта персональных данных или иным образом затрагивающие права и законные интересы субъекта. Исключительно автоматизированная обработка персональных данных субъекта возможна только при наличии согласия субъекта в письменной форме или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения.
6. 7 Общество при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Персональные данные в Обществе относятся к защищаемой информации, в связи с чем к обрабатываемым в Обществе персональным данным предъявляется обязательное требование соблюдения конфиденциальности. Требование соблюдения конфиденциальности не предъявляется к обрабатываемым в Обществе общедоступным персональным данным и, соответственно, ко всем процессам передачи общедоступных персональных данных – распространению, предоставлению и доступу. К процессам передачи персональных данных, не являющихся общедоступными, – предоставлению персональных данных и доступу к ним – предъявляются обязательные требования соблюдения конфиденциальности, главным из которых является передача персональных данных по защищенным (зашифрованным) каналам связи или в защищенном (зашифрованном) виде по открытым каналам связи. Запрещается предоставление персональных данных, не являющихся общедоступными, в открытом (незащищенном, незашифрованном) виде.
6. 8 Перечень персональных данных, обрабатываемых в информационных системах Общества (далее – Перечень № 1), оформляется в документальном виде и утверждается Генеральным директором Общества по образцу, приведенному в Приложении 1. Подготовка Перечня № 1 осуществляется подразделением, специально уполномоченным лицом Общества, или сторонней компанией, действующей на основании договора по оказанию соответствующих услуг. В Перечне № 1 для каждой из информационных систем Общества описывается перечень ролей и прав доступа, соответствующих каждой из указанных ролей. Перечень № 1 подлежит пересмотру при изменении количества информационных систем, входящих в этот Перечень, либо состава ролей и их прав доступа в любой из таких информационных систем.
6. 9 На основании утвержденного Генеральным директором Общества Перечня № 1 в Обществе оформляется в документальном виде и утверждается Генеральным директором Общества по образцу, приведенному в Приложении 2, перечень должностей Общества, допущенных к обработке персональных данных в централизованных информационных системах Общества (далее – Перечень № 2). Подготовка Перечня № 2 в Обществе осуществляется подразделением, специально уполномоченным лицом Общества, или сторонней компанией, действующей на основании договора по оказанию соответствующих услуг. В Перечне № 2 для каждой роли, каждой из информационных систем указываются названия должностей работников Общества, соответствующих каждой из указанных ролей. При изменении Перечня № 1 или изменения соответствия должностей ролям Перечень № 2 подлежит пересмотру.
6. 10 Работники Общества, не входящие в список специально уполномоченных лиц, допущенных к обработке персональных данных, но имеющие доступ к персональным данным, представляют работодателю письменные обязательства о неразглашении персональных данных по утвержденной форме (Приложение 15).
6. 11 Перечень персональных данных, обрабатываемых в локальных информационных системах Общества (далее – Перечень № 3), оформляется в документальном виде и утверждается Генеральным директором Общества по образцу, приведенному в Приложении 3. Подготовка Перечня № 3 в Общество осуществляется подразделением, специально уполномоченным лицом Общества, или сторонней компанией, действующей на основании договора по оказанию соответствующих услуг. Перечень № 3 подлежит пересмотру при изменении количества информационных систем, входящих в этот Перечень, состава персональных данных, обрабатываемых в информационных системах Перечня, или наименования должностных лиц, которым предоставлено право доступа к персональным данным.
6. 12 Перечень персональных данных, обрабатываемых в Обществе на бумажных носителях (далее – Перечень № 4), оформляется в документальном виде и утверждается Генеральным директором Общества по образцу, приведенному в Приложении 4. Подготовка Перечня № 4 в Общество осуществляется подразделением, специально уполномоченным лицом Общества, или сторонней компанией, действующей на основании договора по оказанию соответствующих услуг. Перечень № 4 подлежит пересмотру при изменении количества и наименования помещений, в которых ведется обработка персональных данных на бумажных носителях, входящих в этот Перечень, состава персональных данных, обрабатываемых на бумажных носителях или наименования должностных лиц, которым предоставлено право доступа к персональным данным на бумажных носителях.
6. 13 Распространение и предоставление информации, содержащейся
в перечнях, предусмотренных пунктами 6.8-6.12 настоящего положения, должно быть ограничено, за исключением случаев их использования, предусмотренных настоящим Положением и законодательством Российской Федерации.
7. СБОР, ЗАПИСЬ, СИСТЕМАТИЗАЦИЯ, НАКОПЛЕНИЕ, ХРАНЕНИЕ, ОБНОВЛЕНИЕ, ИЗМЕНЕНИЕ, ИЗВЛЕЧЕНИЕ И ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
7. 1 Обработка персональных данных Клиентов Общества и пользователей веб-сайта Общества.
7. 1. 1 В состав персональных данных Клиентов Общества входит информация, предоставляемая Клиентом из официальных документов, при заключении договоров с Обществом или регистрации личного кабинета на веб-сайте Общества.
7. 1. 2 Запрещается требовать от Клиента или пользователя веб-сайта Общества сообщать о себе сведения из специальных категории персональных данных, и свыше необходимых данных, требуемых для достижения целей обработки, заключения и ведения договоров и\или создания личного кабинета посетителя веб-сайта Общества.
7. 1. 3 Хранение бумажных экземпляров договоров, копий документов и электронных регистрационных данных Клиентов Общества осуществляется в условиях, обеспечивающих защиту от несанкционированного доступа.
7. 1. 4 При подписании согласия на обработку персональных данных на бумажном носителе Клиент ознакамливается и подписывает согласие по утвержденной форме (Приложение 7).
7. 1. 5 При выражении согласия на обработку персональных данных на веб-сайте Общества, посетитель ознакамливается и подтверждает, при помощи электронных средств верификации конкретного действия, согласие по утвержденной форме (Приложение 6). Согласие необходимо, в том числе на передачу данных сторонним сервисам, таким как Яндекс.Метрика.
7. 1. 6 Все персональные данные Клиента следует получать от него самого. Если персональные данные Клиента возможно получить только у третьей стороны, то Клиент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
7. 1. 7 При принятии решений, затрагивающих интересы Клиента, ответственное лицо Общества не имеет права основываться на персональных данных Клиента, полученных исключительно в результате их автоматизированной обработки или электронного получения.
7. 1. 8 Защита персональных данных Клиента от неправомерного их использования или утраты должна быть обеспечена Обществом за счет его средств в порядке, установленном настоящим Положением и иными федеральными законами.
7. 2 Обработка персональных данных работников Общества и соискателей.
7. 2. 1 В состав персональных данных работников Общества входит документально подтвержденная информация, получаемая из официальных документов работника, предъявляемых им при приёме на работу, а также из документов, полученных работником Общества в процессе его трудовой деятельности.
7. 2. 2 При заключении трудового договора лицо, поступающее на работу
в Общество (далее – соискатель), предъявляет в кадровое подразделение
Общества документы в соответствии со ст. 65 Трудового кодекса, анкету (приложение к Положению о подборе и адаптации персонала ООО «НЕГА ЮГ») и согласие на обработку своих персональных данных по утвержденной форме (Приложение 5).
7. 2. 3 Запрещается требовать от работника Общества или соискателя сообщать о себе сведения из специальных категории персональных данных, кроме письменно подтвержденного согласия о передаче сведений о состоянии здоровья субъекта, а также любые дополнительные сведения, обязанность предоставления которых не вменена ему Трудовым кодексом, иными Федеральными законами, Указами Президента Российской Федерации и Постановлениями Правительства Российской Федерации.
7. 2. 4 При оформлении работника в Общество представителем кадрового подразделения, как специально уполномоченным лицом Общества, заполняется «Личная карточка работника», в которой на основании документов, представленных работником в кадровое подразделение, отражаются его персональные данные в соответствии со ст. 65 Трудового кодекса. В процессе дальнейшей трудовой деятельности работника в Обществе, изменения его персональных данных отражаются установленным порядком в указанной личной карточке, а также в личной папке работника и его трудовой книжке. Количество персональных данных субъекта персональных данных не должно превышать изначального перечня получаемых Обществом данных.
7. 2. 5 Хранение личных папок, личных карточек и трудовых книжек работников Общества осуществляется в кадровом подразделении на бумажном носителе в условиях, обеспечивающих защиту от несанкционированного доступа.
7. 2. 6 При необходимости наличия в личном деле работника фотографического изображения на бумажном носителе, субъект персональных данных подписывает соглашение на передачу, хранение и обработку биометрических данных (Приложение 8).
7. 3 Для обеспечения процесса подбора персонала на вакансии в соответствии с Регламентами бизнес-процессов подбора и адаптации персонала ГК ФСК в Обществе могут обрабатываться резюме соискателей в бумажном и (или) электронном виде. Для возможности такой обработки от соискателя должно быть получено письменное согласие на обработку своих персональных данных, за исключением указанных ниже случаев, когда такое согласие не требуется. Согласие на бумажном носителе может быть получено от соискателя лично, либо по почте (Приложение 10).
7. 4 Способы получения Обществом резюме от соискателей подразделяются на следующие:
7. 4. 1 На бумажном носителе представителем (работником) Общества непосредственно от соискателя. Согласие на бумажном носителе должно быть получено от соискателя одновременно с получением резюме.
7. 4. 2 На бумажном носителе по почте на официальный адрес Общества. Резюме (при отсутствии во вложении согласия на бумажном носителе) подлежит уничтожению в день поступления, при этом допускается направление по обычной или электронной почте ответа отправителю с указанием необходимости получения от соискателя согласия на бумажном носителе. Согласие на бумажном носителе может быть получено от соискателя лично, либо по почте вместе с повторно направленным резюме.
7. 4. 3 В электронном виде, по электронной почте, на адрес электронной почты, принадлежащий Обществу. Резюме (при отсутствии полученного ранее согласия на бумажном носителе) подлежит уничтожению в день поступления, при этом допускается направление по электронной почте ответа отправителю с указанием необходимости получения от соискателя согласия на бумажном носителе. Согласие на бумажном носителе может быть получено от соискателя лично, либо по почте. Повторно направленное резюме на бумажном носителе или в электронном виде может быть получено одновременно, либо после получения согласия Обществом.
7. 4. 4 В электронном виде по факсу на телефонный номер Общества. Резюме (при отсутствии полученного ранее согласия на бумажном носителе) подлежит уничтожению в день поступления, при этом допускается осуществление обратного телефонного звонка отправителю с указанием необходимости получения от соискателя согласия на бумажном носителе. Согласие на бумажном носителе может быть получено от соискателя лично либо по почте вместе с повторно направленным резюме.
7. 4. 5 В электронном виде или на бумажном носителе при получении резюме от кадрового агентства, с которым у Общества заключен соответствующий договор. Согласие на бумажном носителе от соискателя в этом случае не требуется, т.к. получено согласие о передаче данных третьим лицам.
7. 4. 6 В электронном виде при поиске резюме на общедоступных ресурсах в сети Интернет. Согласие на бумажном носителе от соискателя в этом случае не требуется, однако для подтверждения факта размещения соискателем своего резюме в сети Интернет специалистом, ответственным за подбор персонала, распечатывается снимок копии с экрана, которая позволяет однозначно подтвердить указанный факт.
7. 5 Обработка персональных данных работника Общества не требует получения согласия при условии, что объем обрабатываемых в Обществе персональных данных не превышает установленные перечни, а также соответствует целям обработки предусмотренным трудовым законодательством Российской Федерации:
7. 5. 1 Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
7. 5. 2 При определении объема и содержания обрабатываемых персональных данных работника работодатель руководствуется Конституцией Российской Федерации, настоящим Положением и иными федеральными законами.
7. 5. 3 Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Специально уполномоченные лица Общества должны сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
7. 5. 4 Общество не имеет права получать и обрабатывать сведения о работнике относящиеся, в соответствии с законодательством Российской Федерации в области персональных данных, к специальным категориям персональных данных, за исключением случаев, предусмотренных настоящим Положением и другими федеральными законами.
7. 5. 5 Общество не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Положением или иными федеральными законами.
7. 5. 6 При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
7. 5. 7 Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена Обществом за счет его средств в порядке, установленном настоящим Положением и иными федеральными законами.
7. 5. 8 Работники и их представители должны быть ознакомлены под расписку с документами Общества, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Клиенты и лица, персональные данных которых обрабатываются в Обществе с письменного согласия, должны иметь возможность ознакомиться с настоящим Положением.
7. 5. 9 Работники не должны отказываться от своих прав на сохранение и защиту тайны;
7. 6 Общество, как работодатель вправе без соответствующего согласия осуществлять обработку персональных данных работника в случаях, предусмотренных коллективным договором, соглашением, правилами внутреннего трудового распорядка, а также локальными актами Общества, принятыми в порядке, установленном ст. 372 Трудового кодекса, то есть c учетом мнения выборного органа первичной профсоюзной организации, в случае, предусмотренных действующим законодательством.
7. 7 Получение согласия работника Общества на обработку персональных данных не требуется в следующих случаях:
- при обработке специальной категории персональных данных работника Общества о состоянии его здоровья по вопросу о возможности выполнения работником трудовой функции в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации в соответствии с п. 2.3 ч. 2 ст. 10 N 152-ФЗ "О персональных данных";
- при обработке персональных данных уволенного работника, в случае наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 N 152-ФЗ "О персональных данных".
7. 8 Обработка персональных данных родственников работников Общества.
7. 8. 1 Обработка персональных данных о несовершеннолетних лицах, родственниках работников Общества, осуществляется в Обществе только с согласия их законных представителей (родителей, усыновителей, попечителей, опекунов) (Приложение 9). Для обработки информации являющейся персональными данными совершеннолетних и дееспособных близких родственников работников Общества требуется письменное согласие субъектов обработки персональных данных.
7. 9 Обработка персональных данных посетителей Общества:
7. 9. 1 Обработка персональных данных посетителей осуществляется с целью профилактики правонарушений и обеспечения сохранности имущества. Оператором, обрабатывающим и обеспечивающим хранение ПДн посетителей, выступает ЧОП, с которым Обществом заключен договор на оказание услуг охраны помещений и территории.
7. 9. 2 Обработка персональных данных посетителей, необходимых для обеспечения прохода на территорию Общества, осуществляется на основании пункта 8 Постановления Правительства Российской Федерации от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
7. 9. 3 Для обеспечения прохода и установления личности используются: фамилия, имя и отчество (при его наличии), дата рождения и гражданство, вносимые в специальный журнал (реестр, книгу). Доступ к персональным данным имеют только специально уполномоченные лица зафиксированные в акте Оператора (поименно или по должностям). Копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается.
7. 9. 4 Обработка персональных данных физических лиц при заключении с ними гражданско-правовых договоров:
7. 9. 5 При получении Обществом от потенциальных и существующих контрагентов доверенности, то есть письменного уполномочия, выдаваемого одним лицом другому лицу для представительства перед третьими лицами, а также последующего распространения копий такой доверенности неограниченному кругу лиц, персональные данные, изложенные в такой доверенности, являются общедоступными и обработка этих персональных данных осуществляется в Обществе без необходимости соблюдения требования конфиденциальности и без согласия субъектов персональных данных.
7. 9. 6 Обработка персональных данных физических лиц при выполнении ими работ (оказании услуг) для Общества по гражданско-правовым договорам, за исключением персональных данных, изложенных в выданной такому физическому лицу доверенности (при её наличии), осуществляется в Обществе только с их письменного согласия (Приложение 7).
8. РАСПРОСТРАНЕНИЕ И ПРЕДОСТАВЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
8. 1 При предоставлении специально уполномоченным лицам Общества (техническими партнерами/обработчиками/операторами) персональных данных субъектов (раскрытии персональных данных определенному лицу или определенному кругу лиц) Общество должно соблюдать следующие требования:
8. 1. 1 Допускать к обработке персональных данных субъектов только специально уполномоченных лиц Общества, при этом указанные лица должны иметь право получать только те персональные данные субъектов, которые необходимы для выполнения конкретной функции.
8. 1. 2 Персональные данные субъектов могут обрабатываться в одной или нескольких информационных системах Общества, а также на бумажном носителе, согласно перечням Положения.
8. 1. 3 На основании утвержденного Генеральным директором Общества Перечня должностей ООО «НЕГА ЮГ», допущенных к обработке персональных данных в централизованных информационных системах Общества (Приложение 2), Перечня персональных данных, обрабатываемых в локальных информационных системах Общества (Приложение 3) и Перечня персональных данных, обрабатываемых на бумажных носителях в Обществе (Приложение 4) допуск конкретных специально уполномоченных лиц Общества к обработке персональных данных субъектов персональных данных осуществляется установленным порядком (заявки на доступ к информационной системе, служебные записки и т. п.).
8. 2 При предоставлении специально уполномоченными лицами Общества персональных данных субъектов лицам, не имеющим отношения к Обществу, предъявляются следующие требования:
8. 2. 1 Не сообщать персональные данные субъектов третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, установленных федеральными законами.
8. 2. 2 Не сообщать персональные данные субъектов в коммерческих целях без их письменного согласия.
8. 2. 3 Обработка персональных данных субъектов в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с их письменного согласия.
8. 2. 4 Передавать персональные данные субъектов их представителям в порядке, установленном действующим законодательством, и ограничивать эту информацию только теми персональными данными субъектов, которые необходимы для выполнения указанными представителями их функции.
8. 2. 5 Общество вправе поручить обработку персональных данных субъектов другому оператору персональных данных/техническому партнеру на основании поручения об обработке персональных данных, с согласия субъектов персональных данных или без их согласия, в случаях, предусмотренных федеральным законом. К такой обработке могут относиться:
- оформление банковских карт (форма согласия – Приложение 13);
- оформление страховых полисов (форма согласия – Приложение 14);
- получение субъектами персональных данных медицинских услуг (прохождение медицинских комиссий, профосмотров и т. п.);
- иные потребности Общества в обработке персональных данных субъектов персональных данных с помощью других лиц, с указанием технического партнера/оператора обработки персональных данных, перечня передаваемых персональных данных и действий, которые будут с ними производиться, и сроков их обработки, а также способы отзыва обработки персональных данных оператором (Приложение 12).
8. 2. 6 Предоставление персональных данных субъектов в адрес третьих лиц осуществляется без согласия субъектов:
- при предоставлении персональных данных субъектов в Фонд социального страхования Российской Федерации, Пенсионный фонд Российской Федерации, Федеральную налоговую службу Российской Федерации, военные комиссариаты, профсоюзные органы в случаях, предусмотренных действующим законодательством Российской Федерации;
- при предоставлении персональных данных субъектов в негосударственные пенсионные фонды, в которых состоят субъекты;
- при предоставлении персональных данных субъектов для оформления страховых полисов обязательного и добровольного медицинского страхования;
- при предоставлении персональных данных субъектов в правоохранительные органы, государственным инспекторам труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и в адрес иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством Российской Федерации, при получении Обществом от них, в рамках установленных полномочий, мотивированных запросов. Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации;
- при предоставлении персональных данных работников Общества третьим лицам в случаях, связанных с выполнением работником должностных обязанностей, в том числе при его командировании в соответствии с Правилами предоставления гостиничных услуг в Российской Федерации, утвержденными Постановлением Правительства Российской Федерации от 09.10.2015 № 1085, нормативными правовыми актами в сфере транспортной безопасности и иными нормативными документами. Согласие работника Общества не требуется только в том случае, если передача персональных данных осуществляется работником самостоятельно;
- при предоставлении персональных данных субъектов в иных случаях, предусмотренных действующим законодательством Российской Федерации.
8. 2. 7 Предоставление персональных данных субъектов в адрес третьих лиц осуществляется при обязательном согласии субъектов в следующих случаях:
- при предоставлении персональных данных субъектов в какие-либо организации в случае поступления запросов из этих организаций, не обладающих соответствующими полномочиями;
- при предоставлении персональных данных субъектов кредитным организациям для оформления по инициативе работодателя платежной карты для возможности перечисления на указанную карту заработной платы работника в случае наличия у работодателя доверенности на представление интересов работника при заключении договора с кредитной организацией на выпуск банковской карты работнику либо в случае, когда соответствующая форма и система оплаты труда установлена в коллективном договоре;
- при предоставлении персональных данных субъектов кредитным организациям для непосредственного перечисления на имеющуюся у работника карту заработной платы работника. При этом перечень предоставляемых персональных данных должен исчерпываться фамилией, именем и отчеством (при его наличии) работника, а также реквизитами банковской карты работника, на которую производится перечисление;
- при предоставлении персональных данных субъектов третьим лицам в случаях, связанных с организацией обучения работников Общества;
- при предоставлении персональных данных работников Общества и иных лиц, с которыми заключены соглашения об обработке персональных данных третьим лицам в случаях, связанных с приобретением авиа- и железнодорожных билетов и (или) бронированием гостиниц, а также получением визы на выезд за границу при оказании этих услуг посреднической организацией, у которой заключен договор с Обществом (Приложение 12) Ответственным за получение и хранение такого согласия в случае приобретения билетов, бронирования гостиниц и (или) оформления визы является специалист по кадровому администрированию ООО «НЕГА ЮГ», а так же лица действующие на основании договора и поручения;
- при предоставлении персональных данных Клиентов Общества, с которыми заключены соглашения об обработке персональных данных третьим лицам в случаях, связанных с исполнением Обществом договорных обязательств;
- при предоставлении персональных данных субъектов в иных случаях,
за исключением описанных в пунктах 8.2.4 - 8.2.5 настоящего положения.
8. 2. 8 Во всех случаях предоставления персональных данных субъектов лицам, имеющих договорные отношения с Обществом, обеспечивающих защиту при обработке персональных данных (раскрытии персональных данных определенному лицу или определенному кругу лиц), должны соблюдаться требования конфиденциальности. В случае, если персональные данные субъекта предоставляются третьим лицам самим субъектом персональных данных, требования конфиденциальности не являются обязательными (примером может служить отправка работником Общества своих персональных данных по электронной почте в открытом виде в адрес любых третьих лиц).
8. 2. 9 В случае, если требования конфиденциальности выполнить невозможно (например, если между Обществом и обработчиком персональных данных, которому поручена обработка, отсутствует возможность пересылать персональные данные в зашифрованном виде), то предоставление персональных данных субъектов по незашифрованным каналам связи не осуществляется.
8. 2. 10 При распространении персональных данных субъектов (раскрытии персональных данных неопределенному кругу лиц) Общество должно заранее получить письменное согласие (Приложение 18) субъектов персональных данных о признании субъектами своих персональных данных общедоступными за исключением случаев, установленных федеральными законами, когда согласие субъектов не требуется. Согласие требуется в следующих случаях:
- при необходимости оформления доверенности работнику Общества или иному лицу (например, представителю спецсвязи), то есть письменного уполномочия, выдаваемого одним лицом другому лицу для представительства перед третьими лицами, а также последующего распространения копий такой доверенности неограниченному кругу лиц;
- при размещении персональных данных руководства Общества на официальном веб-сайте ООО «НЕГА ЮГ» или иных официальных веб-сайтах в сети Интернет в случаях, когда действующим законодательством на Общество не возложена обязанность по информированию граждан о персональных данных руководства Общества или в случаях, когда объем размещаемых персональных данных руководства Общества на официальном веб-сайте или иных официальных веб-сайтах в сети Интернет превышает объем, определенный действующим законодательством;
- при размещении персональных данных работников Общества на досках почета;
- при размещении биометрических данных (фотографические изображения) на досках почета и общедоступных ресурсах.
8. 3 При распространении персональных данных субъектов (раскрытии персональных данных неопределенному кругу лиц) не требуется получение согласия субъектов персональных данных о признании субъектом своих персональных данных общедоступными в следующих случаях:
8. 3. 1 При размещении персональных данных руководства Общества
на официальном веб-сайте или иных официальных веб-сайтах в сети Интернет в случаях, когда в соответствии с действующим законодательством Общества обязано информировать граждан о персональных данных руководства Общества в объемах, не превышающих объем персональных данных, определенный действующим законодательством.
8. 3. 2 Не требуется получение согласия субъектов персональных данных в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации.
8. 4 При предоставлении Обществом доступа к собственным информационным системам ограниченного перечня третьих лиц на основании договоров, требуется ознакомление субъекта персональных данных с информацией, которая фигурирует в информационной системе, с перечнем данных, которые обрабатываются в ИСПДн (Приложение 3).
9. ОБЕЗЛИЧИВАНИЕ, БЛОКИРОВАНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
9. 1 Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому, является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, либо при получении уведомления от субъекта персональных данных о прекращении обработки его персональных данных, если иное не предусмотрено федеральными законами.
9. 2 Обязательное обезличивание персональных данных производится для осуществления статистических или иных исследовательских целей, за исключением целей продвижения товаров, работ, услуг на рынке (необходимо получение согласия на обработку персональных данных), а также за исключением целей политической агитации.
9. 3 В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Общество обязано осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Общество обязано осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
9. 4 В случае подтверждения факта неточности персональных данных Общество на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязано уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
9. 5 В случае выявления работником или специально уполномоченным лицом Общества неправомерной обработки персональных данных, необходимо в срок, не превышающий трех рабочих дней с даты этого выявления, информировать о нарушении обработки персональных данных лиц ответственных за сохранность персональных данных в Обществе с целью прекращения неправомерной обработки персональных данных или обеспечения прекращения неправомерной обработки персональных данных лицом, действующим по поручению Общества. В случае, если обеспечить правомерность обработки персональных данных невозможно, Общество в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Общество обязано уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
9. 6 В случае достижения цели обработки персональных данных Общество обязано прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Обществом и субъектом персональных данных либо если Общество не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
9. 7 В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Общество обязано прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Обществом и субъектом персональных данных либо если Общество не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
9. 8 В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 9.5–9.7 настоящего положения, Общество осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
10. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
10. 1 Защита персональных данных направлена на обеспечение защиты персональных данных субъектов от неправомерного доступа и неправомерной их обработки, а также от иных неправомерных действий в отношении персональных данных субъектов, и соблюдение конфиденциальности персональных данных субъектов.
10. 2 Персональные данные субъектов зафиксированные на бумажных или электронных носителях, не подключенные к соответствующему устройству, хранятся в запирающихся шкафах, обеспечивающих защиту от несанкционированного доступа, с соблюдением требований действующего законодательства в структурных подразделениях осуществляющих обработку персональных данных либо организациях, которым поручено обработка и хранения персональных данных на основании договора.
10. 3 Персональные данные субъектов обрабатываются как на бумажных носителях, так и в электронном виде - в информационных системах персональных данных (ИСПДн). Все меры конфиденциальности при обработке персональных данных субъектов распространяются как на бумажные, так и на электронные (автоматизированные) носители персональных данных работников, Клиентов и пользователей веб-сайта, собственником которого является Общество.
10. 4 При осуществлении трансграничной передачи персональных данных субъектов, Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных. При передаче данных на территорию государства, являющегося стороной Конвенции, получение согласия не требуется, в случае, если трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, необходимо наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных.
10. 5 Для каждой из информационной системы приказом Генерального директора Общества назначается должностное лицо, ответственное за обеспечение безопасности персональных данных при их обработке в ИСПДн. При этом одно должностное лицо может является ответственным за обеспечение безопасности персональных данных при их обработке в нескольких ИСПДн.
10. 6 Приказом Генерального директора Общества назначается структурное подразделение, либо должностное лицо ответственное за обеспечение безопасности персональных данных при их обработке в ИСПДн.
10. 7 Структурное подразделение, ответственное за обеспечение информационной безопасности персональных данных на основании договора, определяет и внедряет организационные и технические мероприятия, необходимые и достаточные в соответствии с требованиями действующего законодательства Российской Федерации для обеспечения безопасности персональных данных при их хранении и обработке в ИСПДн.
10. 8 С учётом оценок возможного вреда, предоставляемых операторами обрабатываемых в ИСПДн, Общество самостоятельно или с привлечением внешней организации, обладающей лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации, разрабатывает модель угроз и нарушителя безопасности:
- по результатам формирования модели угроз и нарушителя безопасности руководство Общества делает вывод о типе угроз, актуальных для ИСПДн. При этом под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
- Общество самостоятельно или с привлечением организации, обладающей лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации, определяет и внедряет организационные и технические мероприятия, которые должны выполняться всеми структурными подразделениями, для нейтрализации угроз, признанных актуальными.
- должностное лицо, структурное подразделение или юридическое лицо действующее на основании договора ответственное за обеспечение информационной безопасности составляет требования к организационным и техническим мероприятиям, утверждаемые приказом Генерального директора Общества, которые накладываются на организации, имеющие доступ к ИСПДн Общества.
- должностное лицо, структурное подразделение или юридическое лицо действующее на основании договора, ответственное за обеспечение физической безопасности формирует предложения по обеспечению безопасности помещений, в которых размещены физическое оборудование ИСПДн и персональные данные на бумажных носителях, для воспрепятствия возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения.
10. 9 Основные принципы при внутренней защите:
- ограничение состава работников, в обязанности которых входит работа с персональными данными субъектов персональных данных;
- строгое избирательное и обоснованное распределение документов и информации между работниками, имеющими внутренний доступ к персональным данным;
- рациональное размещение рабочих мест работников, имеющих внутренний доступ к персональным данным, при котором исключается бесконтрольная обработка персональных данных работников;
- знание работниками, имеющими внутренний доступ к персональным данным, требований нормативных документов по защите персональных данных;
- наличие необходимых условий в помещении для работы с документами на бумажных носителях, содержащими персональные данные работников, и информационными системами обработки персональных данных;
- уничтожение персональных данных работников, не подлежащих хранению.
10. 10 Основные принципы при внешней защите:
- не допускается распространение посторонним лицам информации о распределении функций, рабочих процессах, технологии составления, оформления, ведения и хранения документов, содержащих персональные данные работников;
- наличие пропускного режима в Обществе;
- строгий порядок охраны территории, зданий, помещений, транспортных средств Общества;
- требование к защите персональных данных работников при интервьюировании и собеседованиях.
11. CРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
11. 1 Сроки обработки и хранения персональных данных определяются в соответствии с действующим законодательством.
11. 2 Срок обработки персональных данных должен быть указан в Перечне персональных данных, обрабатываемых в Обществе, приведенных в Приложении 3 и 4.
12. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
12. 1 Субъект персональных данных имеет право требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
12. 2 Субъект персональных данных имеет право получать от Общества информацию, касающуюся обработки его персональных данных, в том числе содержащую:
- подтверждение факта обработки персональных данных;
- правовые основания и цели обработки персональных данных;
- цели и применяемые способы обработки персональных данных;
- сведения о лицах (за исключением уполномоченных лиц Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных законом о персональных данных;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество (при его наличии) и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные федеральными законами.
12. 3 Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
- обработка персональных данных осуществляется в целях безопасности государства;
- доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
12. 4 Субъект персональных данных имеет право обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
12. 5 Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
13. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
13. 1 Общество, а также Работники Общества, виновные в нарушении норм, регулирующих обработку и защиту персональных данных субъектов, несут дисциплинарную и иную ответственность в соответствии с законодательством Российской Федерации.
13. 2 В случае, если оператор поручает обработку персональных данных Обществу, ответственность перед субъектом персональных данных за действия Общества несет оператор. Общество, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
14. НОРМАТИВНЫЕ ССЫЛКИ
Таблица 3. Внешние нормативные и распорядительные документы
№ п/п | Наименование документа |
1. | Конституция Российской Федерации |
2. | Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» |
3. | Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» |
4. | Федеральный закон от 18.03.2019 № 30-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» |
5. | Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ |
6. | Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» |
7. | Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» |
8. | Рекомендации Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» |
9. | Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. постановлением Правительства РФ от 15 сентября 2008 г. N 687) |
10. | Федеральный закон от 25.07.2011 N 261-ФЗ "О внесении изменений в Федеральный закон "О персональных данных" |
11. | Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» |
12. | Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Заключена в г. Страсбурге 28.01.1981) (вместе с Поправками к Конвенции о защите физических лиц при автоматизированной обработке персональных данных (СДСЕ N 108), позволяющими присоединение европейских сообществ, принятыми Комитетом Министров в Страсбурге 15.06.1999) |
Таблица 4. Внутренние нормативные документы
№ п/п | Наименование документа |
1 | Положение о подборе и адаптации персонала в ООО «НЕГА ЮГ» |
2 | Положение о внутриобъектовом режиме ООО «НЕГА ЮГ» |
3 | Политика информационной безопасности ООО «НЕГА ЮГ» |
15. КОНТРОЛЬ ВЕРСИЙ ДОКУМЕНТА
Номер версии | Дата создания версии | Должность Ответственного за разработку | ФИО Ответственного за разработку | Краткое описание изменений документа |
1.0 | Генеральный директор | Создание положения | ||
16. ПРИЛОЖЕНИЯ
Приложение 6 Согласие на обработку персональных на веб-сайте
Приложение 17 Согласие на рекламно-информационные рассылки
Квартиры в Санкт-Петербурге и области