Политика конфиденциальности ООО «Каменское жилищно-коммунальное хозяйство Политика ООО «Каменское жилищно-коммунальное хозяйство»
в отношении обработки и защиты персональных данных»
1. Общие положения
1.1. Настоящая политика (далее — Политика) разработана в соответствии со ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон о ПД) и является основополагающим внутренним регулятивным документом ООО «Каменское жилищно-коммунальное хозяйство» далее – Общество, Региональный оператор), определяющим ключевые направления его деятельности в области обработки и защиты персональных данных (далее — ПД), оператором которых является Общество.
1.2. Политика разработана в целях реализации требований законодательства в области обработки и защиты ПД и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его ПД в Обществе, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайн.
1.3. Положения Политики распространяются на отношения по обработке и защите ПД, полученных Обществом как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите ПД, полученных до ее утверждения.
2. Основания обработки и состав персональных данных, обрабатываемых в Обществе
2.1. Обработка ПД в Обществе осуществляется в связи с выполнением функций, возложенных на Общество законодательно и по заключенным договорам, определяемых:
Жилищным Кодексом Российской Федерации;
Федеральным законом от 24.06.1998 N 89-ФЗ (ред. от 25.12.2018) «Об отходах производства и потребления»;
Федеральным Законом от 21.07.2014 г. № 209-ФЗ «О государственной информационной системе жилищно-коммунального хозяйства»
Постановлением Правительства РФ от 12.11.2016 N 1156 «Об обращении с твердыми коммунальными отходами и внесении изменения в постановление Правительства Российской Федерации
от 25 августа 2008 г. N 641" (вместе с «Правилами обращения с твердыми коммунальными отходами»);
Правилами предоставления коммунальных услуг собственникам и пользователям помещений, расположенных в многоквартирных жилых домах, жилых домов, утвержденными Постановлением Правительства РФ от 06.05.2011 г. № 354;
Договорами на оказание услуг по обращению с твердыми коммунальными отходами, заключенными в порядке, предусмотренном постановлением Правительства РФ от 12.11.2016 N 1156 «Об обращении с твердыми коммунальными отходами и внесении изменения в постановление Правительства Российской Федерации от 25 августа 2008 г. N 641» (вместе с «Правилами обращения с твердыми коммунальными отходами»);
иными нормативными правовыми актами Российской Федерации, Пензенской области, города Пензы.
Кроме того, обработка ПД в Обществе осуществляется в ходе трудовых и иных непосредственно связанных с ними отношений, в которых Общество выступает в качестве работодателя
(гл. 14 Трудового кодекса Российской Федерации), в связи с реализацией Обществом своих прав и обязанностей как юридического лица.
2.2. В рамках осуществления функции по исполнению обязанностей Регионального оператора ПД обрабатываются Обществом:
1) в ходе исполнения ООО «Каменское жилищно-коммунальное хозяйство» в полном объеме обязательств по договорам на обращение с твердыми коммунальными отходами, заключенными с контрагентами (клиентами, потребителями);
2) рассмотрения обращений, заявлений, претензий физических лиц (граждан, индивидуальных предпринимателей), поступивших в Общество по вопросам его деятельности;
3) ведения реестра собственников жилых помещений, расположенных в многоквартирных домах и принявших решения о переходе на прямые договоры с региональным оператором в порядке, предусмотренном Жилищным кодексом Российской Федерации.
При этом обрабатываются ПД:
а) лиц, обратившихся с заявлением в Общество;
б) представителей контрагентов (потребителей, клиентов), данные по которым с целью исполнения договоров на оказание услуг по обращению с твердыми коммунальными отходами предоставлены юридическими лицами, индивидуальными предпринимателями, физическими лицами.
2.3. В связи с трудовыми и иными непосредственно связанными с ними отношениями, в которых Общество выступает в качестве работодателя, обрабатываются ПД лиц, претендующих на трудоустройство в Общество, работников Общества (далее — Работники) и бывших Работников.
2.4. В связи с реализацией своих прав и обязанностей как юридического лица, Обществом обрабатываются ПД физических лиц, являющихся контрагентами (возможными контрагентами) Общества по гражданско-правовым договорам, ПД руководителей, членов коллегиальных исполнительных органов и представителей юридических лиц.
2.5. ПД получаются и обрабатываются Обществом на основании федеральных законов и иных нормативных правовых актов Российской Федерации, а в необходимых случаях — при наличии письменного согласия субъекта ПД.
2.6. В целях исполнения возложенных на Общество функций Общество в установленном порядке вправе поручить обработку ПД третьим лицам.
В договоры с лицами, которым Общество поручает обработку ПД, включаются условия, обязывающие таких лиц соблюдать предусмотренные законодательством требования к обработке и защите ПД.
2.7. Общество предоставляет обрабатываемые им ПД государственным органам и организациям, имеющим, в соответствии с федеральным законом, право на получение соответствующих ПД.
2.8. В Обществе не производится обработка ПД, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки ПД в Обществе, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся Обществом ПД уничтожаются.
2.9. При обработке ПД обеспечиваются их точность, достаточность, а при необходимости — и актуальность по отношению к целям обработки. Общество принимает необходимые меры по удалению или уточнению неполных, или неточных ПД.
3. Принципы обеспечения безопасности персональных данных
3.1. Основной задачей обеспечения безопасности ПД при их обработке в Обществе является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения ПД, разрушения (уничтожения) или искажения их в процессе обработки.
3.2. Для обеспечения безопасности ПД Общество руководствуется следующими принципами
1) законность: защита ПД основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты ПД;
2) системность: обработка ПД в Обществе осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности ПД;
3) комплексность: защита ПД строится с использованием функциональных возможностей информационных технологий, реализованных в базах данных Общества и других имеющихся в Обществе систем и средств защиты;
4) непрерывность: защита ПД обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки ПД, в том числе при проведении ремонтных и регламентных работ;
5) своевременность: меры, обеспечивающие надлежащий уровень безопасности ПД, принимаются до начала их обработки;
6) преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты ПД осуществляется на основании результатов анализа практики обработки ПД в Обществе с учетом выявления новых способов и средств реализации угроз безопасности ПД, отечественного и зарубежного опыта в сфере защиты информации;
7) персональная ответственность: ответственность за обеспечение безопасности ПД возлагается на Работников в пределах их обязанностей, связанных с обработкой и защитой ПД;
8) минимизация прав доступа: доступ к ПД предоставляется Работникам только в объеме, необходимом для выполнения их должностных обязанностей;
9) гибкость: обеспечение выполнения функций защиты ПД при изменении характеристик функционирования баз данных Общества, а также объема и состава обрабатываемых ПД;
10) открытость алгоритмов и механизмов защиты: структура, технологии и алгоритмы функционирования системы защиты ПД Общества не дают возможности преодоления имеющихся в Обществе систем защиты возможными нарушителями безопасности ПД;
11) научная обоснованность и техническая реализуемость: уровень мер по защите ПД определяется современным уровнем развития информационных технологий и средств защиты информации;
12) специализация и профессионализм: реализация мер по обеспечению безопасности ПД и эксплуатация ПД осуществляются Работниками, имеющими необходимые для этого квалификацию и опыт;
13) эффективность процедур отбора кадров и выбора контрагентов: кадровая политика Общества предусматривает тщательный подбор персонала и мотивацию Работников, позволяющую исключить или минимизировать возможность нарушения ими безопасности ПД; минимизация вероятности возникновения угрозы безопасности ПД, источники которых связаны с человеческим фактором, обеспечивается получением наиболее полной информации о контрагентах Общества до заключения договоров;
14) наблюдаемость и прозрачность: меры по обеспечению безопасности ПД должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль;
15) непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты ПД, а результаты контроля регулярно анализируются.
4. Доступ к обрабатываемым персональным данным
4.1. Доступ к обрабатываемым в Обществе ПД имеют лица, уполномоченные приказом Общества, лица, которым Общество поручило обработку ПД на основании заключенного договора, а также лица, чьи ПД подлежат обработке.
4.2. В целях разграничения полномочий при обработке ПД полномочия по реализации каждой определенной функции Общества закрепляются за соответствующими структурными подразделениями Общества.
Доступ к ПД, обрабатываемым в ходе реализации полномочий, закрепленных за конкретным структурным подразделением Общества, могут иметь только Работники этого структурного подразделения.
Работники допускаются к ПД, связанным с деятельностью другого структурного подразделения, только для чтения и подготовки обобщенных материалов в части вопросов, касающихся структурного подразделения этих Работников.
4.3. Доступ Работников к обрабатываемым ПД осуществляется в соответствии с их должностными обязанностями и требованиями внутренних регулятивных документов Общества.
Допущенные к обработке ПД Работники под подпись знакомятся с документами Общества, устанавливающими порядок обработки ПД, включая документы, устанавливающие права и обязанности конкретных Работников.
4.4. Порядок доступа субъекта ПД к его ПД, обрабатываемым Обществом, определяется в соответствии с законодательством.
5. Реализуемые требования к защите персональных данных
5.1. Общество принимает правовые, организационные и технические меры (или обеспечивает их принятие), необходимые и достаточные для обеспечения исполнения обязанностей, предусмотренных Законом о ПД и принятыми в соответствии с ним нормативными правовыми актами, для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД.
5.2. Состав указанных в пункте 5.1 Политики мер, включая их содержание и выбор средств защиты ПД, определяется, а внутренние регулятивные документы об обработке и защите ПД утверждаются (издаются) Обществом исходя из требований:
Федерального Закона от 27.07.2006 г. «152-ФЗ «О персональных данных»;
главы 14 Трудового кодекса Российской Федерации;
постановления Правительства Российской Федерации от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
иных нормативных правовых актов Российской Федерации об обработке и защите ПД.
5.3. В предусмотренных законодательством случаях обработка ПД осуществляется Обществом с согласия субъектов ПД.
Обществом производится устранение выявленных нарушений законодательства об обработке и защите ПД.
5.4. Хранение ПД осуществляется в форме, позволяющей определить субъекта ПД, не дольше чем этого требуют цели обработки ПД, если срок хранения не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПД.
5.5. Обществом осуществляется ознакомление работников Общества, непосредственно осуществляющих обработку ПД, с положениями законодательства о ПД, в том числе требованиями к защите ПД, Политикой и иными внутренними регулятивными документами по вопросам обработки ПД.
5.6. При обработке ПД с использованием средств автоматизации Обществом, в частности, применяются следующие меры:
1) назначается Ответственный за организацию обработки ПД, определяется его компетенция;
2) утверждаются (издаются) внутренние регулятивные документы по вопросам обработки и защиты ПД, в том числе устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений;
3) осуществляется внутренний контроль и (или) аудит соответствия обработки ПД Закону о ПД и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПД, Политике и внутренним регулятивным документам Общества.
5.7. Обеспечение безопасности ПД в Обществе при их обработке в базах данных достигается в Обществе, в частности, путем:
1) определения в установленном порядке состава и содержания мер по обеспечению безопасности ПД, выбора средств защиты информации.
При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности ПД, а также с учетом экономической целесообразности Обществом могут разрабатываться компенсирующие меры, направленные на нейтрализацию актуальных угроз безопасности ПД. В этом случае в ходе разработки средств защиты ПД проводится обоснование применения компенсирующих мер для обеспечения безопасности ПД;
3) применения организационных и технических мер по обеспечению безопасности ПД, необходимых для выполнения требований к защите ПД, включая применение средств защиты информации.
В Обществе, в том числе, осуществляются:
оценка эффективности принимаемых и реализованных мер по обеспечению безопасности ПД;
оценка эффективности принимаемых и реализованных мер по обеспечению безопасности ПД;
обнаружение фактов несанкционированного доступа к ПД и принятие соответствующих мер;
восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установление правил доступа к обрабатываемым ПД,
организация режима обеспечения безопасности помещений, в которых размещены базы данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
контроль за принимаемыми мерами по обеспечению безопасности ПД.
5.8. Обеспечение защиты ПД в Обществе при их обработке, осуществляемой без использования средств автоматизации, достигается, в частности, путем:
1) обособления ПД от иной информации;
2) недопущения фиксации на одном материальном носителе ПД, цели обработки которых заведомо не совместимы;
3) использования отдельных материальных носителей для обработки каждой категории ПД;
4) принятия мер по обеспечению раздельной обработки ПД при несовместимости целей обработки ПД, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПД отдельно от других зафиксированных на том же носителе ПД;
5) соблюдения требований:
к раздельной обработке зафиксированных на одном материальном носителе ПД и информации, не относящейся к ПД;
уточнению ПД;
уничтожению ПД;
использованию типовых форм документов, характер информации в которых предполагает или допускает включение в них ПД;
хранению ПД, в том числе к обеспечению раздельного хранения ПД (материальных носителей), обработка которых осуществляется в различных целях, и установлению перечня лиц, осуществляющих обработку ПД либо имеющих к ним доступ.