Управляющая компания
Аварийно-диспетчерская служба:
Личный кабинет
ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ СОБСТВЕННИКОВ И ПОЛЬЗОВАТЕЛЕЙ ПОМЕЩЕНИЙ В МНОГОКВАРТИРНЫХ ДОМАХ, НАХОДЯЩИХСЯ В УПРАВЛЕНИИ ООО «ЧИСТЫЙ ДОМ», И РАБОТНИКОВ КОНТРАГЕНТОВ ООО «ЧИСТЫЙ ДОМ»
г. Краснодар, 2020 г.
1.1. Положение об обработке персональных данных собственников и пользователей помещений в многоквартирных домах, находящихся в управлении ООО «Чистый дом», и работников контрагентов ООО «Чистый дом» (далее – «Положение») издано и применяется в обществе с ограниченной ответственности «Чистый дом» (далее – «Оператор») в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Настоящее Положение определяет политику, порядок и условия Оператора в отношении обработки персональных данных собственников и пользователей помещений в многоквартирных домах, находящихся в управлении ООО «Чистый дом» и работников контрагентов, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.
Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.
1.2. Категории субъектов персональных данных:
1.2.1. Оператором производится обработка следующих категорий субъектов персональных данных:
– физические лица, являющиеся собственниками и пользователями помещений в многоквартирных домах;
– работники контрагентов.
1.2.2. Оператором производится обработка следующих категорий персональных данных категорий субъектов персональных данных:
1.2.2.1.В отношении физических лиц, являющихся собственниками и пользователями помещений в многоквартирных домах:
1.2.2.2. В отношении работников контрагентов:
1.3. Целями обработки персональных данных являются:
1.3.1. В отношении физических лиц, являющихся собственниками и пользователями помещений в многоквартирных домах:
– обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни;
– контроль исполнения обязательств по оплате за потребленные коммунальные услуги;
– контроль задолженности;
– претензионно-исковая работа.
1.3.2. В отношении работников контрагентов:
– оформление и исполнение договорных обязательств.
1.4. Обработка организована Оператором на принципах:
– законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;
– достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
– обработки только персональных данных, которые отвечают целям их обработки;
– соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
– недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
– обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных;
– хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
1.5. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и настоящим Положением.
1.6. Способы обработки персональных данных:
– с использованием средств автоматизации;
– без использования средств автоматизации.
1.7. В соответствии с поставленными целями и задачами Оператор до начала обработки персональных данных назначает ответственного за организацию обработки персональных данных в должности не ниже начальника структурного подразделения (или: заместителя руководителя Оператора), именуемого далее «куратор ОПД».
1.7.1. Куратор ОПД получает указания непосредственно от исполнительного органа Оператора и подотчетен ему.
1.7.2. Куратор вправе оформлять и подписывать уведомление, предусмотренное ч. 1 и 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
1.8. Настоящее Положение и изменения к нему утверждаются руководителем Оператора и вводятся приказом Оператора.
1.9. Сотрудники Оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены под роспись до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, с данным Положением и изменениями к нему.
1.10. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
1.11. Режим конфиденциальности персональных данных Оператор обеспечивает в соответствии с Положением Оператора о конфиденциальности.
1.12. Контроль за соблюдением сотрудниками Оператора требований законодательства Российской Федерации и положений локальных актов Оператора организован в соответствии с Положением о внутреннем контроле Оператора при обработке персональных данных. Контроль заключается в проверке выполнения требований нормативных документов по защите информации, а также в оценке обоснованности и эффективности принятых мер. Он может проводиться структурным подразделением (сотрудником), ответственным за обеспечение безопасности персональных данных, или на договорной основе сторонними организациями, имеющими лицензии на деятельность по технической защите конфиденциальной информации.
1.13. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Оператором требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», определяется в соответствии со ст. ст. 15, 151, 152, 1101 Гражданского кодекса Российской Федерации.
1.14. При осуществлении сбора персональных данных с использованием информационно-телекоммуникационных сетей Оператор до начала обработки персональных данных обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
1.15. Условия обработки персональных данных Оператором:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не установлено законодательством РФ;
2) обработка персональных данных необходима для достижения целей, предусмотренных настоящим Положением или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
3) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, в том числе в случае реализации Оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
4) обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
5) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», при условии обязательного обезличивания персональных данных;
6) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
1.16. Оператор на основании договора может поручить обработку персональных данных третьему лицу. Существенным условием такого договора является наличие права у данного лица на обработку персональных данных, обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
1.17. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
1.18. Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Оператором, осуществляется в рамках законодательства Российской Федерации.
2.1. Обработку персональных данных организует руководитель структурного подразделения (специалист), назначенный приказом Организации, далее – куратор ОПД.
2.2. Куратор ОПД:
1) доводит до сведения работников Оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
2) организует обработку персональных данных сотрудниками Оператора;
3) организует прием и обработку обращений и запросов субъектов персональных данных или их представителей.
2.3. Контроль за исполнением сотрудниками Оператора требований законодательства Российской Федерации и положений локальных нормативных актов Оператора при обработке персональных данных возложен на куратора ОПД.
2.4. Обработка ПД также осуществляется:
– Платформа: 1С: Предприятие 8.3:
Конфигурация: Зарплата и управление персоналом, редакция 3.1;
Конфигурация: Бухгалтерия предприятия, редакция 3.0;
– Комплекс программ «АРКУС».
2.5. Обеспечение безопасности ПД, обрабатываемых в информационных системах Оператора, достигается путем исключения несанкционированного, в том числе случайного, доступа к ПД, в том числе:
применение организационных и технических мер по обеспечению безопасности ПД при их обработке в информационных системах Оператора, необходимых для выполнения требований к защите ПД данных;
своевременное обнаружение фактов несанкционированного доступа к ПД и немедленное доведение этой информации до ответственного за организацию обработки ПД;
восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
учет машинных носителей ПД;
обеспечение работоспособного функционирования компьютерной техники с ПД в соответствии с эксплуатационной и технической документацией компьютерной техники и с учетом технических требований информационных систем и средств защиты информации;
недопущение воздействия на технические средства автоматизированной обработки ПД, в результате которого может быть нарушено их функционирование;
контроль за обеспечением безопасности ПД:
при обнаружении нарушений порядка предоставления ПД незамедлительное приостановление предоставления ПД пользователям информационной системы ПД до выявления причин нарушений и устранения этих причин;
разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей ПД, использования средств защиты информации, которые могут привести к нарушению конфиденциальности ПД или другим нарушениям, приводящим к снижению уровня защищенности ПД, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
2.6. Обмен ПД при их обработке в информационных системах Оператора осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
2.7. Доступ сотрудников Оператора к ПД, находящимся в информационных системах Оператора, предусматривает обязательное прохождение процедуры идентификации и аутентификации.
2.8. В случае выявления нарушений порядка обработки ПД в информационных системах Оператора уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.
3.1. Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.
3.2. Оператор обеспечивает права субъектов персональных данных в порядке, установленном главами 3 и 4 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
3.3. Полномочия представителя на представление интересов каждого субъекта персональных данных подтверждаются доверенностью, оформленной в порядке ст. ст. 185 и 185.1 Гражданского кодекса Российской Федерации, ч. 2 ст. 53 Гражданского процессуального кодекса Российской Федерации или удостоверенной нотариально согласно ст. 59 Основ законодательства Российской Федерации о нотариате. Копия доверенности представителя, отснятая с оригинала, хранится Оператором не менее трех лет, а в случае, если срок хранения персональных данных больше трех лет, – не менее срока хранения персональных данных.
3.4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.
3.5. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, допускается только при условии предварительного согласия субъекта персональных данных. Согласие может быть устным или письменным.
Для письменного согласия достаточно простой письменной формы.
Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если Оператор не докажет, что такое согласие было получено.
3.6. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в ч. 1 ст. 15 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
3.7. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами Российской Федерации, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
3.8. Оператор обязан устно, а по письменному требованию субъекта персональных данных или его представителя – письменно, разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
В случае автоматизированной обработки персональных данных различными способами разъяснение готовится отдельно для каждого способа.
3.9. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, по месту своего расположения в рабочее время.
4.1. Цель обработки персональных данных определяет куратор ПД по согласованию с руководителем Оператора. Цель обработки ПД утверждается приказом Оператора.
4.2. На основании заданной цели куратор ОПД определяет задачи, сроки, способы и условия обработки персональных данных, перечень причастных и ответственных лиц. Такие задачи, сроки, способы, условия, лица утверждаются распоряжением Оператора.
4.3. Куратор ОПД обязан:
организовывать принятие правовых, организационных и технических мер для обеспечения защиты ПД, обрабатываемых Оператором, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;
осуществлять внутренний контроль за соблюдением его подчиненными требований законодательства Российской Федерации в области ПД, в том числе требований к защите ПД;
доводить до сведения сотрудников Оператора положения законодательства Российской Федерации в области ПД, локальных актов по вопросам обработки ПД, требований к защите ПД;
организовать прием и обработку обращений и запросов субъектов ПД или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов;
в случае нарушения требований к защите ПД принимать необходимые меры по восстановлению нарушенных прав субъектов ПД.
4.4. Куратор ОПД вправе:
иметь доступ к информации, касающейся порученной ему обработки ПД и включающей:
цели обработки ПД;
категории субъектов, персональные данные которых обрабатываются;
правовые основания обработки ПД;
перечень действий с персональными данными, общее описание используемых у Оператора способов обработки ПД;
описание мер, предусмотренных ст. ст. 18.1 и 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
дату начала обработки ПД;
срок или условия прекращения обработки ПД;
сведения об обеспечении безопасности ПД в соответствии с требованиями к защите ПД, установленными Правительством Российской Федерации;
привлекать к реализации мер, направленных на обеспечение безопасности ПД, иных сотрудников Оператора с возложением на них соответствующих обязанностей и закреплением ответственности.
4.5. В соответствии с поставленными целями и задачами извлечение, использование, передача (распространение, предоставление, доступ) ПД осуществляются только Куратором ОПД.
4.6. Обезличивание, блокирование, удаление, уничтожение персональных данных осуществляются только Куратором ОПД на основании составленных описей и актов, утвержденных руководителем Оператора.
4.7. ОПД ежегодно осуществляется экспертиза ценности дел (документов), содержащих персональные данные, постоянного и временного сроков хранения. По результатам экспертизы ценности документов составляются описи дел постоянного, временного (свыше 10 (десяти) лет) хранения и по личному составу (далее – «описи дел») акты о выделении к уничтожению документов (дел), не подлежащих хранению (включая акты о выделении электронных документов).
4.8. Описи дел и акты о выделении к уничтожению документов (дел), не подлежащих хранению, рассматриваются специально созданной комиссией Оператора или работником, осуществляющим учет документов, содержащих персональные данные, одновременно.
Описи и акты утверждаются руководителем Оператора только после утверждения описей дел постоянного хранения и рассмотрения актов о выделении к уничтожению документов специально созданной комиссией Оператора или работником, осуществляющего учет документов, содержащих персональные данные.
4.9. Документы (дела), не подлежащие хранению и включенные в данные акты, уничтожаются в присутствии специальной комиссии, созданной специально для уничтожения документов.
4.8. По окончании процедуры уничтожения структурным подразделением составляется акт об уничтожении документов, проставляется отметка об их уничтожении, пишется словами или проставляется штамп «Уничтожено. Акт (дата, №)», заверяется подписью членов специальной созданной комиссии или работника, осуществляющего учет документов, содержащих персональные данные.
4.9. Уничтожение выделенных документов на бумажных носителях осуществляется с помощью бумагорезательной машины путем измельчения документов на куски, гарантирующего невозможность восстановления текста.
Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
5.1. Руководитель Оператора:
– оказывает содействие куратору ОПД в выполнении им своих обязанностей;
– организует устранение выявленных нарушений законодательства Российской Федерации, нормативных правовых актов уполномоченного федерального органа исполнительной власти, внутренних документов Оператора, а также причин и условий, способствовавших совершению нарушения.
5.2. Сотрудники Оператора:
– оказывают содействие куратору ОПД в выполнении им своих обязанностей;
– незамедлительно доводят до сведения своего непосредственного руководителя и куратора ОПД (в части его компетенции) сведения о предполагаемых нарушениях законодательства Российской Федерации, в том числе нормативных правовых актов уполномоченного федерального органа исполнительной власти, и внутренних документов Оператора другими сотрудниками Оператора или контрагентами Оператора.
6.1. Срок хранения документов, содержащих ПД, и полученных Оператором от физических лиц, являющихся потребителями электрической энергии и контрагентов, сохраняется в течение всего периода действия договора, и в течение 5 (пяти) лет после его расторжения.
7.1. Лица, нарушающие или не исполняющие требования Положения, привлекаются к дисциплинарной, административной (ст. ст. 5.39, 13.11 – 13.14, ст. 19.7 Кодекса Российской Федерации об административных правонарушениях) или уголовной ответственности (ст. ст. 137, 140, 272 Уголовного кодекса Российской Федерации).