ПОЛИТИКА

в отношении обработки персональных данных

в ООО «Специализированный застройщик «ТОЛК»

 

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) определяет общие принципы и порядок обработки персональных данных (далее также – ПД) и меры по обеспечению их безопасности в ООО «Специализированный застройщик ТОЛК» (ОГРН 1237200021651, ИНН 7203567091) (далее – Общество).

1.2. Целью Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его ПД, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, четкое и неукоснительное соблюдение требований законодательства Российской Федерации в области ПД.

1.3. Политика разработана с учетом требований Конституции Российской Федерации, в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон                       № 152-ФЗ), Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», другими нормативно-правовыми актами, определяющими порядок и условия обработки ПД.

1.2. Основные понятия, используемые в Политике:

 1.2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

 1.2.2. Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:

- сбор;

- запись;

- систематизацию;

- накопление;

- хранение;

- уточнение (обновление, изменение);

- извлечение;

- использование;

- передачу (предоставление, доступ);

- блокирование;

- удаление;

- уничтожение.

 1.2.3. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

 1.2.4. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

 1.2.5. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

 1.2.6. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

 1.2.7. Оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

В части настоящей Политики оператором ПД является Общество.

1.3. Общество при получении доступа к ПД обязано соблюдать конфиденциальность ПД - не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта ПД, если иное не предусмотрено законом.

1.4. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

9.1) информацию о способах исполнения оператором обязанностей, установленных статьей 18.1  Федерального закона № 152-ФЗ;

10) иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими нормативно-правовыми актами.

1.5. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

1.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

1.7. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона № 152-ФЗ.

1.10. Правовыми основаниями обработки ПД являются:

- федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью Общества;

- договоры, заключаемые между Обществом и субъектами ПД;

- согласие субъекта ПД на обработку ПД.

 

2. Принципы обработки персональных данных

2.1. Обработка ПД Обществом осуществляется в соответствии со следующими принципами:

2.1.1. Законность и справедливая основа обработки ПД. Общество принимает все необходимые меры по выполнению требований законодательства, не обрабатывает ПД в случаях, когда это не допускается законодательством и не требуется для достижения определенных Обществом целей, не использует ПД во вред субъектам ПД.

2.1.2. Ограничение обработки ПД достижением конкретных, заранее определённых и законных целей.

2.1.3. Обработка только тех ПД, которые отвечают заранее объявленным целям их обработки; соответствие содержания и объёма обрабатываемых ПД заявленным целям обработки; недопущение обработки ПД, не совместимой с целями сбора ПД, а также избыточных по отношению к заявленным целям обработки ПД. Общество не собирает и не обрабатывает ПД, не требующиеся для достижения целей, указанных настоящей Политике, не использует ПД субъектов в каких-либо целях, кроме указанных.

2.1.4. Недопущение объединения баз данных, содержащих ПД, обработка которых осуществляется в целях, не совместимых между собой.

2.1.5. Обеспечение точности, достаточности и актуальности ПД по отношению к целям обработки ПД. Общество принимает все разумные меры по поддержке актуальности обрабатываемых ПД, включая (без ограничения) реализацию права каждого субъекта получать для ознакомления свои ПД и требовать от Общества их уточнения, блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными или не являются необходимыми для заявленных выше целей обработки без объяснения причин такого требования.

2.1.6. Хранение ПД в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки ПД, если срок хранения ПД не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД.

2.1.7. Уничтожение ПД по достижении заявленных целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Обществом допущенных нарушений установленного законодательством порядка обработки ПД, отзыве согласия на обработку субъектом ПД, истечении срока обработки ПД, установленных согласием на обработку ПД, если иное не предусмотрено законодательством.

 

3. Цели обработки персональных данных

3.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3.3. Цели обработки ПД:

- заключение сделок и исполнение обязательств, вытекающих из договорных и иных гражданско-правовых отношений;

- обеспечение пропускного и внутриобъектового режимов на объектах Общества;

- выполнение предусмотренных законодательством Российской Федерации прав и обязанностей работодателя, включая привлечение, отбор кандидатов на работу, заключение трудовых договоров с работниками;

- осуществление и исполнение функций, полномочий и обязанностей, возложенных на Общество законодательством Российской Федерации.

 

4. Порядок и условия обработки персональных данных

4.1. Общество осуществляет:

-  неавтоматизированную обработку ПД;

- автоматизированную обработку ПД с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

- смешанную обработку ПД.

4.2. Обработка ПД может включать в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение.

4.3. Обработка ПД Обществом допускается в следующих случаях:

4.3.1. С согласия субъекта ПД на обработку его ПД.

4.3.2. Обработка ПД необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

4.3.3. Обработка ПД необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД, а также для заключения договора по инициативе субъекта ПД или договора, по которому субъект ПД будет являться выгодоприобретателем или поручителем.

4.3.4. Обработка ПД необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПД.

4.4. Общество не раскрывает третьим лицам ПД без согласия субъекта ПД, если иное не предусмотрено законодательством.

4.5. Общество осуществляет распространение ПД на основании отдельного согласия субъекта ПДн. Согласие на обработку ПД, разрешенных субъектом ПД для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его ПД.

4.6. Органам государственной власти, включая органы дознания и следствия, Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Фонд социального страхования и другие уполномоченные органы исполнительной власти ПД предоставляются (передаются) в соответствии с требованиями законодательства Российской Федерации.

4.7. Общество осуществляет обработку биометрических ПД на основании согласия субъекта ПД в письменной форме, в соответствии с действующим законодательством, при условии выполнения требований статьи 11 Федерального закона № 152-ФЗ.

4.8. При сборе ПД, в том числе, посредством информационно-телекоммуникационной сети «Интернет», Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД с использованием баз данных, находящихся на территории Общества (в Российской Федерации).

4.9. Общество не осуществляет трансграничную передачу ПД.

4.10. Уничтожение ПД должно исключать возможность их восстановления программными или физическими методами. Подтверждение факта уничтожения персональных данных осуществляется в соответствии с требованиями, установленными Роскомнадзором.

 

5. Конфиденциальность персональных данных

5.1. Работниками Общества, получившими доступ к ПД, должна быть обеспечена конфиденциальность таких данных.

5.2. Общество вправе с согласия субъекта поручить обработку ПД другому лицу, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора, предусматривающего в качестве существенного условия обязанность лица, осуществляющего обработку ПД по поручению Общества, соблюдать принципы, правила обработки ПД и требования к обработке, предусмотренные законодательством. В поручении оператора должны быть выполнены все требования, предусмотренные частью 3 статьи 6 Федерального закона № 152-ФЗ.

 

6. Согласие субъекта персональных данных на обработку своих персональных данных

6.1. Субъект ПД принимает решение о предоставлении своих ПД Обществу и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПД должно быть конкретным, предметным, информированным, сознательным и однозначным и может предоставляться субъектом в любой позволяющей подтвердить факт его получения форме, если иное не установлено законодательством.

6.2. В случаях, предусмотренных законом, обработка ПД осуществляется только с согласия в письменной форме субъекта ПД. Равнозначным содержащему собственноручную подпись субъекта ПД согласию в письменной форме на бумажном носителе является согласие в форме электронного документа, в том числе подписанного электронной подписью в соответствии с законодательством об электронной подписи.

6.3. Согласие субъектов на предоставление их ПД не требуется при получении Обществом, в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов следствия и дознания, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства, и иных органов, уполномоченных запрашивать информацию в соответствии с компетенцией, предусмотренной законодательством.

 

7. Сведения о принимаемых мерах для защиты персональных данных

7.1. Безопасность ПД, обрабатываемых Обществом, обеспечивается принятием правовых, организационных и технических мер, необходимых и достаточных для обеспечения требований законодательства в области защиты ПД.

7.2. Правовые меры, принимаемые Обществом, включают:

- разработку локальных нормативных актов Общества, реализующих требования законодательства, в том числе Политики и Положения об обработке и обеспечении безопасности ПД в Обществе;

- отказ от любых способов обработки ПД, не соответствующих определенным в Политике целям и требованиям законодательства.

7.3. Организационные меры, принимаемые Обществом, включают:

- назначение лица, ответственного за организацию обработки ПД;

- ограничение состава работников Общества, имеющих доступ к ПД, и организацию разрешительной системы доступа к ним;

- ознакомление работников Общества, непосредственно осуществляющих обработку ПД, с положениями законодательства о ПД, в том числе с требованиями к защите ПД, с Политикой, другими локальными актами Общества по вопросам обработки ПД;

- обучение всех категорий работников Общества, непосредственно осуществляющих обработку ПД, правилам работы с ними и обеспечения безопасности обрабатываемых ПД;

- определение в должностных инструкциях работников Общества обязанностей по обеспечению безопасности обработки ПД и ответственности за нарушение установленного порядка;

- регламентацию процессов обработки ПД;

- организацию учёта материальных носителей ПД и их хранения, обеспечивающих предотвращение хищения, подмены, несанкционированного копирования и уничтожения;

- определение типа угроз безопасности ПД, актуальных для информационных систем ПД, с учетом оценки возможного вреда субъектам ПД, который может быть причинен в случае нарушения требований безопасности, определение уровня защищенности ПД и требований к защите ПД при их обработке в информационных системах, исполнение которых обеспечивает установленные уровни защищенности ПД;

- размещение технических средств обработки ПД в пределах охраняемой территории;

- ограничение допуска посторонних лиц в помещения Общества, недопущение их нахождения в помещениях, где ведется работа с ПД и размещаются технические средства их обработки, без контроля со стороны работников Общества.

7.4. Технические меры, принимаемые Обществом, включают:

- реализацию разрешительной системы доступа работников к ПД, обрабатываемым в информационных системах, и к программно-аппаратным и программным средствам защиты информации;

- выявление вредоносного программного обеспечения (применение антивирусных программ) в узлах информационной сети Общества, обеспечивающих соответствующую техническую возможность;

- безопасное межсетевое взаимодействие (применение межсетевого экранирования);

- идентификацию и проверку подлинности пользователя (аутентификацию) при входе в информационную систему;

- контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации;

- защита сетевых устройств и каналов связи, по которым осуществляется передача ПД;

- восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (создание системы резервного копирования и восстановления ПД).

 

8. Заключительные положения

8.1. Иные обязанности и права Общества как оператора ПД и лица, организующего их обработку по поручению других операторов, определяются законодательством Российской Федерации в области ПД.

8.2. Должностные лица и работники Общества, виновные в нарушении норм, регулирующих обработку и защиту ПД, несут материальную, дисциплинарную, административную, гражданско- правовую и уголовную ответственность в соответствии с законодательством РФ.