Политика конфиденциальности

УТВЕРЖДЕНО

Приказом Генерального директора

ООО «УК «ПРЕМЬЕР»

№38 от 26 апреля 2019г.

ПОЛОЖЕНИЕ

об обработке и обеспечения безопасности персональных данных

собственников помещений в многоквартирном доме,

находящегося в управлении ООО «УК «ПРЕМЬЕР»

1. Общие положения

1.1. Настоящее Положение в отношении обработки персональных
данных (далее – Положение) действует в отношении всех персональных данных
(далее - ПД), которые ООО «УК «ПРЕМЬЕР» (далее – Оператор) может получить
от собственника (представителя собственника), состоящего в договорных и иных
гражданско-правовых отношениях с Управляющей организацией (далее-
Субъект персональных данных).
1.2. Целью настоящего Положения является соблюдение прав субъектов
персональных данных при обработке ПД Оператором, в том числе защиты прав
на неприкосновенность частной жизни, личную и семейную тайну в связи с
необходимостью получения, сбора, систематизации, анализа, хранения,
обработки (в.ч. автоматизированную) и при необходимости передачи (в т.ч.
трансграничную) в определенных настоящим Положением пределах сведений,
составляющих ПД для достижения законных целей деятельности Оператора.
1.3. В настоящем Положении используются следующие основные
понятия:
- персональные данные Собственника – любая информация, относящаяся к
конкретному Собственнику (субъекту персональных данных), предоставленная
им добровольно в связи с целью деятельности Оператора и оказания услуг/ работ
Субъекту персональных данных в рамках действующего законодательства РФ и
договора управления многоквартирным домом, в том числе:
- фамилия, имя, отчество, образец подписи, пол, дата и место рождения;
- адрес регистрации по месту жительства и адрес фактического проживания;
- серия, номер и остальные реквизиты основного документа,
удостоверяющего личность, в том числе сведения о выдаче
указанного документа и выдавшем его органе;
- сведения о регистрации права собственности в Едином государственном
реестре прав на недвижимое имущество (ином уполномоченном органе) в
полном объёме сведений, предоставляемых таким органом, а равно об иных
правах на пользование помещением, в том числе о его площади, количестве
проживающих, зарегистрированных и временно пребывающих;
- иные персональные данные, которые необходимы Оператору для
исполнения договора управления и других договоров;
- обработка персональных данных - любое действие (операция) или
совокупность действий (операций), совершаемых с использованием средств
автоматизации или без использования таких средств с персональными данными,
включая сбор, запись, систематизацию, накопление, хранение, уточнение
(обновление, изменение), извлечение, использование, передачу
(распространение, предоставление, доступ), обезличивание, блокирование,
удаление, уничтожение персональных данных;
-автоматизированная обработка персональных данных - обработка
персональных данных с помощью средств вычислительной техники;
- распространение персональных данных - действия, направленные на
раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных - действия, направленные на
раскрытие персональных данных определенному лицу или определенному кругу
лиц;
- блокирование персональных данных - временное прекращение обработки
персональных данных (за исключением случаев, если обработка необходима для
уточнения персональных данных);
- уничтожение персональных данных - действия, в результате которых
становится невозможным восстановить содержание персональных данных в
информационной системе персональных данных и (или) в результате которых
уничтожаются материальные носители персональных данных;
- обезличивание персональных данных - действия, в результате которых
становится невозможным без использования дополнительной информации
определить принадлежность персональных данных конкретному субъекту
персональных данных;
- информационная система персональных данных - совокупность
содержащихся в базах данных персональных данных и обеспечивающих их
обработку информационных технологий и технических средств;
1.4. Настоящее Положение разработано в соответствии с Конституцией
РФ, Федеральным законом от 27.07.2006г. №149-ФЗ «Об информации,
информационных технологиях и о защите информации», Федеральным законом
от 27.07.2006г. №152-ФЗ «О персональных данных», Постановлением
Правительства РФ от 01.11.2012г. №1119 «Об утверждении требований к защите
персональных данных при их обработке в информационных системах
персональных данных» и иными нормативно-правовыми актами в области
защиты ПД, действующими на территории Российской Федерации.
1.5. Настоящее Положение обязательно к исполнению всеми
сотрудниками Оператора, имеющими доступ к ПД субъекта персональных
данных, описывает основные цели, принципы обработки и требования к
безопасности ПД Оператором.
1.6. Все изменения в Положение вносятся приказом

2. Основные принципы обработки персональных данных

2.1. Обработка ПД Оператором осуществляется на основе принципов:
– обработка ПД субъекта персональных данных осуществляется
исключительно для обеспечения соблюдения федеральных законов и иных
нормативных правовых актов, соответствия целям, заранее определенным и
заявленным при сборе ПД;
– объем и содержание обрабатываемых ПД, способы обработки ПД
соответствуют требованиям федерального законодательства, а также другим
нормативным актам и целям обработки ПД. Не допускается обработка ПД,
избыточных по отношению к целям, заявленным при сборе ПД;
– персональные данные Оператор получает только у самого субъекта
персональных данных (или его законного представителя);
– при обработке ПД обеспечивается точность, их достаточность, а в
необходимых случаях актуальность по отношению к целям обработки ПД.
Оператором принимаются необходимые меры по уничтожению (удалению) либо
уточнению неполных или неточных данных.

3. Условия обработки персональных данных

3.1. Порядок работы с ПД регламентирован действующим
законодательством Российской Федерации и настоящим Положением.
3.2. Обработка ПД Оператором осуществляется путем сбора,
систематизации, анализа, хранения, уточнения (обновления, изменения),
использования, передачи, обезличивания, уничтожения персональных данных,
исключительно для обеспечения соблюдения федерального законодательства и
иных нормативных правовых актов, соответствия целям, заранее определенным
и заявленным при сборе ПД, учета результатов выполнения договорных и иных
гражданско-правовых обязательств с субъектом ПД.
При этом используется автоматизированный и неавтоматизированный
способ обработки ПД.
3.3. ПД обрабатываются и передаются Оператором в целях исполнения
договорных и иных гражданско-правовых отношений при осуществлении
Оператором хозяйственной деятельности, повышения оперативности и качества
обслуживания субъекта персональных данных, в том числе:
– регистрации и обработки сведений, необходимых для начисления
жилищно-коммунальных платежей, платежей за капитальный ремонт и иных
обязательных и договорных платежей;
– регистрации обращений, жалоб, заявлений граждан, сбора,
систематизации, обработки и хранения информации о собственниках помещений,
потребителях жилищно-коммунальных услуг, временных жильцах
многоквартирного дома, фактически проживающих в таком доме;
– обеспечения получения субсидий на содержание и ремонт общего
имущества;
– получения предоставленных льгот физическим лицам по оплате
жилищно-коммунальных услуг;
– передачи информации в государственные и иные уполномоченные
органы Российской Федерации в порядке, предусмотренным действующим
законодательством;
– а также в иных целях, необходимых для осуществления Оператором
возложенных на него обязанностей в рамках договора управления, одной из
сторон которого является субъект персональных данных.
3.4. Передача ПД третьим лицам осуществляется только в соответствии с
действующим законодательством Российской Федерации , в том числе с
использованием защищенных телекоммуникационных каналов связи.
3.5. Сроки хранения документов, содержащих ПД субъектов, определяются
в соответствии со сроком действия договора с субъектом персональных данных,
Федеральным законом РФ «Об архивном деле в Российской Федерации» № 125-
ФЗ от 22.10.2004г., сроком исковой давности, а также иными требованиями
законодательства РФ.
По истечении сроков хранения таких документов они подлежат уничтожению.
3.6. С целью защиты ПД при их обработке в информационных системах
персональных данных от неправомерного или случайного доступа к ним,
уничтожения, изменения, блокирования, копирования, предоставления,
распространения, а также от иных неправомерных действий с ними Оператором
применяются организационные и технические меры.
3.7. Все меры конфиденциальности при сборе, обработке и хранении ПД
субъекта распространяются как на бумажные, так и на электронные
(автоматизированные) носители информации.
3.8. Не допускается отвечать на вопросы, связанные с передачей
персональной информации, по телефону или факсу.
3.9. По возможности ПД обезличиваются.

4. Основные мероприятия по обеспечению безопасности обработки

персональных данных

4.1. Под угрозой или опасностью утраты персональных данных понимается
единичное или комплексное, реальное или потенциальное, активное или
пассивное проявление злоумышленных возможностей внешних или внутренних
источников угрозы создавать неблагоприятные события, оказывать
дестабилизирующее воздействие на защищаемую информацию.
Риск угрозы любым информационным ресурсам создают стихийные бедствия,
экстремальные ситуации, террористические действия, аварии технических
средств и линий связи, другие объективные обстоятельства, а также
заинтересованные и незаинтересованные в возникновении угрозы лица.
4.2. Для защиты ПД создаются целенаправленные неблагоприятные
условия и труднопреодолимые препятствия для лица, пытающегося совершить
несанкционированный доступ и овладение информацией.
Целью и результатом несанкционированного доступа к информационным
ресурсам может быть не только овладение ценными сведениями и их
использование, но и их видоизменение, уничтожение, внесение вируса, подмена,
фальсификация содержания реквизитов документа и др.
4.3. Под посторонним лицом понимается любое лицо, не имеющее
непосредственного отношения к деятельности компании, посетители, работники
других организационных структур.
4.4. Для защиты ПД при их обработке Оператором применяются
следующие организационные и технические меры:
-доступ к ПД предоставляется только тем сотрудникам Оператора, на
которых возложена обязанность по их обработке. Указанные лица имеют право
на обработку только тех ПД, которые необходимы им для выполнения
конкретных функций, связанных с исполнением должностных обязанностей;
-обработка ПД ведется сотрудниками Оператора на рабочих местах,
выделенных для исполнения ими должностных обязанностей;
-конфиденциальная информация, содержащая ПД субъектов персональных
данных, проходит процедуру уничтожения в соответствии с законодательством
Российской Федерации;
- проводится ознакомление работников Оператора, непосредственно
осуществляющих обработку ПД либо имеющих к ним доступ в силу своих
должностных обязанностей, с положениями законодательства Российской
Федерации , требованиями к защите ПД;
-своевременно выявляются и предотвращаются нарушения требований
законодательства РФ в области обработки ПД, устраняются последствия таких
нарушений;
-проводится контроль за принимаемыми мерами по обеспечению
безопасности ПД при их обработке, а также проводится контроль соответствия
обработки ПД требованиям Федерального закона «О персональных данных» №
152-ФЗ от 27.07.2006 г.
4.5. В качестве технических мер защиты ПД Оператором должны
применяться:
- антивирусная защита;
- межсетевые экраны;
- разграничение прав доступа (пароли).

5. Порядок предоставления информации, содержащей

персональные данные

5.1. Сторонние организации имеют право доступа к ПД субъектов
персональных данных только, если они наделены необходимыми полномочиями
в соответствии с законодательством Российской Федерации , либо на основании
договоров с Оператором, заключенных в связи с требованиями законодательства
Российской Федерации .
Основанием для сотрудника Оператора в целях предоставления
информации о ПД субъектов служит резолюция генерального директора
Управляющей Компании на соответствующем запросе, либо факт подписания
соглашения (договора) об информационном обмене.
В соглашение (договор) об информационном обмене включается условие о
неразглашении сведений, составляющих ПД субъектов, а также служебной
информации, ставшей известной в ходе выполнения работ, если для их
выполнения предусмотрено использование таких сведений.
5.2. При передаче ПД субъектов Оператор и уполномоченные им
должностные лица соблюдают следующие требования:
– не сообщают ПД третьей стороне без письменного согласия субъекта, за
исключением случаев, когда это необходимо в целях предупреждения угрозы
жизни и здоровью субъекта, а также в случаях, установленных федеральным
законодательством;
– предупреждают лиц, получающих ПД, о том, что эти данные могут быть
использованы только в целях, для которых они сообщены, и требуют от этих лиц
подтверждения соблюдения этого условия, за исключением случаев,
установленных федеральным законодательством;
– не отвечают на вопросы, связанные с предоставлением персональной
информации, любым третьим лицам без законных оснований (письменного
запроса);
– ведут учет передачи персональных данных субъектов по поступившим
Оператору запросам субъектов.
5.3. При поступлении запроса от уполномоченного органа по защите прав
субъектов персональных данных (Роскомнадзор) Оператор обязан сообщить
информацию, необходимую для осуществления деятельности указанного органа,
в течение семи рабочих дней с даты получения такого запроса.
5.4. В случае выявления недостоверных ПД или неправомерных действий
с ними по запросу уполномоченного органа по защите прав субъектов
персональных данных Оператор обязан осуществить блокирование
неправомерно обрабатываемых ПД, относящихся к этому субъекту
персональных данных, или обеспечить их блокирование (если обработка
персональных данных осуществляется другим лицом, действующим по
поручению Оператора) с момента такого обращения или получения указанного
запроса на период проверки. В случае выявления неточных ПД по запросу
уполномоченного органа по защите прав субъектов персональных данных
Оператор обязан осуществить блокирование ПД, относящихся к этому субъекту
персональных данных, или обеспечить их блокирование (если обработка ПД
осуществляется другим лицом, действующим по поручению Оператора) с
момента получения указанного запроса на период проверки, если блокирование
ПД не нарушает права и законные интересы субъекта персональных данных или
третьих лиц.
В случае подтверждения факта неточности ПД Оператора на основании
сведений, представленных уполномоченным органом по защите прав субъектов
персональных данных, или иных необходимых документов обязан уточнить
персональные данные либо обеспечить их уточнение (если обработка
персональных данных осуществляется другим лицом, действующим по
поручению Организации) в течении семи рабочих дней со дня представления
таких сведений и снять блокирование персональных данных.
В случае выявления неправомерной обработки ПД, осуществляемой
Оператором или лицом, действующим по поручению Оператора , в срок, не
превышающий трех рабочих дней с даты этого выявления, Оператор обязан
прекратить неправомерную обработку ПД или обеспечить прекращение
неправомерной обработки ПД лицом, действующим по поручению Оператора. В
случае, если обеспечить правомерность обработки ПД невозможно, Оператор в
срок, не превышающий десяти рабочих дней с даты выявления неправомерной
обработки ПД, обязан уничтожить такие ПД или обеспечить их уничтожение. Об
устранении допущенных нарушений или об уничтожении ПД Оператор обязан
уведомить по запросу Роскомнадзор.
5.5. При проведении контрольно-надзорных мероприятий в отношении
Оператора контрольно-надзорными органами, не осуществляющими контроль и
надзор в сфере обработки персональных данных, представители вышеуказанных
контрольно-надзорных органов имеют право на доступ к персональным данным
только в сфере своей компетенции и в пределах своих полномочий в соответствии
с законодательством Российской Федерации.

6. Ответственность за нарушение требований, регулирующих получение,

обработку и хранение персональных данных

6.1. Должностные лица Оператора, обрабатывающие персональные
данные, несут ответственность в соответствии с действующим
законодательством РФ за нарушение режима защиты, обработки и порядка
использования этой информации.
6.2. Лица, виновные в нарушении норм, регулирующих получение,
обработку и защиту ПД, несут ответственность в соответствии с действующим
законодательством РФ.

7. Заключительные положения

7.1. Настоящее Положение вступает в силу с момента ее утверждения
генеральным директором Оператора.
7.2. Настоящее Положение подлежит корректировке в случае изменения
законодательства РФ, регулирующих органов в области защиты персональных
данных, внутренних документов Оператора в области защиты конфиденциальной
информации. При внесении изменений в заголовке Положения указывается
номер версии и дата последнего обновления редакции. Новая редакция
Положения вступает в силу с момента ее утверждения генеральным директором
Оператора.
7.3. В случае изменения законодательства Российской Федерации в
области защиты ПД, нормы Положения, противоречащие законодательству
Российской Федерации , не применяются до приведения их в соответствие.