Персональные данные

Политика в отношении обработки персональных данных

1. Общие положения

1.1. Политика в отношении обработки персональных данных в АО «РЭУ 21 района Измайлово» (далее — Политика) направлена на защиту прав и свобод физических лиц при обработке их персональных данных в АО «РЭУ 21 района Измайлово»;

1.2. Политика разработана в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных»);

1.3. Политика содержит сведения, подлежащие раскрытию в соответствии с ч. 1 ст. 14 ФЗ «О персональных данных», и является общедоступным документом.

2. Сведения об операторе

2.1. АО «РЭУ 21 района Измайлово» является оператором персональных данных;

2.2. АО «РЭУ 21 района Измайлово» ведет свою деятельность по адресу: 105043, г. Москва, улица Парковая 3-я, дом 22, 2 этаж, помещение I, комната 11;

2.3. Генеральный директор Парадизова Наталия Владимировна (телефон +7(499)367-51-72, электронная почта: mail@reu21.ru) назначен ответственным за организацию обработки персональных данных в АО «РЭУ 21 района Измайлово».

3. Сведения об обработке персональных данных

3.1. Обработка персональных данных в АО «РЭУ 21 района Измайлово» осуществляется на законной и справедливой основе для осуществления и выполнения возложенных законодательством функций, полномочий и обязанностей, осуществления прав и законных интересов АО «РЭУ 21 района Измайлово», работников АО «РЭУ 21 района Измайлово» и третьих лиц;

3.2. АО «РЭУ 21 района Измайлово» получает персональные данные непосредственно у субъектов персональных данных;

3.3. Обработка персональных данных в АО «РЭУ 21 района Измайлово» ведётся автоматизированным и не автоматизированным способами, с использованием средств вычислительной техники и без использования таких средств;

3.4. Действия по обработке персональных данных включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.

4. Обработка персональных данных работников

4.1. В АО «РЭУ 21 района Измайлово» осуществляется обработка персональных данных работников АО «РЭУ 21 района Измайлово» в рамках правоотношений, урегулированных Трудовым Кодексом Российской Федерации от 30 декабря 2001 г. № 197-ФЗ (далее — ТК РФ);

4.2. Обработка персональных данных работников осуществляется в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы и обеспечения сохранности имущества в соответствии с ч. 1 ст. 86 ТК РФ;

4.3. Обработка персональных данных работников осуществляется с их письменного согласия, предоставляемого на срок действия трудового договора;

4.4. Обработка персональных данных работников осуществляется в течение срока действия трудового договора. Обработка персональных данных уволенных работников осуществляется в течение срока, установленного п. 5 ч. 3 ст. 24 части первой Налогового Кодекса Российской Федерации от 31 июля 1998 г. № 146-ФЗ, ч. 1 ст. 29 Федерального закона «О бухгалтерском учёте» от 6 декабря 2011 г. № 402-ФЗ и иными нормативными правовыми актами;

4.5. В АО «РЭУ 21 района Измайлово» может осуществляться обработка специальных категорий персональных данных работников (сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения ими трудовых функций) на основании п. 2.3 ч. 2 ст. 10 ФЗ «О персональных данных»;

4.6. В АО «РЭУ 21 района Измайлово» не осуществляется обработка биометрических персональных данных работников;

4.7. Осуществляется обработка следующих персональных данных работников:

— фамилия, имя, отчество;

— тип, серия и номер документа, удостоверяющего личность;

— дата выдачи документа, удостоверяющего личность, и выдавшем его органе;

— дата рождения;

— место рождения;

— адрес места жительства;

— почтовый адрес;

— мобильный телефон;

— идентификационный номер налогоплательщика;

— номер страхового свидетельства государственного пенсионного страхования;

— табельный номер;

— должность.

4.8. В порядке, установленном законодательством, и в соответствии со ст. 7 ФЗ «О персональных данных» для достижения целей обработки персональных данных и с согласия работников АО «РЭУ 21 района Измайлово» предоставляет персональные данные работников или поручает их обработку следующим лицам:

 — государственные органы (ПФР, ФНС, ФСС и др.);

 — банк (в рамках зарплатного проекта).

5. Обработка персональных данных клиентов

5.1. В АО «РЭУ 21 района Измайлово» осуществляется обработка персональных данных физических лиц в рамках правоотношений с АО «РЭУ 21 района Измайлово», урегулированных частью второй Гражданского Кодекса Российской Федерации от 26 января 1996 г. № 14-ФЗ, (далее — клиентов);

5.2. Обработка персональных данных клиентов осуществляется в целях исполнения заключенных с ними договоров;

5.3. Обработка персональных данных клиентов осуществляется с их согласия, предоставляемого на срок действия заключенных с ними договоров. Согласие предоставляется при заключении договора в письменной форме или при совершении конклюдентных действий;

5.4. Обработка персональных данных клиентов осуществляется в течение сроков действия заключенных с ними договоров. Обработка персональных данных клиентов после окончания сроков действия заключенных с ними договоров может осуществляться в течение срока, установленного п. 5 ч. 3 ст. 24 части первой НК РФ, ч. 1 ст. 29 ФЗ «О бухгалтерском учёте» и иными нормативными правовыми актами.

5.5. Осуществляется обработка следующих персональных данных клиентов:

 — фамилия, имя, отчество;

 — мобильный телефон;

 — адрес электронной почты;

 — сведения об оказанных услугах;

 — сведения об организации.

6. Сведения об обеспечении безопасности персональных данных

6.1. Для обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, в АО «РЭУ 21 района Измайлово» назначается ответственный за организацию обработки персональных данных;

6.2. Для обеспечения конфиденциальности персональных данных и их защиты от неправомерных действий в АО «РЭУ 21 района Измайлово» применяется комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных:

— обеспечивается неограниченный доступ к Политике, копия которой размещена по адресу нахождения АО «РЭУ 21 района Измайлово»;

— во исполнение Политики утверждается и приводится в действие Положение об обработке персональных данных (далее — Положение) и иные локальные акты;

— производится ознакомление работников АО «РЭУ 21 района Измайлово» с положениями законодательства о персональных данных, а также с Политикой и Положением;

— осуществляется допуск работников к персональным данным, обрабатываемым в информационной системе АО «РЭУ 21 района Измайлово», а также к их материальным носителям только для выполнения трудовых обязанностей;

— устанавливаются правила доступа к персональным данным, обрабатываемым в информационной системе АО «РЭУ 21 района Измайлово», а также обеспечивается регистрация и учет всех действий с ними;

— производится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных»;

— производится определение угроз безопасности персональных данных при их обработке в информационной системе АО «РЭУ 21 района Измайлово»;

— применяются организационные и технические меры и используются средства защиты информации, необходимые для достижения установленного уровня защищенности персональных данных;

— осуществляется обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по реагированию, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

— производится оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы АО «РЭУ 21 района Измайлово»;

— осуществляется внутренний контроль соответствия обработки персональных данных ФЗ «О персональных данных», принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике, Положению и иным локальным актам, включающий контроль за принимаемыми мерами по обеспечению безопасности персональных данных и их уровня защищенности при обработке в информационной системе АО «РЭУ 21 района Измайлово».

7. Права субъектов персональных данных

7.1. Субъект персональных данных имеет право:

— на получение персональных данных, относящихся к данному субъекту, и информации, касающейся их обработки;

— на уточнение, блокирование или уничтожение его персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

— на отзыв данного им согласия на обработку персональных данных;

— на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке;

— на обжалование действий или бездействия АО «РЭУ 21 района Измайлово» в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

7.2. Для реализации своих прав и законных интересов субъекты персональных данных имеют право обратиться в АО «РЭУ 21 района Измайлово» либо направить запрос лично или с помощью представителя. Запрос должен содержать сведения, указанные в ч. 3 ст. 14 ФЗ «О персональных данных».

Оригинал документа: скачать

Положение об обработке персональных данных

1. Общие положения

1.1. Положение об обработке персональных данных в АО «РЭУ 21 района Измайлово» (далее — Положение) определяет условия и порядок обработки персональных данных в АО «РЭУ 21 района Измайлово»;

1.2. Положение разработано во исполнение Политики в отношении обработки персональных данных в АО «РЭУ 21 района Измайлово» (далее — Политика) и в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных»), а также следующими нормативными правовыми актами:

 — часть вторая Гражданского Кодекса Российской Федерации от 26 января 1996 г. № 14-ФЗ (далее — часть вторая ГК РФ);

 — Трудовой Кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ (далее — ТК РФ);

 — часть первая Налогового Кодекса Российской Федерации от 31 июля 1998 г. № 146-ФЗ (далее — часть первая НК РФ);

 — Федеральный закон «О бухгалтерском учёте» от 6 декабря 2011 г. № 402-ФЗ (далее — ФЗ «О бухгалтерском учёте»);

 — постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

 — постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

2. Организация обработки персональных данных

2.1. В целях обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, в АО «РЭУ 21 района Измайлово» назначается ответственный за организацию обработки персональных данных (далее — Ответственный);

2.2. Ответственный обязан:

 — обеспечивать утверждение, приведение в действие, а также обновление в случае необходимости Политики, Положения и иных локальных актов по вопросам обработки персональных данных;

 — обеспечить неограниченный доступа к Политике, копия которой размещается по адресу нахождения АО «РЭУ 21 района Измайлово»;

 — проводить оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы АО «РЭУ 21 района Измайлово»;

 — ежегодно проводить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных»;

 — ежегодно осуществлять внутренний контроль за соблюдением АО «РЭУ 21 района Измайлово» и его работниками законодательства о персональных данных, Политики, Положения и иных локальных актов по вопросам обработки персональных данных, в том числе требований к защите персональных данных (далее — Нормативные акты);

 — доводить до работников под роспись положения Нормативных актов при приёме их в АО «РЭУ 21 района Измайлово», а также по собственной инициативе;

 — осуществлять допуск работников к персональным данным, обрабатываемым в информационной системе АО «РЭУ 21 района Измайлово», а также к их материальным носителям только для выполнения трудовых обязанностей;

 — организовывать и контролировать приём и обработку обращений и запросов субъектов персональных данных, обеспечивать осуществление их прав;

 — обеспечивать взаимодействие с уполномоченным органом по защите прав субъектов персональных данных (далее — Роскомнадзор).

3. Обеспечение безопасности персональных данных

3.1. Работники, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять их без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;

3.2. В целях защиты персональных данных от неправомерных действий (в частности, неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения) в АО «РЭУ 21 района Измайлово» применяется комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных, составляющий систему защиты персональных данных;

3.3. Применение комплекса мер по обеспечению безопасности персональных данных обеспечивает установленный уровень защищенности персональных данных при их обработке в информационной системе АО «РЭУ 21 района Измайлово»;

3.4. В целях обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, в АО «РЭУ 21 района Измайлово» назначается ответственный за обеспечение безопасности персональных данных в информационной системе;

3.5. Ответственный за обеспечение безопасности персональных данных в информационной системе обязан:

— ежегодно выполнять определение угроз безопасности персональных данных при их обработке в информационной системе АО «РЭУ 21 района Измайлово»;

 — обеспечивать реализацию организационных и технических мер по обеспечению безопасности персональных данных и применение средств защиты информации, необходимых для достижения установленного уровня защищенности персональных данных при обработке в информационной системе АО «РЭУ 21 района Измайлово»;

 — устанавливать правила доступа к персональным данным, обрабатываемым в информационной системе АО «РЭУ 21 района Измайлово», а также обеспечивать регистрацию и учет всех действий с ними;

 — организовывать обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по реагированию, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

 — ежегодно осуществлять внутренний контроль за обеспечением установленного уровня защищённости персональных данных при обработке в информационной системе АО «РЭУ 21 района Измайлово».

4. Осуществление прав субъектов персональных данных

4.1. При обращении субъекта персональных данных или при получении его запроса (далее — Обращение) Ответственный обеспечивает предоставление субъекту персональных данных информации о наличии относящихся к нему персональных данных, а также возможности ознакомления с этими персональными данными в течение 30 дней с даты Обращения;

4.2. При наличии законных оснований для отказа в предоставлении субъекту персональных данных информации о наличии относящихся к нему персональных данных, а также возможности ознакомления с этими персональными данными Ответственный обеспечивает направление субъекту персональных данных мотивированного ответа в письменной форме, содержащего ссылку на положение ч. 8 ст. 14 ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в течение 30 дней с даты Обращения;

4.3. При предоставлении субъектом персональных данных сведений, подтверждающих, что его персональные данные, обрабатываемые в АО «РЭУ 21 района Измайлово», являются неполными, неточными или неактуальными, Ответственный обеспечивает внесение необходимых изменений в персональные данные в течение 7 рабочих дней с даты Обращения;

4.4. При предоставлении субъектом персональных данных сведений, подтверждающих, что его персональные данные, обрабатываемые в АО «РЭУ 21 района Измайлово», являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Ответственный обеспечивает уничтожение таких персональных данные в течение 7 рабочих дней с даты Обращения;

4.5. Ответственный обеспечивает уведомление субъекта персональных данных о внесенных в его персональные данные изменениях и предпринятых мерах, а также принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы;

4.6. В случае отзыва субъектом персональных данных согласия на их обработку она может быть продолжена при наличии оснований, указанных в п. 2–11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 ФЗ «О персональных данных».

5. Взаимодействие с Роскомнадзором

5.1. По запросу Роскомнадзора Ответственный организует предоставление локальных актов в отношении обработки персональных данных и документов, подтверждающих принятие мер по выполнению требований ФЗ «О персональных данных», в течение 30 дней с даты получения запроса;

5.2. По требованию Роскомнадзора Ответственный организует уточнение, блокирование или уничтожение недостоверных или полученных незаконным путем персональных данных в течение 30 дней с даты получения требования;

5.3. В случаях, предусмотренных ст. 22 ФЗ «О персональных данных», Ответственный направляет в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных;

5.4. В случае необходимости Ответственный направляет в Роскомнадзор обращения по вопросам, связанным с обработкой персональных данных в АО «РЭУ 21 района Измайлово».

6. Ответственность за нарушение порядка обработки и обеспечения безопасности персональных данных

6.1. В случае нарушения работником положений законодательства в области персональных данных он может быть привлечён к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном ТК РФ и иными федеральными законами, в соответствии с ч. 1 ст. 24 ФЗ «О персональных данных» и ст. 90 ТК РФ;

6.2. В случае разглашения работником персональных данных, ставших ему известными в связи с исполнением его трудовых обязанностей, трудовой договор с ним может быть расторгнут в соответствии с пп. «в» п. 6 ст. 81 ТК РФ.

Оригинал документа: скачать