Политика конфиденциальности
1. Общие положения
1.1. Настоящая Политика обработки персональных данных Государственного
унитарного предприятия «Жилищно-коммунальное хозяйство Республики Саха (Якутия)»
(далее – Политика) определяет цели и общие принципы обработки персональных данных и
действует в отношении всей информации содержащей персональные данные субъектов,
получаемой Государственным унитарным предприятием «Жилищно-коммунальное
хозяйство Республики Саха (Якутия)» (далее – Предприятие) в рамках осуществления
своей деятельности.
В Политике определены основные понятия, права и обязанности Предприятия, права
субъектов персональных данных (далее – субъект ПДн), цели, порядок, условия и правовое
основание обработки персональных данных, требования к сотрудникам Предприятия и
степень их ответственности, структура и уровень защищенности, статус и должностные
обязанности ответственных за обеспечение безопасности персональных данных в
различных информационных системах персональных данных (ИСПДн) Предприятия.
1.2. Политика вступает в силу с момента ее утверждения Генеральным директором
Предприятия.
1.3. Настоящая Политика распространяется на все отношения, связанные с
обработкой персональных данных в Предприятии:
С использованием средств автоматизации, в том числе в информационнотелекоммуникационных сетях, или без использования таких средств, если обработка
персональных данных без использования таких средств соответствует характеру действий
(операций), совершаемых с персональными данными с использованием средств
автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом
поиск персональных данных, зафиксированных на материальном носителе и содержащихся
в картотеках или иных систематизированных собраниях персональных данных, и (или)
доступ к таким персональным данным;
Без использования средств автоматизации.
1.4. Положения Политики распространяются на всех сотрудников Предприятия.
2. Цели
2.1. Целью настоящей Политики является обеспечение защиты прав и свобод
субъектов ПДн при обработке их персональных данных в Предприятии.
3. Основные понятия
3.1. В настоящей Политике используются следующие понятия:
Персональные данные (ПДн)– любая информация, относящаяся к прямо или
косвенно определенному или определяемому физическому лицу (субъекту персональных
данных);
Специальные персональные данные – сведения о расовой и национальной
принадлежности, о политических, религиозных или философских убеждениях, о состоянии
здоровья или его интимной жизни, информация о судимостях;
Биометрические персональные данные — сведения, которые характеризуют
физиологические и биологические особенности человека, на основании которых можно
установить его личность;
Обработка персональных данных – любое действие (операция) или
совокупность действий (операции), совершаемых с использованием средств автоматизации
или без использования таких средств с персональными данными, включая сбор, запись,
систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение,
использование, передачу (распространение, предоставление, доступ), обезличивание,
блокирование, удаление, уничтожение персональных данных;
Оператор персональных данных (Оператор) – Предприятие ГУП
«Жилищно-коммунальное хозяйство Республики Саха (Якутия)» – юридическое лицо,
самостоятельно или совместно с другими лицами организующие и (или) осуществляющие
обработку персональных данных, а также определяющие цели обработки персональных
данных, состав персональных данных, подлежащих обработке, действия (операции),
совершаемые с персональными данными;
Субъект персональных данных – физическое лицо, которое прямо или
косвенно определено или определяемо с помощью персональных данных;
Распространение персональных данных – действия, направленные на
раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных – действия, направленные на
раскрытие персональных данных определенному кругу лиц;
Блокирование персональных данных – временное прекращение обработки
персональных данных (за исключением случаев, если обработка необходима для уточнения
персональных данных);
Уничтожение персональных данных – действия, в результате которых
становится невозможным восстановить содержание персональных данных в
информационной системе персональных данных и (или) в результате которых
уничтожаются материальные носители персональных данных;
Обезличивание персональных данных – действия, в результате которых
становится невозможным без использования дополнительной информации определить
принадлежность персональных данных конкретному субъекту персональных данных;
Информационная система персональных данных – совокупность
содержащихся в базах данных персональных данных и обеспечивающих их обработку
информационных технологий и технических средств;
Трансграничная передача персональных данных – передача персональных
данных на территорию иностранного государства органу власти иностранного государства,
иностранному физическому или иностранному юридическому лицу.
Угрозы безопасности персональных данных – совокупность условий и
факторов, создающих опасность несанкционированного, в том числе случайного, доступа к
персональным данным, результатом которого могут стать уничтожение, изменение,
блокирование, копирование, предоставление, распространение персональных данных, а
также иные неправомерные действия при их обработке в информационной системе
персональных данных;
Уровень защищенности персональных данных – комплексный показатель,
характеризующий требования, исполнение которых обеспечивает нейтрализацию
определенных угроз безопасности персональных данных при их обработке в
информационных системах персональных данных;
Альтернативные условия обработки персональных данных – это условия
обработки персональных данных отличные от получения согласия субъекта персональных
данных (например: на основании договора с физ лицом, в целях начисления платежей
потребителям за теплоснабжения по публичным договорам).
4. Правовое основание обработки персональных данных
Настоящая Политика разработана в соответствии с требованиями следующих
нормативных документов:
Конституцией Российской Федерации;
Конституцией Республики Саха (Якутия);
Трудовым кодексом Российской Федерации;
Гражданским кодексом Российской Федерации;
Налоговым кодексом Российской Федерации;
Жилищным кодексом Российской Федерации;
Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
Федеральным законом от 30.12.2020 № 519-ФЗ «О внесении изменений в
Федеральный закон «О персональных данных»;
Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации,
информационных технологиях и защите информации»;
Федеральным законом от 06.12.2011 г. №402-ФЗ «О бухгалтерском учете»;
Федеральным законом от 01.04.1996 г. № 27-ФЗ «Об индивидуальном
(персонифицированном) учете в системе обязательного пенсионного
страхования»;
Федеральным законом от 15.12.2001 г. № 167-ФЗ «Об обязательном пенсионном
страховании в Российской Федерации»;
Федеральным законом от 16.07.1999 №165-ФЗ «Об основах обязательного
социального страхования»;
Федеральным законом от 29.12.2006 г. № 255-ФЗ «Об обязательном социальном
страховании на случай временной нетрудоспособности и в связи с материнством»;
Федеральным законом от 24.07.1998 г. № 125-ФЗ «Об обязательном социальном
страховании от несчастных случаев на производстве и профессиональных
заболеваний»;
Федеральным законом 29.11.2010 № 326-ФЗ «Об обязательном медицинском
страховании в Российской Федерации»;
Федеральным законом от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной
службе»;
Постановлением Правительства Российской Федерации от 15.09.2008 г. № 687 «Об
утверждении Положения об особенностях обработки персональных данных,
осуществляемой без использования средств автоматизации»;
Постановлением Правительства Российской Федерации от 16.04.2003 г. № 225 «О
трудовых книжках»;
Постановлением Правительства Российской Федерации от 06.05.2011 г. № 354 «О
предоставлении коммунальных услуг собственникам и пользователям помещений
в многоквартирных домах и жилых домов»;
Уставом Предприятия ГУП «Жилищно-коммунальное хозяйство Республики Саха
(Якутия)»;
Трудовыми договорами и дополнительными соглашениями к ним;
Договорами гражданско-правового характера;
Согласием субъекта персональных данных.
5. Цели обработки персональных данных
Цели сбора персональных данных в Предприятии:
5.1. Ведение кадрового администрирование: подбор соискателей, прием на работу
новых работников, оформление карточки по форме Т-2, награждения и поощрения
работников, увольнение работников, оформление и выдача постоянных пропусков
работникам; осуществление воинского учета, обучение работников, сдача отчетности в
Управление государственной службы занятости населения; исполнение обязанностей
работодателя при возникновении несчастного случая; исполнение обязанностей
работодателя при проведении первичных, периодических, предрейсовых медицинских
осмотров, вакцинации работников, заключение договоров обязательного и добровольного
медицинского страхования;
5.2. Ведение бухгалтерского делопроизводства: оформление и выдача зарплатных
карт, оплата труда, расчет и выдача заработной платы, учет налоговых льгот при начислении
заработной платы, установление доплат, надбавок и премий, сдача отчетности в
Пенсионный фонд Российской Федерации, Федеральную налоговую службу, компенсация
расходов на приобретение командировочных и отпускных авиа- и ж/д- билетов;
5.3. Оказание услуг по коммунальным услугам: заключение договоров с
физическими и юридическими лицами, расчет и начисление оплаты за предоставленные
услуги, прием платежей;
5.4. Осуществление контрольно-пропускного и внутри объектового режима:
оформление, выдача, уничтожение пропусков на территорию Предприятия, разграничение
доступа на объекты Предприятия;
5.5. Обработка персональных данных контрагентов в целях соблюдения
требований Федерального закона от 18.07.2011 г. № 223-ФЗ «О закупках товаров, работ,
услуг отдельными видами юридических лиц»;
5.6. Обработка персональных данных других субъектов персональных данных
осуществляется Предприятием в целях исполнения иных требований законодательства
Российской Федерации и Республики Саха (Якутия).
6. Категории субъектов персональных данных
6.1. Согласно целям, указанным в главе 5 настоящей Политики в Предприятии
осуществляется обработка персональных данных (далее – ПДн) следующих категорий
субъектов персональных данных:
— Соискатели на вакантные должности;
— Посетители Предприятия;
— Действующие и уволенные работники Предприятия, и ближайшие родственники
работников;
— Абоненты (законные представители абонентов);
— Физические лица в рамках гражданско-правовых договоров;
— Представителей потенциальных и действующих контрагентов Предприятия;
— Пользователи официального сайта и мобильного приложения Предприятия;
— Иные лица, давшие согласие на обработку своих персональных данных.
7. Состав персональных данных обрабатываемых в Предприятии
7.1. Работники Предприятия (в том числе уволенные):
Фамилия, имя, отчество;
Дата рождения;
Место рождения;
Пол;
Гражданство;
Адрес регистрации;
Адрес проживания;
Телефонный номер (домашний, мобильный);
Адрес электронной почты (e-mail);
Паспортные данные (серия, номер паспорта, кем и когда выдан, код
подразделения, сведения о ранее выданных паспортах);
Семейное положение и состав семьи (муж/жена, дети), копии подтверждающих
документов (свидетельства: о рождении, браке, расторжении брака и пр.);
Подразделение;
Должность;
ИНН;
СНИЛС;
Санитарная медицинская книжка (для определенных должностей);
Сведения о прохождении медицинских осмотров (периодичность прохождения,
дата последнего медосмотра, состояние здоровья);
Сведения об образовании (наименование образовательного учреждения, сведения
о документах, подтверждающих образование: наименование, номер, дата выдачи,
специальность);
Сведения о послевузовском профессиональном образовании (наименование
образовательного или научного учреждения, год окончания), ученая степень,
ученое звание(когда присвоены, номера дипломов, аттестатов);
Сведения о повышении квалификации (период, вид повышения квалификации,
наименование образовательного учреждения, наименование документа,
подтверждающего повышение квалификации, номер и серия документа);
Сведения о профессиональной переподготовке (период, вид профессиональной
переподготовки, наименование специальности, наименование документа,
подтверждающего профессиональную переподготовку, номер и серия документа);
Сведения о наградах, поощрениях;
Сведения о наличии/отсутствии инвалидности;
Данные о наличие или отсутствии судимости;
Сведения о воинском учете (категория запаса, воинское звание, категория
годности к военной службе, информация о снятии с воинского учета);
Информация о приеме на работу (наименование Предприятия, подразделение,
должность, перемещения по должности, увольнение);
Данные о выполняемой работе с начала трудовой деятельности (включая военную
службу);
Данные водительского удостоверения;
Сведения о трудовом договоре (№ трудового договора, дата его заключения, дата
начала и дата окончания договора, вид работы, срок действия договора, наличие
испытательного срока, изменения к трудовому договору, графики работы);
Данные расчетных счетов;
Сведения об окладе, часовой (месячной) тарифной ставке;
Сведения об имуществе (государственный номер и марка автомобиля);
Сведения о доходах с предыдущего места работы;
Сведения о начисленной заработной плате;
Условия налоговых вычетов (личный вычет, вычеты на детей, имущественные,
статус налогоплательщика, льготы как подвергшимся воздействию радиации,
льготы инвалидам и другие предусмотренные законодательством РФ);
Сведения о планируемом отпуске (ежегодном оплачиваемом и дополнительном);
Сведения о командировках и других причинах отсутствия на работе (датаначала,
дата окончания, количество дней, вид отсутствия);
Сведения о занимаемой должности;
Табельный номер;
Фотографии;
Кадры видео- и фотосъемки.
7.2. Родственники работников:
Фамилия, имя, отчество;
Дата рождения;
Степень родства;
Адрес проживания.
7.3. Клиенты и контрагенты Предприятия, представители/ работники клиентов и
контрагентов:
Фамилия, имя, отчество;
Контактный телефон;
Адрес электронной почты;
ИНН;
СНИЛС;
Данные расчетных счетов;
Паспортные данные (серия, номер паспорта, кем и когда выдан, код
подразделения, сведения о ранее выданных паспортах).
7.4. Абоненты физические лица:
Фамилия, имя, отчество;
Контактный телефон;
Адрес электронной почты;
ИНН;
СНИЛС;
Номер лицевого счета;
Паспортные данные (серия, номер паспорта, кем и когда выдан, код
подразделение, сведения о ранее выданных паспортах).
8. Общие принципы обработки персональных данных
Обработка персональных данных граждан и работников Предприятия
осуществляется на основе принципов:
8.1. Обработка персональных данных должна осуществляться на законной и
справедливой основе;
8.2. Обработке подлежат только персональные данные, которые отвечают целям их
обработки;
8.3. Содержание и объем обрабатываемых персональных данных должны
соответствовать заявленным целям обработки. Обрабатываемые персональные данные не
должны быть избыточными по отношению к заявленным целям их обработки;
8.4. Обработка персональных данных должна ограничиваться достижением
конкретных, заранее определенных и законных целей. Не допускается обработка
персональных данных, несовместимая с целями сбора персональных данных;
8.5. Не допускается объединение баз данных, содержащих персональные данные,
обработка которых осуществляется в целях, несовместимых между собой;
8.6. При обработке персональных данных должны быть обеспечены точность
персональных данных, их достаточность, а в необходимых случаях и актуальность по
отношению к целям обработки персональных данных. Предприятие принимает
необходимые меры либо обеспечивает принятие мер по удалению или уточнению
неполных, или неточных данных;
8.7. Хранение персональных данных должно осуществляться в форме,
позволяющей определить субъекта персональных данных, не дольше, чем этого требуют
цели обработки персональных данных, если срок хранения персональных данных не
установлен федеральным законом, договором, стороной которого, выгодоприобретателем
или поручителем по которому является субъект персональных данных.
8.8. Персональные данные подлежат уничтожению либо обезличиванию по
достижении целей обработки или в случае утраты необходимости в их достижении, если
иное не предусмотрено федеральным законом.
9. Условия обработки, передачи и хранения персональных данных
9.1. Предприятие при осуществлении своей деятельности при обработке
персональных данных руководствуется Федеральным законом от 27.06.2006 № 152-ФЗ «О персональных данных»;
9.2. Предприятие обеспечивает конфиденциальность персональных данных в
отношении всех субъектов персональных данных;
9.3. Предприятие обрабатывает и хранит персональные данные субъектов в
соответствии с внутренними нормативными документами, разработанными согласно
законодательству Российской Федерации;
9.4. Обработка специальных категорий персональных данных осуществляется
Предприятием с соблюдением следующих условий:
Обработка персональных данных осуществляется в соответствии с
законодательством о государственной социальной помощи, трудовым и пенсионным
законодательством Российской Федерации;
Субъект персональных данных дал согласие в письменной либо в электронной
форме на обработку своих персональных данных.
9.5. Сведения, которые характеризуют физиологические и биологические
особенности человека, на основании которых можно установить его личность
(биометрические персональные данные) и которые используются Предприятием для
установления личности субъекта персональных данных Предприятием, обрабатываются
при наличии согласия в письменной форме субъекта персональных данных, за
исключением случаев, предусмотренных ч.2, ст. 11 Федерального закона от 27 июля 2006 г.
№ 152-ФЗ «О персональных данных».
9.6. Обработка иных категорий персональных данных осуществляется
Предприятием с соблюдением следующих условий:
Обработка персональных данных необходима для достижения целей.
Предусмотренных международным договором Российской Федерации или законом, для
осуществления и выполнения, возложенных законодательством Российской Федерации на
Предприятие функций, полномочий и обязанностей;
Обработка персональных данных осуществляется с согласия субъекта
персональных данных на обработку его персональных данных;
Обработка персональных данных необходима для исполнения договора,
стороной которого либо выгодоприобретателем или поручителем, по которому является
субъект персональных данных, а также для заключения договора по инициативе субъекта
персональных данных или договора, по которому субъект персональных данных будет
являться выгодоприобретателем или поручителем.
9.7. В целях информационного обеспечения в Предприятии создаются
общедоступные источники персональных данных работников (в том числе справочники,
адресные книги). В общедоступные источники персональных данных с письменного
согласия субъекта персональных данных могут включаться его фамилия, имя, отчество;
должность; фотография; номера контактных телефонов; адрес электронной почты.
9.8. Сведения о работнике должны быть в любое время исключены из
общедоступных источников персональных данных по требованию работника.
9.9. Предприятие не осуществляет трансграничную передачу персональных
данных;
9.10. В целях осуществления и исполнения функций, полномочий и обязанностей,
возложенных на Предприятие законодательством Российской Федерации, Предприятие
может поручить обработку персональных данных третьим лицам путем заключения
договора с учетом требований законодательства Российской Федерации, в том числе
Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
9.11. Предприятие в праве передать персональные данные третьему лицу с согласия
субъекта персональных данных, если иное не предусмотрено федеральным законом, на
основании заключаемого с этим лицом договора, в том числе государственного или
муниципального контракта, либо путем принятия государственным или муниципальным
органом соответствующего акта (далее –поручение оператора). Лицо, осуществляющее
обработку персональных данных по поручению оператора, обязано соблюдать принципы и
правила обработки персональных данных, предусмотренные Федеральным законом от 27
июля 2006 г. № 152-ФЗ «О персональных данных». В поручении Предприятия должны
быть определены перечень действий (операций) с персональными данными, которые будут
совершаться лицом, осуществляющим обработку персональных данных, и цели обработки,
должна быть установлена обязанность такого лица соблюдать конфиденциальность
персональных данных и обеспечивать безопасность персональных данных при их
обработке, а также должны быть указаны требования к защите обрабатываемых
персональных данных в соответствии со ст. 19 Федерального закона от 27 июля 2006 г. №
152-ФЗ «О персональных данных».
9.12. Условия обработки персональных данных, отличные от получения согласия
субъекта, указанные в пункте 5 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11
Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» являются
альтернативными.
10.Конфиденциальность персональных данных
10.1. Сотрудникам Предприятия, получившим доступ к персональным данным,
запрещено раскрывать третьим лицам и распространять персональные данные без согласия
субъекта персональных данных, если иное не предусмотрено федеральным законом;
10.2. Персональные данные, разрешенные субъектом персональных данных для
распространения, размещенные на информационных ресурсах Предприятия запрещены к
обработке неограниченным кругом лиц, за исключением ознакомления с ними.
11.Согласие субъекта персональных данных на обработку егоперсональных данных
11.1. При необходимости обработки Предприятием персональных данных субъекта,
субъектом может предоставляться согласие на обработку его персональных данных. При
этом субъект персональных данных принимает решение о предоставлении его
персональных данных и дает согласие на обработку, свободно, своей волей и в своих
интересах. Согласие на обработку персональных данных должно быть конкретным,
информированным и сознательным. Согласие на обработку персональных данных может
быть дано субъектом персональных данных или его представителем в любой позволяющей
подтвердить факт его получения форме, если иное не установлено федеральным законом. В
случае получения согласия на обработку персональных данных от представителя субъекта
персональных данных полномочия данного представителя на дачу согласия от имени
субъекта персональных данных проверяются Предприятием.
Согласие на обработку персональных данных может быть отозвано субъектом
персональных данных. В случае отзыва субъектом персональных данных согласия на
обработку персональных данных Предприятие вправе продолжить обработку
персональных данных без согласия субъекта персональных данных при выполнении
альтернативных условий обработки персональных данных.
Обязанность предоставить доказательство получения согласия субъекта
персональных данных на обработку его персональных данных или доказательство
выполнения альтернативных условий обработки персональных данных возлагается на
Предприятие.
В случаях, предусмотренных федеральным законом, обработка персональных данных
осуществляется только с согласия в письменной форме субъекта персональных данных.
Равнозначным содержащему собственноручную подпись субъекта персональных данных
согласию в письменной форме на бумажном носителе признается согласие в форме
электронного документа, подписанного в соответствии с федеральным законом электронной
подписью.
Порядок получения в форме электронного документа согласия субъекта
персональных данных на обработку его персональных данных в целях предоставления
государственных и муниципальных услуг, а также услуг, которые являются необходимыми
и обязательными для предоставления государственных и муниципальных услуг,
устанавливается Правительством Российской Федерации.
В случае недееспособности субъекта персональных данных согласие на обработку его
персональных данных дает законный представитель субъекта персональных данных.
В случае смерти субъекта персональных данных согласие на обработку его
персональных данных дают наследники субъекта персональных данных, если такое
согласие не было дано субъектом персональных данных при его жизни.
Персональные данные могут быть получены Предприятием от лица, не являющегося
субъектом персональных данных, при условии предоставления Предприятию
подтверждения наличия альтернативных условий обработки информации.
11.2. При необходимости размещения Предприятием информации о субъекте
персональных данных на корпоративном сайте, на доске почета, иных информационных
ресурсах Предприятия, должно быть получено отдельное согласие на обработку
персональных данных, разрешенных субъектом ПДн для распространения, в соответствии
стребованиями, утвержденными Приказом Роскомнадзора от 24 февраля 2021 г. № 18.
12.Сведения о третьих лицах, участвующих в обработке персональных данных
В целях соблюдения законодательства Российской Федерации, а также в интересах и
с согласия субъектов персональных данных Предприятие в ходе своей деятельности
предоставляет персональные данные в:
Пенсионный фонд России по Республике Саха (Якутия);
Управление Федеральной налоговой службы по Республике Саха (Якутия);
Государственному учреждению – Региональному отделению Фонда
социального страхования Российской Федерации;
Военному комиссариату Республике Саха (Якутия);
Авиа- и ж/д компаниям;
Банкам Российской Федерации;
Медицинским учреждениям;
Законным представителям субъекта персональных данных;
Иным органам, если передача персональных требуется в соответствии с
законодательством Российской Федерации или необходима для получения
работникомвыплат, наград, субсидий, пособий, заработной платы и других форм.
13.Права и обязанности Предприятия
13.1. Предприятие в праве:
13.1.1. Отстаивать свои интересы в суде;
13.1.2. Предоставлять персональные данные субъектов третьим лицам, в
случаях, предусмотренных действующим законодательством (правоохранительные,
налоговые органы и др.);
13.1.3. Отказать в предоставлении персональных данных в случаях,
предусмотренных законодательством Российской Федерации;
13.1.4. Использовать персональные данные субъекта без его согласия в случаях,
предусмотренных законодательством Российской Федерации. (в целях исполнения
договоров, заключенных с Предприятием, а также начисления платежей потребителям в
том числе по публичным договорам)
13.2. Обязанности Предприятия:
13.2.1. Предоставить субъекту персональных данных по его просьбе
информацию предусмотренной частью 7 статьи 14 Федерального закона от 27.07.2006 г. №
152-ФЗ «О персональных данных»;
13.2.2. Сведения, касающиеся обработки персональных данных субъекта,
должны быть предоставлены Предприятием субъекту персональных данных по его запросу
в доступной форме, и в них не должны содержаться персональные данные, относящиеся к
другим субъектам персональных данных, за исключением случаев, если имеются законные
основания для раскрытия таких персональных данных;
13.2.3. При сборе персональных данных, в том числе посредством
информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить
запись, систематизацию, накопление, хранение, уточнение (обновление, изменение),
извлечение персональных данных граждан Российской Федерации с использованием баз
данных, находящихся на территории Российской Федерации, за исключением случаев,
указанных в Федеральном законе от 27.07.2006 г. № 152-ФЗ «О персональных данных».
13.2.4. В случае неправомерной обработки персональных данных по
обращению (либо запросу) субъекта персональных данных или его представителя либо
уполномоченного органа по защите прав субъектов персональных данных, оператор обязан
осуществить блокирование этих персональных данных (обеспечить их блокирование), либо
в случае выявления неточных персональных данных – осуществить блокирование
(обеспечить блокирование) персональных данных, относящихся к этому субъекту
персональных данных, если блокирование не нарушает права и законные интересы субъекта
персональных данных или третьих лиц, с момента такого обращения или получения
указанного запроса на период проверки;
13.2.5. В случае подтверждения факта неточности персональных данных на
основании сведений, предоставленных субъектом персональных данных или его
представителем либо уполномоченным органом по защите прав субъектов персональных
данных, или иных необходимых документов Предприятие обязано уточнить персональные
данные либо обеспечить их уточнение (если обработка персональных данных
осуществляется другим лицом, действующим по поручению оператора) в течении семи
рабочих дней со дня представления таких сведений и снять блокирование данных;
13.2.6. В случае получения персональных данных не от субъекта персональных
данных, Предприятие, за исключением случаев, предусмотренных законом, до начала
обработки таких персональных данных обязано предоставить субъекту персональных
данных соответствующую информацию;
13.2.7. В случае неправомерной обработки персональных данных,
осуществляемой Предприятием или лицом, действующим по поручению Предприятия,
Предприятие в срок, не превышающий трех дней с даты этого выявления, обязано
прекратить неправомерную обработку персональных данных или обеспечить прекращение
неправомерной обработки персональных данных лицом, действующим по поручению
Предприятия в порядке, предусмотренном действующим законодательством;
13.2.8. В случае достижения цели, отзыва согласия субъекта на обработку его
персональных данных обработки Предприятие обязано прекратить обработку
персональных данных в порядке, предусмотренном федеральным законом;
13.2.9. Предприятие обязано уведомить уполномоченный орган по защите прав
субъектов персональных данных о своем намерении осуществлять обработку персональных
данных, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального
закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
13.2.10. В случае изменений сведений, указанных в уведомлении, а также в
случае прекращения обработки персональных данных Предприятие обязано уведомить
уполномоченный орган по защите прав субъектов персональных данных в течении десяти
рабочих дней с даты возникновения таких изменений или с даты прекращения обработки
персональных данных.
14.Права субъекта персональных данных
14.1. Субъект персональных данных, согласно законодательству Российской
Федерации, имеет право:
В случае если субъект персональных данных считает, что Предприятие
осуществляет обработку его персональных данных с нарушением федерального
законодательства или иным образом нарушает его права и свободы имеет право
обжаловатьдействия или бездействие Предприятия в уполномоченный орган или в
судебном порядке;
Требовать прекращение обработки своих персональных данных в случаях,
предусмотренных законодательством Российской Федерации;
На получение информации (далее – запрашиваемая субъектом информация),
касающейся обработки его персональных данных, в том числе содержащей:
1) Подтверждение факта обработки персональных данных Предприятием;
2) Правовые основания и цели обработки персональных данных;
3) Цели и применяемые Предприятием способы обработки персональных данных;
4) Наименование и место нахождения Предприятия, сведения о лицах (за
исключением работников Предприятия), которые имеют доступ к персональным данным
или которым могут быть раскрыты персональные данные на основании договора с
Предприятием или на основании Федерального закона;
5) Обрабатываемые персональные данные, относящиеся к соответствующему
субъекту персональных данных, источник их получения, если иной порядок представления
таких данных не предусмотрен Федеральным законом;
6) Сроки обработки персональных данных, в том числе хранения;
7) Порядок осуществления субъектом персональных данных прав,
предусмотренных Федеральным законом «О персональных данных»;
8) Информацию об осуществленной или о предполагаемой трансграничной
передаче данных;
9) Наименование организации или фамилию, имя, отчество и адрес лица,
осуществляющего обработку персональных данных по поручению Предприятия, если
обработка поручена или будет поручена такому лицу;
10) Иные сведения, предусмотренные Федеральным законом «О персональных
данных» или другими федеральными законами.
14.2. Субъект персональных данных имеет право на получение запрашиваемой
информации, за исключением следующих случаев:
— обработка персональных данных, включая персональные данные, полученные в
результате оперативно-розыскной, контрразведывательной и разведывательной
деятельности, осуществляется в целях обороны страны, безопасности государства и охраны
правопорядка;
— обработка персональных данных осуществляется органами, осуществившими
задержание субъекта персональных данных по подозрению в совершении преступления,
либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо
применившими к субъекту персональных данных меру пресечения до предъявления
обвинения, за исключением предусмотренных уголовно-процессуальным
законодательством Российской Федерации случаев, если допускается ознакомление
подозреваемого или обвиняемого с такими персональными данными;
— обработка персональных данных осуществляется в соответствии с
законодательством противодействии легализации (отмыванию) доходов, полученных
преступным путем, и финансированию терроризма;
— доступ субъекта персональных данных к его персональным данным нарушает
законные интересы третьих лиц;
— обработка персональных данных осуществляется в случаях, предусмотренных
законодательством Российской Федерации о транспортной безопасности, в целях
обеспечения устойчивого и безопасного функционирования транспортного комплекса,
защиты интересов личности, общества и государства в сфере транспортного комплекса от
актов незаконного вмешательства.
Требовать уточнения своих персональных данных, их блокирования или
уничтожения в случае, если персональные данные являются неполными,
устаревшими, неточными, незаконно полученными или не являются
необходимыми для заявленной цели обработки;
На защиту своих прав и законных интересов, в том числе на возмещение убытков
и (или) компенсацию морального вреда в судебном порядке;
14.3. Субъект персональных данных обязан предоставлять комплекс достоверных и
документированных персональных данных, состав которых установлен законодательством;
14.4. Сообщать уполномоченным Предприятием лицам на обработку персональных
данных сведения об изменении своих персональных данных;
15.Хранение и использование персональных данных субъектов
15.1. Персональные данные субъектов персональных данных хранятся и
обрабатываются с соблюдением требований действующего Российского законодательства о
защите персональных данных;
15.2. Обработка персональных данных граждан и работников Предприятия
осуществляется смешанным способом обработки персональных данных;
15.3. Хранение персональных данных работника и иных субъектов персональных
данных осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат
уничтожению по достижении целей обработки или в случае утраты необходимости в их
достижении;
15.4. Хранение документов, содержащих персональные данные работника и иных
субъектов персональных данных, осуществляется в течение установленных действующими
нормативными актами сроков хранения данных документов.
15.5. По истечении установленных сроков хранения документы подлежат
уничтожению.
15.6. Предприятие обеспечивает запрет доступа к персональным данным лицам, не
уполномоченным законодательством или Предприятием для получения соответствующих
сведений.
16.Условия прекращения обработки персональных данных
Срок или условие прекращения обработки персональных данных в Предприятии:
ликвидация Предприятия или прекращение деятельности;
истечение 75 лет/50 лет – хранение персональных данных работников;
исполнение обязательств по договорам и по истечению срока исковой давности;
отзыв согласия на обработку персональных данных осуществляется в
соответствии с Федеральным законом, либо в течение срока хранения документов
согласно установленным срокам хранения для определенных категорий
документов, если иное не предусмотрено Федеральным законодательством.
17.Правовые, организационные и технические меры для защитыперсональных
данных граждан – субъектов персональных данных
К мерам, применяемым Предприятием для защиты персональных данных относятся:
17.1. Назначение лица, ответственного за организацию обработки персональных
данных;
17.2. Разработка документов, регламентирующих политику Предприятия в
отношении обработки персональных данных, локальные документы по вопросам
обработки персональных данных;
17.3. Ознакомление работников, непосредственно осуществляющих обработку
персональных данных, с положениями законодательства РФ о персональных данных, с
требованиями к защите персональных данных, с документами, определяющими политику
Предприятия в отношении обработки персональных данных, локальными документами по
вопросам обработки персональных данных;
17.4. Опубликование в открытом доступе, в том числе на официальном сайте
Предприятия документа, определяющего политику Предприятия в отношении обработки
персональных данных;
17.5. Осуществление внутреннего контроля соответствия обработки персональных
данных требованиям Федерального закона «О персональных данных»;
17.6. Определение угроз безопасности персональных данных при их обработке в
информационных системах персональных данных;
17.7. Применение организационных и технических мер по обеспечению
безопасности персональных данных при их обработке в информационных системах
персональных данных, необходимых для выполнения требований к защите персональных
данных, исполнение которых обеспечивает установленные Правительством Российской
Федерации уровни защищенности персональных данных;
17.8. Применение, прошедшей в установленном порядке, процедуры оценки
соответствия средств защиты информации;
17.9. Систематическое осуществление оценки эффективности принимаемых мер по
обеспечению безопасности персональных данных;
17.10. Учет машинных носителей персональных данных;
17.11. Обнаружение фактов и принятие мер по пресечению несанкционированного
доступа к персональным данным;
17.12. Восстановление персональных данных, модифицированных или
уничтоженных вследствие несанкционированного доступа к ним;
17.13. Установление правил доступа к персональным данным, обрабатываемым в
информационной системе персональных данных, а также обеспечение регистрации и учета
всех действий, совершаемых с персональными данными в информационной системе
персональных данных;
17.14. Осуществление контроля за принимаемыми мерами по обеспечению
безопасности персональных данных и уровня защищенности информационных систем
персональных данных.
Использование и хранение биометрических персональных данных вне
информационных систем персональных данных могут осуществляться только на таких
материальных носителях информации и с применением такой технологии ее хранения,
которые обеспечивают защиту этих данных от неправомерного или случайного доступа к
ним, их уничтожения, изменения, блокирования, копирования, предоставления,
распространения.
18.Методы защиты персональных данных
18.1. К методам защиты персональных данных относятся:
реализация разрешительной системы допуска к обработке персональных
данных;
ограничение доступа в помещения, где хранятся носители информации;
разграничение доступа к персональным данным;
регистрация действий сотрудников в информационных системах персональных
данных, контроль и пресечение несанкционированного доступа к персональным данным;
использование средств защиты информации, прошедших в установленном
порядке процедуру оценки соответствия, использование защищенных каналов связи.
19.Требования по обеспечению защиты
19.1. Сотрудники Предприятия, являющиеся пользователями информационных
систем персональных данных (далее – ИСПДн), должны четко знать и строго выполнять
установленные правила и обязанности по доступу к защищаемым объектам и соблюдению
принятого режима безопасности ПДн;
19.2. При вступлении в должность нового сотрудника непосредственный начальник
подразделения, в которое он поступает, обязан организовать его ознакомление с
должностной инструкцией и необходимыми документами, регламентирующими требования
по защите ПДн, а также обучение навыкам выполнения процедур, необходимых для
санкционированного использования ИСПДн;
19.3. Сотрудник осуществляющий обработку ПДн должен быть ознакомлен с
настоящей Политикой, установленным регламентом работы с элементами ИСПДн и
средствами защиты персональных данных;
19.4. Сотрудники Предприятия, использующие технические средства
аутентификации, должны обеспечивать сохранность идентификаторов (электронных
ключей, логинов и паролей) и не допускать несанкционированный доступ к ним, а также
возможность их утери или использования третьими лицами. Пользователи несут
персональную ответственность за сохранность идентификаторов;
19.5. Сотрудники Предприятия должны следовать установленным процедурам
поддержания режима безопасности ПДн при выборе и использовании паролей (если не
используются технические средства аутентификации);
19.6. Сотрудники Предприятия должны обеспечивать надлежащую защиту
оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение
имеют доступ посторонние лица. Все пользователи должны знать требования по
безопасности ПДн и процедуры защиты оборудования, оставленного без присмотра, а также
свои обязанности по обеспечению такой защиты;
19.7. Сотрудникам запрещается устанавливать постороннее программное
обеспечение, подключать личные мобильные устройства и носители информации, а также
записывать на них защищаемую информацию;
19.8. Сотрудникам запрещается разглашать защищаемую информацию, которая
стала им известна при работе с информационными системами Предприятия, третьим
лицам;
19.9. При работе с ПДн в ИСПДн сотрудники Предприятия обязаны обеспечить
отсутствие возможности просмотра ПДн третьими лицами с мониторов своих
автоматизированных рабочих мест (далее – АРМ);
19.10. При завершении работы с ИСПДн сотрудники обязаны защитить монитор с
помощью блокировки ключом или доступом по паролю, если не используются более
сильные средства защиты;
19.11. Сотрудники Предприятия должны быть проинформированы об угрозах
нарушения режима безопасности ПДн и ответственности за его нарушение. Они должны
быть ознакомлены с утвержденной процедурой наложения дисциплинарных взысканий на
сотрудников, которые нарушили политику и процедуры безопасности ПДн;
19.12. Сотрудники обязаны немедленно сообщать обо всех наблюдаемых ими
подозрительных случаях работы ИСПДн, могущих повлечь за собой угрозы безопасности
ПДн, а также о выявленных ими событиях, затрагивающих безопасность ПДн, руководству
подразделения и лицу, отвечающему за немедленное реагирование на угрозы безопасности
ПДн.
20.Лица, ответственные за организацию обработки персональных данных в
Предприятии
20.1. Приказом Генерального директора Предприятия:
Назначается ответственный за организацию обработки персональных данных в
Предприятии;
20.2. Ответственный за организацию обработки персональных данных обязан:
Составлять нормативную правовую базу Предприятия по вопросам обработки
персональных данных;
Организовать доведение до сотрудников Предприятия положений
законодательства РФ в области ПДн, требований к защите ПДн и локальных
нормативных актов в сфере обработки ПДн принятых в Предприятии;
Осуществлять внутренний контроль за соблюдением Предприятием и
работниками Предприятия законодательства Российской Федерации в области
ПДн;
Организовывать приём и обработку обращений и запросов субъектов ПДн (их
представителей) и осуществлять контроль за приёмом и обработкой таких
обращений и запросов в подразделениях Предприятия.
21.Внутренний контроль над соблюдением положений локальных нормативныхактов
Предприятия в области персональных данных
21.1. Контроль за соблюдением локальных нормативных актов Предприятия в
области обработки ПДн, осуществляется с целью проверки соответствия обработки ПДн в
Предприятии требованиям действующего законодательства Российской Федерации,
оценки эффективности принимаемых мер по обеспечению безопасности ПДн. Выявление
возможных каналов утечки ПДн, фактов несанкционированного доступа к ПДн и их
устранение;
21.2. Внутренний контроль за соблюдением Предприятием законодательства РФ и
положений локальных нормативных актов Предприятия в области ПДн, осуществляется
ответственным за организацию обработки ПДн в Предприятии;
21.3. Внутренний контроль за соблюдением работниками подразделений
Предприятия законодательства РФ и локальных нормативных актов Предприятия в
области ПДн, осуществляется начальниками соответствующих подразделений
Предприятия.
22.Ответственность за реализацию положений Политики
22.1. Предприятие несет ответственность за соблюдение требований
законодательства Российской Федерации в области персональных данных, а также за
обеспечение конфиденциальности при их обработке;
22.2. Ответственность за соблюдение требований законодательства Российской
Федерации и локальных нормативных актов в области обработки ПДн, за обеспечение
конфиденциальности персональных данных в подразделениях Предприятия, возлагается на
руководителей и работников Предприятия, допущенных к обработке персональных
данных;
22.3. Действующим законодательством Российской Федерации предусмотрена
ответственность за нарушение установленных правил эксплуатации АРМ и
информационных систем (статьи 272, 273 и 274 Уголовного Кодекса Российской
Федерации).
23.Реагирование на обращения/запросы субъектов персональных данных иих
представителей, уполномоченных органов
23.1. Процесс реагирования на обращения и запросы по поводу неточности
персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта
к своим персональным данным осуществляется в несколько этапов:
Прием обращение/запроса;
Регистрации запроса;
Первичная обработка;
Исполнение запроса (включая формирования ответа);
Отправка ответа на запрос.
В зависимости от формата поступления запроса, этап приёма обращения (запроса)
происходит в следующих формах:
Приём непосредственного обращения субъекта ПДн (его представителя);
Приём почтового запроса субъекта ПДн (его представителя);
Приём запросов в иных формах (телефон, факс, электронная почта и др.) не
производится.
23.2. При непосредственном обращении субъект ПДн предъявляет сотруднику
Предприятия документ, удостоверяющий личность, а при обращении представителя
субъекта ПДн, документ, подтверждающий полномочия субъекта ПДн. Запрос
оформляется на бумажном носителе и должен содержать фамилию, имя, отчество
субъекта, номер, серия документа, удостоверяющего личность, сведения о его выдаче и
выдавшем органе, почтовый адрес, контактный телефон, текст запроса;
23.3. При поступлении почтового запроса, он регистрируется, проверяются на
корректность оформления и полноту содержащих сведений. В случае обращения
представителя субъекта проверяется наличие сведений, подтверждающих полномочия
субъекта;
Запрос регистрируется сотрудником Предприятия в установленном порядке.
23.4. По результатам первичной обработки запрос направляется компетентному
сотруднику для исполнения, который формирует и дает ответ в течение десяти рабочих
дней;
23.5. Контроль за исполнением запросов субъектов осуществляется лицом ответственным за организацию обработки персональных данных, которое назначается или
определяется приказом директора Предприятия;
23.6. В соответствии с частью 4 статьи 20 Федерального закона от 27.07.2006 № 152-
ФЗ «О персональных данных», Предприятие сообщает в уполномоченный орган по защите
прав субъектов персональных данных по его запросу информацию, необходимую для
осуществления деятельности указанного органа, в течении десяти рабочих дней с даты
получения такого запроса. В течении десяти рабочих дней под контролем лица,
ответственного за организацию обработки персональных данных, подготавливается и
направляется в уполномоченный орган мотивированный ответ и, при необходимости,
другие необходимые документы.
24. Заключительные положения.
24.1. Предприятие имеет право вносить изменения в настоящую Политику. При
внесении изменений в новой редакции документа указывается дата последнего обновления.
24.2. Новая редакция Политики вступает в силу с момента её утверждения
генеральным директором Предприятия и размещения в общедоступном месте, если иное
не предусмотрено новой редакцией Политики.
24.3. Контактные данные:
Наименование: Предприятие «Жилищно-коммунальное хозяйство Республики
Саха (Якутия)»;
Адрес: 677027, Республика Саха (Якутия), город Якутск, Улица Кирова, 18
блок А;
Телефонный номер канцелярии: +7(924)-595-65-90
Официальный сайт: https://jkhsakha.ru
Электронный адрес по вопросам обработки ПДн в Предприятии: ib@jkhsakha.ru
Перечень информационных систем персональных данных
в ГУП «ЖКХ РС (Я)»
1. 1-С: Зарплата и управление персоналом
2. 1-С: Документооборот
3. 1-С: Управление холдингом
4. Сайт (https://jkhsakha.ru)
5. Подсистема информационного взаимодействия
6. ФНС
7. ПФР
8. ФСС
9. ФЕДЕРАЛЬНАЯ СЛУЖБА ГОССУДАРСТВЕННОЙ СТАТИСТИКИ
10. ЕДИННАЯ ИНФОРМАЦИОННАЯ СИСТЕМА В СФЕРЕ ЗАКУПОК