УТВЕРЖДЕНА
приказом директора
ООО «Эксплуатационная компания «ТВК»
от 21.10..2024 № 4
Политика
в области обработки и защиты персональных данных
в ООО «Эксплуатационная компания «ТВК»
1.1. Настоящая Политика в области обработки и защиты персональных данных (далее – Политика) действует в отношении всех персональных данных, которые ООО «Эксплуатационная компания «ТВК» (далее – Организация) может получить от субъекта персональных данных, состоящего с Организацией в отношениях, регулируемых трудовым законодательством, (далее – Работник) или от субъекта персональных данных – физического лица, являющегося пользователем сайта https://ek-twk.ru, а также состоящего в договорных и иных гражданско-правовых отношениях с Организацией, (далее – Клиент).
1.2. Целью настоящей Политики является соблюдение прав субъектов персональных данных при обработке их персональных данных в Организации:
– обеспечение безопасности персональных данных, содержащихся на материальных носителях Организации;
– обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных Организации.
1.3. Настоящая Политика разработана в соответствие с Конституцией РФ, Федеральным законом № 149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и о защите информации», Федеральным законом № 152-ФЗ от 27.07.2006 «О персональных данных», и иными нормативными актами в области защиты персональных данных, действующими на территории Российской Федерации.
1.4. Основные понятия, используемые в Политике:
— управляющая организация — юридическое лицо независимо от организационно-правовой формы, а также индивидуальный предприниматель, управляющие многоквартирным домом на основании договора управления многоквартирным домом, заключённого с клиентом;
— клиент — собственник помещения в многоквартирном доме, жилого дома, домовладения, а также лицо, пользующееся на ином законном основании помещением в многоквартирном доме, жилым домом, домовладением, потребляющее коммунальные услуги; работник Организации осуществляющий в Организации трудовую деятельность по трудовому договору, либо договору гражданско- правового характера, работник контрагента Организации;
— услуги управляющей компании — действия управляющей компании по оказанию услуг и выполнению работ по управлению, по надлежащему содержанию и ремонту общего имущества в многоквартирном доме, предоставлению коммунальных услуг собственникам помещений используемых для содержания общего имущества многоквартирных домов, осуществление иной направленной на достижение целей управления многоквартирным домом деятельности;
— персональные данные — информация, сохраненная в любом формате относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), которая сама по себе или в сочетании с другой информацией, имеющейся в распоряжении управляющей компании, позволяет идентифицировать личность Клиента;
— обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
— распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
— использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
— конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
1.5. Настоящая политика обязательна к исполнению всеми сотрудниками Организации, описывает основные цели, принципы обработки и требования к безопасности персональных данных Организации.
1.6. Обеспечение безопасности и конфиденциальности персональных данных является одним из приоритетных направлений в деятельности Организации.
1.7. Политика является публичным, равнодоступным документом, представляется для ознакомления всем заинтересованным лицам на сайте по адресу: https://ek-twk.ru.
2.1. Обработка персональных данных Организацией осуществляется на основе принципов:
– обработка персональных данных субъектов осуществляется исключительно для обеспечения соблюдения федеральных законов и иных нормативных правовых актов, соответствия целям, заранее определенным и заявленным при сборе персональных данных;
– объем и содержание обрабатываемых персональных данных субъектов, способы обработки персональных данных соответствуют требованиям федерального законодательства, а также другим нормативным актам и целям обработки персональных данных. Не допускается обработка персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
– персональные данные Организация получает только у самого субъекта (или его законного представителя);
– при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях актуальность по отношению к целям обработки персональных данных. Организацией принимаются необходимые меры по уничтожению (удалению) либо уточнению неполных или неточных данных.
2.2. Обработка персональных данных субъектов персональных данных проводится Организацией с целью:
— осуществления прав и обязанностей Работников в соответствии с трудовым законодательством; ведения персонифицированного учета; исполнения договорных и иных гражданско-правовых отношений при осуществлении Организацией хозяйственной деятельности, повышения оперативности и качества обслуживания клиентов Организации;
— с целью исполнения договорных и иных гражданско-правовых отношений с собственниками и нанимателями помещений в многоквартирных жилых домах при осуществлении Организацией хозяйственной деятельности, повышения оперативности и качества обслуживания Клиентов, управление комплексом недвижимого имущества в многоквартирном доме; обеспечение эксплуатации комплекса недвижимого имущества в многоквартирном доме; оказание услуг в сфере ЖКХ в многоквартирном доме;
— защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
— исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
— осуществления прав и законных интересов Организации;
— иных законных целях.
2.3. Организацией обрабатываются следующие категории персональных данных:
2.3.1. В отношении Работников: фамилия, имя, отчество, дата и место рождения, адрес регистрации и место жительства, реквизиты основного документа, удостоверяющего личность гражданина, данные страхового свидетельства, ИНН, семейное и социальное положения, имущественное положение, образование, квалификация, профессия, сведения о воинском учете (при их наличии), данные медицинского характера (в случаях, предусмотренных законодательством РФ);
2.3.2. В отношении собственников (нанимателей) помещений, членов их семей (Клиентов): фамилия, имя и отчество, год, месяц, дата и место рождения, реквизиты документа, удостоверяющего личность гражданина, сведения о регистрации по месту жительства или временной регистрации по месту пребывания, о месте проживания, данные, сведения о семейном положении, социальных льготах, социальном статусе.
3.1. Порядок работы с персональными данными в Организации регламентирован действующим законодательством РФ, внутренними документами Организации и осуществляется с соблюдением строго определенных правил и условий.
3.2. Обработка персональных данных необходима для исполнения договора на управление многоквартирным домом, стороной которого является субъект персональных данных.
3.3. Обработка персональных данных в Организации осуществляется путем сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, передачи (предоставления, доступа), обезличивания, блокирования, уничтожения персональных данных исключительно для обеспечения соблюдения федерального законодательства и иных нормативных правовых актов, соответствия целям, заранее определенным и заявленным при сборе персональных данных, учета результатов выполнения договорных и иных гражданско-правовых обязательств с субъектом персональных данных. При этом используется смешанный (автоматизированный и неавтоматизированный) способ обработки персональных данных.
3.4. Передача персональных данных третьим лицам осуществляется только в соответствии с действующим законодательством, в том числе с использованием защищенных телекоммуникационных каналов связи.
3.5. Организация не осуществляет трансграничную передачу персональных данных Клиентов.
3.6. Сроки хранения документов, содержащих персональные данные субъектов, определяются в соответствии со сроком действия договора с субъектом персональных данных, Федеральным законом РФ «Об архивном деле в Российской Федерации» № 125-ФЗ от 22.10.2004, сроком исковой давности, а также иными требованиями законодательства РФ. По истечении сроков хранения таких документов они подлежат уничтожению.
3.7. С целью защиты персональных данных при их обработке в информационных системах персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий с ними Организацией, применяются организационные и технические меры.
4.1. Организация обязана при обработке персональных данных Клиентов принимать необходимые организационные и технические меры для защиты персональных данных от несанкционированного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
4.2. Для эффективной защиты персональных данных Клиентов Организация осуществляет:
4.2.1. соблюдение порядка получения, учета и хранения персональных данных Клиентов;
4.2.2. заключения со всеми сотрудниками, связанными с получением, обработкой и защитой персональных данных Клиента, Соглашение о неразглашении персональных данных Клиента;
4.2.3. привлечение к дисциплинарной ответственности сотрудников, виновных в нарушении норм, регулирующих получение, обработку и защиту персональных данных Клиента.
4.3. Допуск к персональным данным Клиентов сотрудников Организации, не имеющих надлежащим образом оформленного доступа, запрещается.
4.4. Документы, содержащие персональные данные Клиентов, хранятся в помещениях Организации, обеспечивающих защиту от несанкционированного доступа.
4.5. Защита доступа к электронным базам данных, содержащим персональные данные Клиентов, обеспечивается:
— использованием лицензионных программных продуктов, предотвращающих несанкционированный доступ третьих лиц к персональным данным Клиентов;
— системой паролей. Пароли устанавливаются системным администратором и сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным Клиентов.
4.6. Копировать и делать выписки персональных данных Клиента разрешается исключительно в служебных целях с письменного разрешения руководителя.
5.1. При обращении субъекта персональных данных (владельца этих данных или его законного представителя) или получении запроса Организация безвозмездно предоставляет в течение 10 дней с даты получения запроса или обращения персональные данные, относящиеся к субъекту персональных данных, в доступной форме, исключающей предоставление персональных данных, относящихся к другим субъектам персональных данных.
5.2. Сторонние организации имеют право доступа к персональным данным субъектов персональных данных только, если они наделены необходимыми полномочиями в соответствии с законодательством Российской Федерации, либо на основании договоров с Организацией, заключенных в связи с требованиями законодательства Российской Федерации.
Основанием для сотрудника Организации в целях предоставления информации о персональных данных субъектов служит резолюция директора организации на соответствующем запросе либо факт подписания соглашения (договора) об информационном обмене.
В соглашение (договор) об информационном обмене включается условие о неразглашении сведений, составляющих персональные данные субъектов, а также служебной информации, ставшей известной в ходе выполнения работ, если для их выполнения предусмотрено использование таких сведений.
5.3. При передаче персональных данных субъектов Организация и уполномоченные им должностные лица соблюдают следующие требования:
– не сообщают персональные данные третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных федеральным законодательством;
– предупреждают лиц, получающих персональные данные, о том, что эти данные могут быть использованы только в целях, для которых они сообщены, и требуют от этих лиц подтверждения соблюдения этого условия, за исключением случаев, установленных федеральным законодательством;
– не отвечают на вопросы, связанные с предоставлением персональной информации, любым третьим лицам без законных оснований (письменного запроса);
– ведут учет передачи персональных данных субъектов по поступившим в Организацию запросам субъектов.
6.1. Должностные лица Организации, обрабатывающие персональные данные, несут ответственность в соответствии с действующим законодательством РФ за нарушение режима защиты, обработки и порядка использования этой информации.
6.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с действующим законодательством РФ.
7.1. Порядок документального оформления факта уничтожения персональных данных в том числе при достижении цели обработки персональных данных либо при отзыве согласия на их обработку осуществляется в соответствии с требованиями действующего законодательства.
7.1.1. Уничтожение персональных данных осуществляется созданной в Организации комиссией по уничтожению защищаемой информации. Комиссия определяет и составляет перечень документов, подлежащих уничтожению, согласно установленным законодательством срокам.
7.1.2. Способами уничтожения персональных данных могут быть:
а) для бумажных носителей персональных данных — разрезание, гидрообработка,
сжигание, механическое уничтожение (пропуск документов через шредер, имеющий 5-ю или 6-ю степень измельчения);
б) для электронных носителей — стирание на устройстве гарантированного уничтожения информации, физическое уничтожение микросхем диска и т.п.
7.1.3. Осуществляется непосредственное уничтожение персональных данных на документах (носителях) без возможности их восстановления.
7.1.4. В зависимости от метода обработки персональных данных могут использоваться несколько способов подтверждения факта уничтожения персональных данных:
а) если обработка персональных данных осуществляется без использования средств автоматизации, документом, подтверждающим уничтожение персональных данных, является акт об уничтожении персональных данных;
б) если обработка персональных данных осуществляется с использованием средств автоматизации, документами, подтверждающими уничтожение персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных;
в) если обработка персональных данных осуществляется одновременно с использованием средств автоматизации и без использования средств автоматизации, документами, подтверждающими уничтожение персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий.
7.1.5. Акт об уничтожении персональных данных содержит:
а) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица) и адрес оператора;
б) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица), адрес лиц, осуществляющих обработку персональных данных по поручению оператора (если обработка была поручена таким лицам);
в) фамилию, имя, отчество (при наличии) субъектов или иную информацию, относящуюся к определенным физическим лицам, чьи персональные данные были уничтожены;
г) фамилию, имя, отчество (при наличии), должность лиц, уничтоживших персональные данные субъекта персональных данных, а также их подпись;
д) перечень категорий уничтоженных персональных данных;
е) наименование уничтоженных материальных носителей, содержащих персональные данные, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);
ж) наименование информационных систем персональных данных, из которых были уничтожены персональные данные (в случае обработки персональных данных с использованием средств автоматизации);
з) способ уничтожения персональных данных;
и) причину уничтожения персональных данных;
к) дату уничтожения персональных данных.
7.1.6. Акт об уничтожении персональных данных в электронной форме, подписанный электронной подписью в установленном порядке, признается электронным документом, равнозначным акту об уничтожении персональных данных на бумажном носителе, подписанному собственноручной подписью.
7.1.7. Выгрузка из журнала должна содержать:
а) фамилию, имя, отчество (при наличии) субъектов или иную информацию, относящуюся к определенным физическим лицам, чьи персональные данные были уничтожены;
б) перечень категорий уничтоженных персональных данных;
в) наименование информационной системы персональных данных, из которой были уничтожены персональные данные;
г) причину уничтожения персональных данных;
д) дату уничтожения персональных данных.
7.1.8. В случае если выгрузка из журнала не позволяет указать отдельные сведения, предусмотренные выше, недостающие сведения вносятся в акт об уничтожении персональных данных.
7.1.9. Акт об уничтожении персональных данных и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения персональных данных, если иные сроки не установлены действующим законодательством.
7.1.10. Организация, в случае прекращения обработки персональных данных, направляет соответствующее уведомление уполномоченному органу по защите прав субъектов персональных данных в течение 10 рабочих дней с даты прекращения обработки персональных данных.
8.1. Настоящая Политика вступает в силу с момента ее утверждения единоличным исполнительным органом- директором Организации.
8.2. Настоящая Политика подлежит корректировке в случае изменения законодательства РФ, регулирующих органов в области защиты персональных данных, внутренних документов Организации в области защиты конфиденциальной информации. При внесении изменений в заголовке Политики указывается номер версии и дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее утверждения директором Организации и размещения на сайте Организации.
8.3. В случае изменения законодательства РФ в области защиты персональных данных, нормы Политики, противоречащие законодательству, не применяются до приведения их в соответствие.
8.4. Действующая редакция Политики хранится по адресу местонахождения единоличного исполнительного органа Организации, электронная версия Политики – на сайте ООО «Эксплуатационная компания «ТВК» по адресу: https://ek-twk.ru.