Положение «О порядке обработки персональных данных»
1. Общие положения
1.1. Настоящее Положение «О порядке обработки персональных данных» (далее — «Положение») издано и применяется АО «Алатарцев.Недвижимость», как оператором обработки персональных данных (далее — Агентство недвижимости Алатарцева), в соответствии с пп. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».), и является основополагающим внутренним регулятивным документом Общества, определяющим ключевые направления его деятельности в области обработки и защиты персональных данных.
1.2. Действие настоящего Положения распространяется на персональные данные российских граждан, персональные данные которых обрабатываются Обществом (далее — «Субъекты персональных данных»).
Согласно положениям части 1 статьи 18 ФЗ «О персональных данных», посвященным обязанностям оператора при сборе персональных данных, а также в соответствии с разъяснениями Минкомсвязи России от 12 августа 2015 года о применении положений ФЗ № 242 от 21 июля 2014 года под сбором персональных данных понимается целенаправленный процесс получения персональных данных Оператором непосредственно от Субъекта персональных данных либо через специально привлеченных для этого третьих лиц. В связи с чем, локализации подлежат только те персональные данные, которые были получены Оператором в результате осуществляемой им целенаправленной деятельности по организации сбора таких данных, а не в результате случайного (незапрошенного) попадания к нему персональных данных.
Случайное, ненамеренное получение, хранение и иные операции с персональными данными российских граждан не влекут обязанности локализовать обработку персональных данных в Агентстве недвижимости Алатарцева, в связи с чем, Агентство недвижимости Алатарцева не должно предпринимать каких-либо действий в отношении персональных данных, случайно к нему попавших. В частности локализация не требуется в случае:
незапрашиваемого получения персональных данных, например, произвольной (случайной) входящей корреспонденции и электронных писем,
получения персональных данных поступивших в Агентстве недвижимости Алатарцева от других юридических лиц, если такие данные представляют собой контактную информацию работников или представителей таких юридических лиц, переданную в ходе осуществления ими своей законной деятельности.
1.3. Настоящее Положение является обязательным для исполнения всеми работниками Агентства недвижимости Алатарцева, работающих по трудовому, заключенному с Агентством недвижимости Алатарцева, которые непосредственно осуществляют обработку или имеют доступ к персональным данным Субъектов, а также лицами, осуществляющими обработку или имеющими доступ к персональным данным Субъектов на основании заключенных Агентством недвижимости Алатарцева договоров, или на иных законных основаниях, в порядке и на условиях, предусмотренных настоящим Положением (далее — Работники).
1.4. Цель разработки Положения — определение порядка обработки персональных данных Субъектов персональных данных; обеспечение защиты прав и свобод Субъектов персональных данных при обработке его персональных данных; установление режима конфиденциальности персональных данных, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.5. При обработке персональных данных Агенство недвижимости Алатарцева применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
1.6. При сборе персональных данных Агентство недвижимости Алатарцева обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных действующим российским законодательством.
1.7. Обработка персональных данных осуществляется в Агентстве недвижимости Алатарцева на основе законодательно определенных принципов (статья 5 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»).
1.8. Настоящее Положение является обязательным для исполнения всеми работниками Агентства недвижимости Алатарцева.
1.9. Настоящее Положение вступает в силу с момента его утверждения Генеральным директором Агентства недвижимости Алатарцева и действует бессрочно до момента отмены действия, либо замены новым Положением. Все изменения в Положение вносятся приказом Генерального директора.
2. Понятия, используемые в настоящем Положении
2.1. Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных субъектов, в том числе их передачи.
2.2. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
2.3. Информация — сведения (сообщения, данные) независимо от формы их представления.
2.4. Использование персональных данных — действия (операции) с персональными данными, совершаемые должностным лицом Агентства недвижимости «Алатарцева» в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении Субъектов персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
2.5. Конфиденциальность персональных данных — обязательное для соблюдения Работником, получившего доступ к персональным данным, требование не допускать их распространения без согласия Субъекта персональных данных или иного законного основания.
2.6. Обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному Субъекту.
2.7. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
2.8. Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия Субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
2.9. Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.10. Организационные мероприятия по защите персональных данных — меры организационного характера, регламентирующие процессы функционирования системы обработки персональных данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности.
2.11. Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (Субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая информация;
2.12. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
2.13. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
2.14. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранному государству, иностранному физическому или юридическому лицу.
2.15. Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
3. Состав персональных данных
3.1. В состав персональных данных Субъектов входят следующие персональные данные:
3.1.1. Фамилия, имя, отчество;
3.1.2. Дата рождения;
3.1.3. Месторождения;
3.1.4. Паспортные данные:
вид документа;
серия и номер документа;
орган, выдавший документ (наименование, код подразделения);
дата выдачи документа.
3.1.5. Адрес регистрации места жительства;
3.1.6. Адрес фактического места жительства;
3.1.7. Персональный идентификационный номер;
3.1.8. Пол;
3.1.9. Номер контактного телефона;
3.1.10. Адрес электронной почты;
3.1.11. Сведения о близких родственниках:
Фамилия, имя, отчество;
Дата рождения;
Место рождения;
Адрес проживания;
Место работы и должность;
Контактные данные.
3.1.12. Сведения о трудовой деятельности;
3.1.13. Сведения об образовании;
3.1.14. Сведения об уровне доходов;
3.2. Субъектом персональных данных или его представителем могут быть переданы персональные данные Субъекта, отличные от приведенных в пп. 3.1.1-3.1.14. при условии соответствия их содержания и объема заявленным целям обработки.
4. Ответственный за организацию обработки персональных данных
4.1. В соответствии с требованиями ст. 22.1 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее — Федеральный закон «О персональных данных») приказом Генерального директора Общества назначается лицо, ответственное за организацию обработки персональных данных, как в информационных системах Общества, в которых обрабатываются персональные данные, так и при обработке персональных данных без использования средств автоматизации (далее — Ответственный за организацию обработки персональных данных).
4.2. Ответственный за организацию обработки персональных данных получает указания непосредственно от Генерального директора Агентства недвижимости Алатарцева и подотчетно ему.
4.3. В соответствии с ч. 4 ст. 22.1 Федерального закона «О персональных данных» Ответственный за организацию обработки персональных данных обязан:
осуществлять внутренний контроль и (или) аудит за соблюдением Обществом, как оператором персональных данных, и его работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных;
доводить до сведения работников Агентства недвижимости Алатарцева положения законодательства РФ о персональных данных, локальных актов Агентства недвижимости Алатарцева по вопросам обработки персональных данных, требований к защите персональных данных;
организовывать прием и обработку обращений и запросов Субъектов или их представителей и осуществлять контроль за приемом и обработкой таких обращений и запросов.
4.4. На Ответственного за организацию обработки персональных данных возлагается задача по организации выполнения законодательных требований при обработке персональных данных в Агентстве недвижимости Алатарцева
4.5. На время отсутствия Ответственного за организацию обработки персональных данных его обязанности исполняет сотрудник, замещающий его по штатному расписанию.
4.6. Ответственными за организацию выполнения требований локальных актов Агентства недвижимости Алатарцева по вопросам обработки персональных данных и их защите в структурных подразделениях Агентства недвижимости Алатарцева являются руководители этих подразделений. На время отсутствия этих руководителей ответственными являются лица, штатно замещающие их.
4.7. Ответственными за выполнение требований локальных актов Агентства недвижимости Алатарцева по вопросам обработки персональных данных и их защите на своих рабочих местах в рамках определенных соответствующими должностными инструкциями, являются лица, уполномоченные в установленном порядке обрабатывать в Агентстве недвижимости Алатарцева персональные данные.
5. Организация защиты персональных данных в информационных системах
5.1. Для обеспечения безопасности персональных данных, обрабатываемых в информационных системах Агентства недвижимости Алатарцева, применяются организационные, технические, программные методы и средства защиты информации.
5.2. Разработка и организация мероприятий по защите персональных данных в Агентстве недвижимости Алатарцева осуществляется менеджером по информационно-коммуникационным технологиям, директором по безопасности, юрисконсультом и руководителем службы персонала.
5.3. В целях обеспечения безопасности обрабатываемых персональных данных:
5.3.1. разрабатываются положения, регламенты, инструкции и иные локальные акты в Агентстве недвижимости Алатарцева по направлениям, связанным с обработкой и защитой персональных данных;
5.3.2. определяются состав и объем организационных мероприятий по защите персональных данных в соответствии с требованиями законодательства РФ;
5.3.3. определяется состав технических средств защиты информации для системы защиты персональных данных;
5.3.4. осуществляется сопровождение и контроль внедрения и эксплуатации средств защиты информации в информационных системах Агентства недвижимости Алатарцева;
5.3.5. осуществляется контроль за соблюдением в Агентстве недвижимости Алатарцева норм и требований законодательства РФ по направлениям, связанным с обработкой и защитой персональных данных;
5.3.6. осуществляется контроль всех использования Информационной системы персональных данных путем автоматического сохранения входов/выходов любого из работников Агентства недвижимости Алатарцева, непосредственно осуществляющих обработку персональных данных;
5.3.7. осуществляется регулярное резервное копирование Информационной системы персональных данных, что позволяет восстановить копию Информационной системы персональных данных на конец предыдущего дня;
5.3.8. в Агентстве недвижимости Алатарцева используется электронная система защиты Информационной системы персональных данных, предусматривающая:
использование парольной защиты, паролями обладают только Работники, осуществляющие обработку персональных данных, при этом доступ между категориями персональных данных разграничен;
на сервере Агентства недвижимости Алатарцева с Информационной системой персональных данных установлено лицензионное антивирусное программное обеспечение и межсетевой экран, для предотвращения попыток взлома Информационной системой персональных данных и (или) установки вредоносного программного обеспечения на сервер Агентства недвижимости Алатарцева.
для сервера с Информационной системой персональных данных установлено регулярное резервное копирование на внешний носитель, с возможностью восстановления состояния БД.
5.3.9. при сборе персональных данных Агентстве недвижимости Алатарцева осуществляет запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных осуществляется с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных ФЗ «О персональных данных». В целях хранения баз данных с персональными данными работников Агентство недвижимости «Алатарцева» используется виртуальный сервер, расположенный по адресу: Россия, Томская область, г. Томск, пр. Ленина, 133а, пом. 32.
5.3.10. осуществляется учет оборудования, используемого для хранения персональных данных.
5.4. Агентство недвижимости Алатарцева осуществляет определение типа угроз безопасности персональных данных, актуальных для информационной системы с учетом оценки возможного вреда во исполнении п. 5 части 1 статьи 18.1 Федерального закона «О персональных данных». Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого может стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
5.5. Агентство недвижимости Алатарцева обеспечивает неограниченный доступ к настоящему Положению как в письменной форме, так и в электронной (размещенной на общем сервере Агентства недвижимости Алатарцева в папке с открытым доступом, а также информационно-телекоммуникационных сети). При осуществлении сбора персональных данных с использованием информационно-телекоммуникационных сети, Агентство недвижимости Алатарцева публикует в соответствующей информационно-телекоммуникационной сети настоящее Положение, а также обеспечивает возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
6. Работники, осуществляющие обработку персональных данных
6.1. Состав Работников, осуществляющих обработку персональных данных, определяется руководителем подразделения Агентства недвижимости Алатарцева, обрабатывающего персональные данные Субъектов, и утверждается приказом Генерального директора Агентства недвижимости Алатарцева.
6.2. Работники, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены с положениями
законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, положениями и актами Агентства недвижимости Алатарцева, определяющими политику в отношении обработки персональных данных.
6.3. С Работниками, непосредственно осуществляющими обработку персональных данных, должны быть в установленном порядке оформлены обязательства о выполнении требований положений и актов Агентства недвижимости Алатарцева по обработке, защите и неразглашении информации ограниченного доступа (далее — Обязательство).
6.4. Обязательство подлежит оформлению со всеми лицами, осуществляющими обработку персональных данных в Агентстве недвижимости Алатарцева или имеющими к ним доступ.
7. Согласие субъекта персональных данных
7.1. В соответствии с Федеральным законом «О персональных данных» субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных (далее — Согласие) должно быть конкретным, информированным и сознательным.
7.2. Согласие может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено законодательством РФ. В случае получения Согласия от представителя субъекта персональных данных полномочия данного представителя на дачу Согласия от имени субъекта персональных данных проверяются Агентством недвижимости Алатарцева.
7.3. Обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных действующим законодательством РФ. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с действующим законодательством Российской Федерации электронной подписью.
7.4. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно соответствовать требованиям ч. 4 ст. 9 Федерального закона «О персональных данных».
7.5. В случае недееспособности субъекта персональных данных Согласие на обработку персональных данных дает представитель субъекта персональных данных. В случае смерти субъекта персональных данных Согласие дают наследники субъекта персональных данных, если такое Согласие не было дано субъектом персональных данных при его жизни.
7.6. Форма Согласия на обработку персональных данных приведена в Приложении № 1 к настоящему Положению.
7.7 Субъект может отозвать свое Согласие. В этом случае Агентство недвижимости Алатарцева вправе продолжить обработку персональных данных без Согласия Субъекта при наличии оснований, указанных в ч. 1 ст. 6 Федерального закона «О персональных данных».
8. Порядок сбора, обработки и хранения персональных данных работников Агентства недвижимости Алатарцева
8.1. Понятие и состав персональных данных.
8.1.1. Персональные данные работника — информация, необходимая работодателю в связи с трудовыми отношениями и касающиеся конкретного работника или исполнения им обязательств по иному договору, заключенному с Агентством недвижимости Алатарцева в соответствии с действующим законодательством.
8.1.2. Состав Персональных данных работника:
анкетные, биографические данные, фотографии;
образование; — сведения о трудовом и общем стаже;
сведения о составе семьи; — паспортные данные;
сведения о воинском учете;
сведения о заработной плате сотрудника;
сведения о социальных льготах;
специальность,
занимаемая должность;
наличие судимостей;
адрес места жительства;
домашний телефон;
место работы или учебы членов семьи и родственников;
содержание трудового договора;
состав декларируемых сведений о наличии материальных ценностей;
содержание декларации, подаваемой в налоговую инспекцию;
подлинники и копии приказов по личному составу;
личные дела и трудовые книжки сотрудников;
основания к приказам по личному составу;
дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
копии отчетов, направляемые в органы статистики;
иные сведения о работнике.
Данные документы являются конфиденциальными, хотя, учитывая их массовость и единое место обработки и хранения — соответствующий гриф ограничения на них не ставится.
8.2 Обязанности работодателя:
8.2.1 В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым Кодексом и иными федеральными законами;
Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;
Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом;
При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом;
Работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
Работники не должны отказываться от своих прав на сохранение и защиту тайны.
8.3. Обязанности работника:
Передавать работодателю или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен Трудовым кодексом РФ;
Своевременно сообщать работодателю об изменении своих персональных данных.
8.4. Права работника:
Требовать исключения или исправления неверных или неполных персональных данных;
На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;
Персональные данные оценочного характера дополнить заявлением, выражающим его собственную точку зрения;
Определять своих представителей для защиты своих персональных данных;
На сохранение и защиту своей личной и семейной тайны.
8.5. Обработка, передача и хранение персональных данных работника. К обработке, передаче и хранению персональных данных работника могут иметь доступ следующие сотрудники:
генеральный директор;
руководители структурных подразделений по направлению деятельности (доступ к личным данным только сотрудников своего подразделения);
ассистент генерального директора,
сотрудники службы персонала;
сотрудники финансовой службы и бухгалтерии;
менеджер по информационно-коммуникационным технологиям;
директор службы безопасности;
сам работник, носитель данных.
8.6. Режим конфиденциальности персональных данных работников снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом и настоящим Положением.
8.7. При передаче персональных данных работника работодатель должен соблюдать следующие требования:
не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом или соглашением сторон;
не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
передавать персональные данные работника представителям работников в порядке, установленном Трудовым Кодексом, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
8.8. Передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
8.9. При передаче персональных данных работника потребителям (в том числе и в коммерческих целях) за пределы Компании работодатель не должен сообщать эти данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника или в случаях, установленных федеральным законом.
8.10. Все меры конфиденциальности при сборе, обработке и хранении персональных данных сотрудника распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
8.11. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.
8.12. По возможности персональные данные обезличиваются.
8.13. Доступ к персональным данным работников:
8.13.1. Внутренний доступ (доступ внутри организации). Право доступа к персональным данным сотрудника имеют:
генеральный директор;
руководители структурных подразделений по направлению деятельности (доступ к личным данным только сотрудников своего подразделения);
ассистент генерального директора,
сотрудники службы персонала;
сотрудники финансовой службы и бухгалтерии;
менеджер по информационно-коммуникационным технологиям;
директор службы безопасности;
сам работник, носитель данных.
Другие сотрудники организации имеют доступ к персональным данным работника только с письменного согласия самого работника, носителя данных.
8.13.2. Внешний доступ. К числу массовых потребителей персональных данных вне Компании можно отнести государственные и негосударственные функциональные структуры:
налоговые инспекции;
правоохранительные органы;
органы статистики;
страховые агентства;
военкоматы;
органы социального страхования;
пенсионные фонды;
подразделения муниципальных органов управления;
8.13.3. Надзорно — контрольные органы имеют доступ к информации только в сфере своей компетенции.
8.13.4. Организации, в которые сотрудник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае его письменного разрешения.
8.13.5. Другие организации. Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии нотариально заверенного заявления работника.
8.13.6. Родственники и члены семей. Персональные данные сотрудника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого сотрудника. В случае развода бывшая супруга (супруг) имеют право обратиться в организацию с письменным запросом о размере заработной платы сотрудника без его согласия.
8.14. Защита персональных данных работников Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию. Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании.
8.14.1. «Внутренняя защита»:
8.14.1.1. Регламентация доступа персонала к конфиденциальным сведениям, документами и базами данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий руководителями и специалистами компании. Для защиты персональных данных работников необходимо соблюдать ряд мер:
ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;
строгое избирательное и обоснованное распределение документов и информации между работниками;
рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;
знание работником требований нормативно — методических документов по защите информации и сохранении тайны;
наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;
организация порядка уничтожения информации;
своевременное выявление нарушения требований разрешительной системы доступа работниками подразделения;
воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
не допускается выдача личных дел сотрудников на рабочие места руководителей. Личные дела могут выдаваться на рабочие места только Директору, Менеджеру по работе с персоналом и в исключительных случаях, по письменному разрешению Директора, руководителю структурного подразделения.
8.14.1.2. Защита персональных данных сотрудника на электронных носителях. Все папки, содержащие персональные данные сотрудника, должны быть защищены паролем.
8.14.2. «Внешняя защита»:
8.14.2.1.Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности компании, посетители, работники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе персонала.
8.14.2.2. Для защиты персональных данных сотрудников необходимо соблюдать ряд мер:
порядок приема, учета и контроля деятельности посетителей;
пропускной режим компании;
учет и порядок выдачи удостоверений;
технические средства охраны, сигнализации;
порядок охраны территории, зданий, помещений, транспортных средств;
требования к защите информации при интервьюировании и собеседованиях.
8.14.2.3. Все лица, связанные с получением, обработкой и защитой персональных данных сотрудника обязаны заключить «Соглашение о неразглашении персональных данных сотрудников компании».
9. Особый порядок сбора и обработки персональных данных Субъектов, поступающих на любой электронный адрес Агентства недвижимости Алатарцева, в целях возможного дальнейшего трудоустройства
9.1. Субъект самостоятельно принимает решение о предоставлении своих персональных данных и предоставляет согласие на обработку таких персональных данных свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано Субъектом путем направления персональных данных на любой электронный адрес Агентства недвижимости Алатарцева; 9.2. Случайное, незапрашиваемое получение, хранение и иные операции с персональными данными российских граждан поступившими на любой электронный адрес Агентства недвижимости Алатарцева не влечет обязанности локализовать обработку персональных данных в Агентстве недвижимости Алатарцева.
10. Порядок сбора, обработки и хранения персональных данных Субъектов персональных данных, являющихся работниками и/или представителями контрагентов Агентства недвижимости Алатарцева и иных физических лиц
10.1. Обработка персональных данных
10.1.1. Требования к способам обработки персональных данных Субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
10.1.2. Обработка персональных данных, осуществляемая без использования средств автоматизации, строится на принципах, изложенных в «Положении об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденном Постановлением Правительства РФ от 15.09.2008 г. № 687.
10.1.3. Согласие в письменной форме работников и/или представителей контрагентов и иных физических лиц на обработку их персональных данных должно соответствовать требованиям ч. 4 ст. 9 Федерального закона «О персональных данных».
10.1.4. Согласие на обработку персональных данных сотрудников контрагентов как юридических, так и физических лиц осуществляется путем: — указания в тексте договора (как типового, так и нетипового), дополнительного соглашения к договору подтверждения контрагента о получении согласия своих работников и иных физических лиц, действующих от его имени или в его интересах, на (i) обработку их персональных данных, (ii), а также на передачу их персональных данных (включая имя, фамилию, отчество, занимаемую должность, рабочий телефон, адрес электронной почты, адрес местонахождения офиса и иные применимые данные) как Агентство недвижимости Алатарцева, для целей исполнения заключаемого с Агентством недвижимости Алатарцева договора и осуществления иного взаимодействия (Проект текста дополнений об условиях обработки персональных данных к договорам с юридическими и физическими лицами указан в Приложении 2 к настоящему Положению). — получения согласия на обработку персональных данных работника контрагента юридического лица в письменной форме по образцу, указанному в Приложении 1 к настоящему Положению.
10.1.5. Согласие на обработку персональных данных иных физических лиц, не являющихся ни работниками Агентства недвижимости Алатарцева осуществляется путем: — получения согласия на обработку персональных данных физического лица в письменной форме по образцу, указанному в Приложении 1 к настоящему Положению. 10.2. Порядок хранения документов (материальных носителей), содержащих персональные данные, должен предусматривать раздельное, по возможности, хранение документов по соответствующим категориям персональных данных, с назначением мест хранения и ответственных за хранение с соблюдением конфиденциальности персональных данных и исключением несанкционированного доступа к ним, а также определением мер контроля обеспечения безопасности персональных данных при хранении их материальных носителей.
10.3. В соответствии с частью 5 статьи 18 ФЗ «О персональных данных», а также разъяснениями Минкомсвязи России от 12 августа 2015 года о применении положений ФЗ № 242 от 21 июля 2014 года:
локализации подлежат только те персональные данные, которые были получены Агентством недвижимости Алатарцева в результате осуществляемой им целенаправленной деятельности по организации сбора таких данных, а не в результате случайного (незапрошенного) попадания к нему персональных данных. Случайное, ненамеренное получение, хранение и иные операции с персональными данными российских граждан не влекут обязанности локализовать обработку персональных данных в Агентстве недвижимости Алатарцева, в связи с чем Агентство недвижимости Алатарцева не должно предпринимать каких-либо действий в отношении персональных данных, случайно к нему попавших, в том числе в случае получения персональных данных поступивших Агентстве недвижимости «Алатарцева» от других юридических лиц, если такие данные представляют собой контактную информацию работников или представителей таких юридических лиц, переданную в ходе осуществления ими своей законной деятельности.
обязанность Агентства недвижимости Алатарцева обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, считается исполненной, когда указанные действия были совершены при сборе персональных данных с использованием базы данных, находящейся на территории Российской Федерации. В связи с чем, если в отношении определенного набора персональных данных уже были ранее выполнены требования ФЗ-242, повторная локализация таких персональных данных в Агентстве недвижимости Алатарцева не требуется. Соответственно, если персональные данные были при сборе записаны в базу данных, расположенную на территории Российской Федерации, то впоследствии такие персональные данные могут вноситься работником (представителем) Агентства недвижимости Алатарцева в принадлежащую ему электронную базу данных, находящуюся за пределами РФ.
10.4. Передача персональных данных возможна только с согласия Субъекта персональных данных, или в случаях, предусмотренных законодательством РФ.
10.5. При передаче персональных данных Субъекта персональных данных Общество соблюдает следующие требования:
не сообщать персональные данные Субъекта третьей стороне без письменного согласия Субъекта, за исключением случаев, предусмотренных законодательством РФ;
не допускается отвечать на вопросы, связанные с передачей персональных данных Субъекта персональных данных, по телефону, электронной почте или посредством других средств открытой связи.
10.6. Доступ Субъектов персональных данных к персональным данным:
субъект персональных данных имеет право на получение информации, касающейся обработки их персональных данных, объем и содержание которой указаны в ч. 7 ст. 14 Федерального закона «О персональных данных».
в соответствии с ч. 1 ст. 20 Федерального закона «О персональных данных» Агентства недвижимости Алатарцева обязано сообщить Субъекту или его представителю информацию о наличии персональных данных, относящихся к соответствующему Субъекту, а также предоставить возможность ознакомления с этими персональными данными в течение тридцати дней с момента получения запроса Субъекта или его представителя.
для реализации своего права на получение информации, касающейся обработки его персональных данных, Субъект персональных данных, в случае оформления им письменного запроса, должен подписать и передать его лично или через своего представителя в Агентство недвижимости Алатарцева по месту нахождения Агентства недвижимости Алатарцева.
в случае отказа в предоставлении информации, касающейся персональных данных о соответствующем Субъекте, Агентство недвижимости Алатарцева обязано дать заявителю в письменной форме мотивированный ответ, содержащий ссылку на положение ч. 8 ст. 14 Федерального закона «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30 дней со дня обращения Субъекта или его представителя, либо с момента получения запроса Субъекта или его представителя.
11. Трансграничная передача персональных данных
11.1 При необходимости трансграничной передачи персональных данных на территории иностранных государств Агентство недвижимости Алатарцева обязано убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных.
11.2. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
наличия Согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
предусмотренных международными договорами РФ;
предусмотренных федеральными законами РФ, если это необходимо в целях защиты основ конституционного строя РФ, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
исполнения договора, стороной которого является субъект персональных данных;
защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
11.3. Согласно разъяснениям Минкомсвязи России от 12 августа 2015 года о применении положений ФЗ № 242 от 21 июля 2014 года передача персональных данных за пределы РФ возможна, с соблюдением условий, указанных в законе «О персональных данных» (в частности, при наличии согласия физического лица на трансграничную передачу его данных). Персональные данные граждан РФ, первоначально внесенные в базу данных на территории РФ («первичная база данных») и актуализируемые в ней, могут далее передаваться в базы данных, расположенные за пределами России («вторичные базы данных»), администрируемые иными лицами, с соблюдением положений о трансграничной передаче данных. До трансграничной передачи персональных данных третьим лицам Агентству недвижимости Алатарцева необходимо подписать с такими третьими лицами соглашение о передаче данных, получить согласие субъекта персональных данных на трансграничную передачу и в общем порядке реализовать иные меры защиты данных, предусмотренные настоящим Положением и действующим российским законодательством.
11.4. Если в отношении определенного набора персональных данных уже были ранее выполнены требования ФЗ-242, повторная локализация таких персональных данных в Агентстве недвижимости Алатарцева не требуется. Если персональные данные были при сборе записаны в базу данных, расположенную на территории Российской Федерации, то впоследствии такие персональные данные могут вноситься работником (представителем) Агентства недвижимости Алатарцева в принадлежащую ему электронную базу данных, находящуюся за пределами Российской Федерации.
12. Прекращение обработки, уточнение, блокирование и уничтожение персональных данных
12.1. В соответствии с Федеральным законом «О персональных данных» в случае выявления неправомерной обработки персональных данных при обращении Субъекта или его представителя либо по запросу Субъекта или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Агентство недвижимости Алатарцева обязано осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому Субъекту с момента такого обращения или получения указанного запроса.
12.2. В соответствии с Федеральным законом «О персональных данных» в случае выявления неточных (неполных, устаревших) персональных данных при обращении Субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Агентство недвижимости Алатарцева обязано осуществить блокирование персональных данных, относящихся к этому Субъекту с момента такого обращения или получения указанного запроса, если блокирование персональных данных не нарушает права и законные интересы Субъекта или третьих лиц.
12.3. Решение о блокировании персональных данных соответствующего Субъекта принимает Работник ответственный за обработку персональных данных.
12.4. Проверку факта неправомерной обработки персональных данных или неточности обрабатываемых персональных данных инициирует и организует Ответственный за организацию обработки персональных данных. Проверка проводится силами специалистов и руководителей подразделений Агентства недвижимости Алатарцева, в которых обрабатываются персональные данные, относящиеся к соответствующему Субъекту, с привлечением по необходимости специалистов иных подразделений Агентства недвижимости «Алатарцева» по распоряжению Ответственного за организацию обработки персональных данных. Результаты проведенной проверки незамедлительно докладываются Ответственному за организацию обработки персональных данных способом и в форме, определенными им в распоряжении или иным порядком.
12.5. Уничтожение (либо обезличивание) выполняется в срок, не превышающий 30 дней с момента наступления события, приводящего к необходимости уничтожения (обезличивания), если иное не предусмотрено договором с контрагентом сотрудником которого является Субъект персональных данных., а также если Агентстве недвижимости Алатарцева не вправе осуществлять обработку персональных данных без согласия Субъекта на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.
12.6. Факт отсутствия возможности уничтожения персональных данных по различным причинам докладывается Работником, являющимся ответственным за организацию (выполнение) процедуры уничтожения.
13. Уведомление об обработке персональных данных
13.1. Общество обязано уведомить уполномоченный орган по защите прав субъектов персональных данных об осуществлении обработки персональных данных, за исключением случаев, указанных в ч.2 ст. 22 Федерального закона «О персональных данных».
13.2. При подготовке уведомления (изменений в уведомление) необходимо руководствоваться официальными рекомендациями уполномоченного органа по защите прав субъектов персональных данных по заполнению образца формы уведомления об обработке персональных данных.
13.3. В соответствии с ч. 7 ст. 22 Федерального закона «О персональных данных» в случае изменения сведений, указанных в уведомлении, Общество обязано уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение 10 рабочих дней с момента возникновения таких изменений.
13.4. Необходимость внесения изменений в ранее поданное уведомление в уполномоченный орган по защите прав субъектов персональных данных определяет Ответственный за организацию обработки персональных данных.
14. Ответственность за нарушение норм, регулирующих обработку и безопасность персональных данных
14.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Субъекта, привлекаются к материальной, административной, уголовной и гражданско-правовой ответственности на основании судебного решения, а также к дисциплинарной ответственности.
Директор АО «Алатарцев. Недвижимость»
В. В. Алатарцев
27 августа 2015 г.