Политика обработки персональных данных

Политика обработки и защиты персональных данных

1. Определения и сокращения, используемые в Политике

1.1. Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному лицу или определяемому физическому лицу (субъекту персональных данных).

1.2. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.3. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

1.4. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

1.5. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

1.6. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.7. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных к конкретному субъекту персональных данных.

1.8. Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

1.9. Информация – сведения (сообщения, данные) независимо от формы их представления.

2. Общие положения

2.1. Настоящий документ определяет политику Государственного предприятия Калининградской области «Водоканал» (далее – Оператор) в отношении обработки и защиты персональных данных.

2.2. Политика обработки и защиты персональных данных Оператора (далее - Политика) определяет:

- правовые основы обеспечения безопасности ПДн;

- принципы и цели обработки ПДн;

- перечни субъектов ПДн и обрабатываемых ПДн;

- операции, совершаемые с ПДн, и сроки их обработки;

- получение/передача ПДн третьим лицам;

- поручение обработки ПДн третьим лицам;

- права и обязанности субъектов и работников Оператора при обработке ПДн;

- меры, принимаемые Оператора для защиты ПДн;

- контроль и надзор за обработкой ПДн.

2.3. Настоящая Политика разработана в соответствии с п. 2 ст. 18.1 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» и с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных.

2.4. Целью настоящей Политики является определение порядка обработки персональных данных граждан; обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным граждан, за невыполнение требований и норм, регулирующих обработку и защиту персональных данных.

2.5. Политика действует в отношении всех персональных данных, обрабатываемых Оператором, полученных как до, так и после подписания настоящей Политики.

2.6. Действие настоящей Политики распространяется на персональные данные, обрабатываемые с применением средств автоматизации и без применения таких средств.

2.7. Действие настоящей Политики распространяется на все процессы, в рамках которых осуществляется обработка персональных данных субъектов ПДн всех категорий, а также на должностных лиц, принимающих участие в указанных процессах.

2.8. Основные положения документа могут быть распространены также на подразделения других организаций и учреждений, осуществляющие взаимодействие с Оператором в качестве поставщиков и потребителей (пользователей) информации.

3. Правовые основы обработки персональных данных

3.1. Правовыми основами обработки Оператором персональных данных являются:

- Конституция российской Федерации;

- Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;

- Жилищный кодекс Российской Федерации от 29.12.2004 № 188-ФЗ;

- Гражданский кодекс Российской Федерации от 30.11.1994 № 51-ФЗ;

- Налоговый кодекс Российской Федерации от 05.08.2000 № 117-ФЗ;

- Федеральный закон от 07.12.2011 № 416-ФЗ «О водоснабжении и водоотведении»;

- Федеральный закон от 21.07.2014 № 209-ФЗ «О государственной информационной системе жилищно-коммунального хозяйства»;

- Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;

- Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;

- Федеральный закон от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;

- Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;

- Федеральный закон от 22.10.2004 октября 2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации»;

- Федеральный закон от 06.12.2011 6 декабря 2011 г. № 402-ФЗ «О бухгалтерском учете»;

- Федеральный закон от 06.04.2011 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи»;

- Постановление Правительства Российской Федерации от 06.05.2011 № 354
«О предоставлении коммунальных услуг собственникам и пользователям помещений в многоквартирных домах и жилых домов»;

- Постановление Правительства Российской Федерации от 29.07.2013 № 644
«Об утверждении Правил холодного водоснабжения и водоотведения и о внесении изменений в некоторые акты Правительства Российской Федерации»;

- Постановление Правительства Российской Федерации от 29.07.2013 № 645
«Об утверждении типовых договоров в области холодного водоснабжения и водоотведения»;

- Постановление Правительства Российской Федерации от 04.09.2013 № 776
«Об утверждении Правил организации коммерческого учета воды, сточных вод»;

- Приказ Минкомсвязи России № 74, Минстроя России № 114/пр от 29.02.2016
«Об утверждении состава, сроков и периодичности размещения информации поставщиками информации в государственной информационной системе жилищно-коммунального хозяйства»;

- Иные нормативные правовые акты Российской Федерации в области защиты персональных данных;

- Устав Оператора;

- Договор между Оператором и субъектом ПДн;

- Согласие субъекта ПДн на обработку его персональных данных.

4. Персональные данные, обрабатываемые Оператором

4.1. Оператором обрабатываются ПДн следующих категорий субъектов:

- Работники.

- Близкие родственники работников.

- Кандидаты на вакантную должность.

- Уволенные работники.

- Абоненты.

- Заявители.

- Контрагенты.

4.2. Перечень ПДн работников (в том числе близкие родственники работников), кандидатов на вакантную должность, уволенных работников, контрагентов, обрабатываемых Оператором:

- фамилия, имя, отчество;

- дата рождения и место рождения;

- данные документа, удостоверяющего личность (серия, номер, когда и кем выдан, код подразделения);

- адрес постоянной регистрации и проживания;

- гражданство;

- пол;

- адрес электронной почты;

- номер контактного телефона;

- фотография;

- семейное положение;

- сведения из свидетельства о постановке на налоговый учет (ИНН);

- сведения из свидетельства о государственном пенсионном страховании (СНИЛС);

- сведения о воинском учёте;

- сведения об образовании, о повышении квалификации, о профессиональной переподготовке;

- сведения об ученой степени, ученых званиях;

- информация о владении иностранными языками, степень владения;

- сведения о начислениях по заработной плате;

- должность;

- данные о трудовом стаже, включая предыдущие места работы;

- данные о налоговых вычетах;

- номер банковского лицевого счета, наименование банка;

- состав семьи: степень родства, ФИО, дата рождения, сведения из документов, удостоверяющих личность ребенка, сведения о месте учебы;

- сведения о состоянии здоровья;

- сведения о праве собственности на объекты недвижимости;

- файлы cookies (отслеживания состояния сеанса доступа пользователя, хранения сведений статистики о пользователях).

4.3. Перечень ПДн абонентов и заявителей, обрабатываемых Оператором:

- фамилия, имя, отчество;

- дата рождения;

- паспортные данные (серия, номер, когда и кем выдан, код подразделения);

- сведения из свидетельства о постановке на налоговый учет (ИНН);

- адрес постоянной регистрации и проживания;

- сведения из документа о праве собственности;

- адрес помещения (объекта);

- фамилия, имя, отчество, дата рождения, степень родства зарегистрированных лиц;

- информация о состоянии расчётов;

- контактный телефон;

- адрес электронной почты;

- ID абонента;

5. Операции, совершаемые с персональными данными.

Сроки обработки персональных данных

5.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

5.2. Обработка ПДн осуществляется с момента их получения Оператором и прекращается:

- по достижению целей обработки ПДн;

- в связи с отсутствием необходимости в достижении заранее заявленных целей обработки ПДн;

- в связи с отзывом согласия на обработку ПДн;

- в связи с ликвидацией Оператора как юридического лица.

Срок обработки ПДн работников, (в том числе близкие родственники работников), кандидатов на вакантную должность, уволенных работников – 50/75 лет, если не установлен иной срок архивного хранения в соответствии с действующим законодательством, если не установлен иной срок хранения в соответствии с действующим законодательством. Срок хранения 50/75 лет означает, что документы, законченные делопроизводством до 1 января 2003 года, хранятся 75 лет; законченные делопроизводством после 1 января 2003 года, хранятся 50 лет.

Срок обработки ПДн контрагентов – в течение срока оказания услуг, предусмотренных договором между Оператором и контрагентом, и 5 лет после его окончания, если не установлен иной срок хранения в соответствии с действующим законодательством.

Срок обработки ПДн абонентов – в течение срока действия договора, заключенного между Оператором и абонентом, и 5 последующих лет с момента окончания исполнения обязательств сторон по договору, если не установлен иной срок хранения в соответствии с действующим законодательством.

Срок обработки ПДн заявителей – 3 года с момента исполнения заявки, если не установлен иной срок хранения в соответствии с действующим законодательством.

6. Цели и принципы обработки ПДн

6.1. Целями обработки ПДн Оператором являются:

- обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, получение образования и продвижение по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы и обеспечение сохранности имущества;

- оказание услуг, предусмотренных договором между Оператором и контрагентом;

- исполнение договора между Оператором и абонентом для предоставления услуг, начисления платежей и выполнения других операций, предусмотренных договором;

- исполнение заявки.

6.2. Обработка ПДн осуществляется на основе следующих принципов:

- обработка ПДн осуществляется на законной и справедливой основе;

- обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;

- не допускается обработка ПДн, несовместимая с целями сбора ПДн;

- не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;

- обработке подлежат только ПДн, которые отвечают целям их обработки;

- содержание и объем обрабатываемых ПДн соответствует заявленным целям обработки;

- при обработке ПДн обеспечиваются их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн.

7. Права и обязанности субъекта персональных данных

7.1. В соответствии с п.3 ст. 14 Федерального закона от 27.07.2006 №152-ФЗ
«О персональных данных» субъект ПДн имеет право на получение информации, касающейся обработки его ПДн.

7.2. Информация, касающаяся обработки ПДн субъекта, предоставляемая субъекту, не должна содержать ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, когда имеются законные основания для раскрытия таких данных.

7.3. Субъект ПДн вправе требовать от Оператора, уточнения этих ПДн, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

7.4. Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии
с федеральными законами.

7.5. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с субъектом ПДн (потенциальным потребителем) с помощью средств связи допускается только при условии предварительного согласия субъекта ПДн.

Оператор обязан немедленно прекратить по требованию субъекта ПДн обработку его персональных данных в вышеуказанных целях.

7.6. Если субъект ПДн считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Оператора в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

7.7. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда.

8. Конфиденциальность персональных данных

8.1. Оператор и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

9. Получение и передача персональных данных третьим лицам

9.1. Оператор в ходе своей деятельности имеет право получать от третьих лиц и передавать третьим лицам обрабатываемые ПДн в интересах и с согласия субъектов ПДн,
а также без согласия субъекта ПДн – в случаях, предусмотренных федеральным законодательством.

10. Общедоступные источники персональных данных

10.1. В целях информационного обеспечения Оператором могут создаваться общедоступные источники персональных данных субъектов ПДн – работников Оператора, в том числе справочники и адресные книги. В общедоступные источники персональных данных с письменного согласия субъекта ПДн могут включаться персональные данные работника.

10.2. Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта ПДн, уполномоченного органа по защите прав субъектов персональных данных либо по решению суда.

11. Поручение обработки персональных данных другому лицу

11.1. Оператор вправе поручить обработку ПДн другому лицу на основании заключаемого с ним договора, только с согласия субъекта ПДн, если иное не предусмотрено федеральным законом. Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» и настоящей Политикой.

12. Права и обязанности работников Оператора, уполномоченных на обработку персональных данных

12.1. Работники Оператора, уполномоченные на обработку ПДн обязаны:

- знать и выполнять требования законодательства в области обеспечения защиты ПДн;

- хранить в тайне известные им ПДн, информировать о фактах нарушения порядка обращения с ПДн, о попытках несанкционированного доступа к ним;

- соблюдать правила использования ПДн, порядок их учета и хранения, исключить доступ к ним посторонних лиц;

- обрабатывать только те ПДн, к которым получен доступ в силу исполнения служебных обязанностей.

12.2. При обработке ПДн работникам Оператора запрещается:

- использовать сведения, содержащие ПДн, в неслужебных целях, а также в служебных целях – при ведении переговоров по телефонной сети, в открытой переписке, статьях и выступлениях;

- передавать ПДн по незащищенным каналам связи (телетайп, факсимильная связь, электронная почта) без использования сертифицированных средств криптографической защиты информации.

12.3. Работники Оператора, уполномоченные на обработку ПДн, имеют право:

- предоставлять ПДн третьим лицам при наличии согласия на это субъекта ПДн, а также в других случаях, предусмотренных действующим законодательством;

- мотивированно отказать субъекту ПДн (его представителю) в удовлетворении запроса о предоставлении информации, касающейся обработки ПДн субъекта, при наличии оснований, предусмотренных законодательством Российской Федерации.

13. Меры, принимаемые для защиты персональных данных

13.1. Оператор при обработке ПДн принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении их.

13.2. Обеспечение безопасности ПДн достигается, в частности, следующими способами:

13.2.1. Назначение ответственного за организацию обработки ПДн.

13.2.2. Осуществление внутреннего контроля и аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям
к защите персональных данных, локальным актам.

13.2.3. Ознакомление работников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе
с требованиями к защите ПДн, локальными актами в отношении обработки ПДн.

13.2.4. Определение угроз безопасности ПДн при их обработке в ИСПДн.

13.2.5. Применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн.

13.2.6. Ведение учета машинных носителей ПДн.

13.2.7. Выявление фактов несанкционированного доступа к ПДн и принятием соответствующих мер.

13.2.8. Восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

13.2.9. Установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в ИСПДн.

13.2.10. Контроль принимаемых мер по обеспечению безопасности ПДн в соответствии
с уровнем защищенности ИСПДн.

13.2.11. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

14. Контроль за обработкой персональных данных

14.1. Обязанности должностных лиц, осуществляющих контроль за обработкой и защиту ПДн, а также их ответственность, определяются в Инструкции ответственного за организацию обработки ПДн, в Инструкции администратора информационной безопасности в информационных системах персональных данных.

14.2. Ответственный за организацию обработки ПДн и администратор информационной безопасности в информационных системах персональных данных назначаются приказом руководителя Оператора из числа лиц, допущенных к обработке ПДн.

14.3. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора соответствия обработки персональных данных требованиям Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

14.4. Уполномоченный орган по защите прав субъектов ПДн рассматривает обращения субъекта ПДн о соответствии содержания ПДн и способов их обработки целям их обработки и принимает соответствующее решение.

14.5. Управление Роскомнадзора по Калининградской области:

Адрес: 236022, Российская Федерация, г. Калининград, ул. Коммунальная, дом 4.

Телефон для справок: (4012) 99-40-23

Факс: (4012) 99-40-24

E-mail: rsockanc39@rkn.gov.ru

Сайт: http://39.rkn.gov.ru

14.6. Работники Оператора, уполномоченные на обработку ПДн, виновные в нарушении требований законодательства в области защиты ПДн, в том числе допустившие разглашение ПДн, несут персональную гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством ответственность.

15. Информация об Операторе

15.1. Наименование Оператора: Государственное предприятие Калининградской области «Водоканал».

Юридический адрес (адрес местонахождения): 236023, г. Калининград, Советский проспект, д. 107.

16. Заключительные положения

16.1. Настоящая Политика утверждена приказом руководителя Оператора.

16.2. Настоящая Политика обязательна для ознакомления и соблюдения всеми сотрудниками Оператора, осуществляющими обработку ПДн.

16.3. Срок действия Политики – не ограничен.

16.4. Во исполнение части 2 статьи 18.1. Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» настоящая Политика опубликована на сайте Оператора.

16.5. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в наименовании Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.

16.6. Иные локальные нормативные акты Оператора, регламентирующие порядок защиты и обработки ПДн, должны издаваться в соответствии с настоящей Политикой и законодательством в области персональных данных.

16.7. Контроль соблюдения Политики осуществляется руководителем Оператора.

Редакция от 14.08.2023 г.

Наши специалисты ответят на любой интересующий вопрос

Задать вопрос