Политика конфиденциальности
1. ОСНОВНЫЕ ПОНЯТИЯ
1.1. Положение разработано в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» и определяет основные принципы обработки персональных данных в Обществе с ограниченной ответственностью «Расчетно-информационный центр» (далее – Общество, оператор)
1.2. Все работники, участвующие в обработке персональных данных должны быть ознакомлены с Положением.
1.3. Действие настоящего Положения распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передаче (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению персональных данных, осуществляемых как с использованием средств автоматизации, так и без использования таких средств.
1.4. В положении используются следующие понятия и определения:
— персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
— обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
— оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
— автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
— распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
— предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
— уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
— обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка персональных данных осуществляется на основе следующих принципов:
2.1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
2.2. Обработка персональных данных ограничивается достижением конкретных целей. Не допускается обработка персональных данных, не совместимая с целями сбора персональных данных.
2.3. Обрабатываются только персональные данные, которые отвечают целям их обработки.
2.4.Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки.
3.ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Обработка персональных данных граждан в Обществе осуществляется в следующих целях:
— исполнения договоров, заключенных с управляющими компаниями, товариществами собственников жилья, иными организациями, осуществляющими обслуживание жилого фонда г. Петрозаводска и Республики Карелия;
— расчета (перерасчета) и начисления платы за жилищно-коммунальные услуги (далее – ЖКУ);
— расчета размера взносов на капитальный ремонт многоквартирных жилых домов;
— печати и рассылки (доставки) платежных документов на внесение платы за ЖКУ в соответствии с действующими в Обществе договорами;
— расчета мер социальной поддержки на оплату ЖКУ; уведомлений о предоставлении, отказе, перерасчете мер социальной поддержки и субсидий, реестров адресов для списания показаний приборов учета коммунальных услуг;
- ведения претензионно-исковой работы;
— консультации специалистов по вопросам начисления и оплаты ЖКУ и иных услуг.
4. ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Основаниями обработки персональных данных являются:
- Жилищный кодекс Российской Федерации;
- Федеральный закон Российской Федерации от 27 июля 2006 г. №152-ФЗ «О персональных данных»;
- Федеральный закон Российской Федерации от 7 августа 2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
- Федеральный закон Российской Федерации от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Постановление Правительства РФ № 534 от 06.06.2011 г. «О предоставлении коммунальных услуг собственникам и пользователям помещений в многоквартирных домах и жилых домов»;
- Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказ ФСТЭК России № 55, ФСБ России № 86, Министерства информационных технологий и связи России № 20 от 13 февраля 2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
– Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
– Приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
— договоры, заключенные с управляющими компаниями, и иными контрагентами.
5. ИНФОРМАЦИЯ ОБ ОПЕРАТОРЕ
5.1. Наименование оператора:
Общество с ограниченной ответственностью «Расчетно – информационный центр жилищного хозяйства»
Местонахождение: 185035, Республика Карелия, г. Петрозаводск, ул. Герцена, дом 41
ИНН 1001256230
Телефон: 8 (8142) 764-819
Официальный сайт Общества: www.flatpay.ru
Общество является оператором персональных данных и внесено в реестр операторов, осуществляющих обработку персональных данных (регистрационный номер 10-13-000059)
6. ПОРЯДОК ОБРАБОТКИ, ХРАНЕНИЯ, ПЕРСОНАЛЬНЫХ ДАННЫХ ГРАЖДАН ВО ИСПОЛНЕНИЕ ЦЕЛЕЙ, УКАЗАННЫХ В ПОЛОЖЕНИИ
6.1. Оператор не обрабатывает персональные данные граждан, являющиеся специальными и биометрическими.
6.2. Оператор не осуществляет трансграничную передачу персональных данных граждан.
6.3. Перечень обрабатываемых в Обществе персональных данных граждан во исполнение целей, установленных в п. 3.1. Положения:
— фамилия, имя, отчество;
— дата рождения;
— место рождения;
— адрес регистрации по месту жительства;
— адрес регистрации по месту пребывания;
— сведения о правах собственности/пользования на жилые и нежилые помещения;
— паспортные данные граждан (сведения о документе, удостоверяющем личность);
— сведения о семейном положении;
— сведения о временном отсутствии по месту жительства;
— сведения о наличии льгот и преимуществ для начисления и внесения платы (исключительно в целях расчета сумм компенсаций на оплату услуг ЖКХ, при этом сведениями о диагнозах, заболеваниях и пр. оператор не обладает);
6.4. Доступ к персональным данным субъектов персональных данных – граждан имеют работники Общества в связи с исполнением своих должностных обязанностей.
6.5. В Обществе персональные данные граждан хранятся в бумажном, электронном видах,
6.6. Обработка персональных данных в Обществе осуществляется как с использованием средств автоматизации, так и без использования таких средств.
6.7. Обработка персональных данных в Обществе включает: сбор, систематизацию, использование, хранение, передачу, обновление и уничтожение персональных данных.
6.8. Персональные данные граждан используются исключительно для осуществления целей обработки персональных данных. Сотрудники предприятия не вправе использовать персональные данные граждан в своих личных целях.
7. СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Автоматизированный способ.
Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации осуществляется в соответствии с Постановлением Правительства РФ от 01.11.2012 года № 1119.
7.2. Не автоматизированный способ.
Обработка персональных данных без использования информационной системы средств автоматизации осуществляется в соответствии с Постановлением Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
7.3. Использование, хранение и уничтожение документов, содержащих персональные данные, осуществляется в соответствии со следующим порядком:
-персональные данные при их обработке обосабливаются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее — материальные носители), в специальных разделах или на полях форм (бланков);
— при фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели, обработки которых заведомо не совместимы;
— для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных используется отдельный материальный носитель;
— сотрудники Оператора, осуществляющего обработку персональных данных без использования средств автоматизации, информируются о факте обработки ими персональных данных, категории обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки путем ознакомления с настоящим Положением.
— уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя,
— путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
8. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ — ГРАЖДАНИНА
8.1. Субъекты персональных данных имеют право на получение (при личном обращении или при направлении письменного запроса), информации касающейся обработки его персональных данных, в том числе содержащей:
— подтверждение факта обработки персональных данных;
— правовые основания и цели обработки персональных данных;
— цели и применяемые способы обработки персональных данных;
— наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона);
— обрабатываемые персональные данные, относящиеся к субъекту персональных данных, источник их получения;
— сроки обработки персональных данных, в том числе срок их хранения;
— порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ «О персональных данных»;
— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу.
Также субъект персональных данных вправе требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
8.2. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. При этом, в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения.
8.3. Письменный запрос субъекта персональных данных должен содержать:
— номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя;
— сведения о дате выдачи указанного документа и выдавшем его органе;
— сведения, подтверждающие факт обработки персональных данных оператором;
— подпись субъекта персональных данных или его представителя.
Поступивший запрос фиксируется в журнале входящей документации.
8.4. При устном обращении субъекта персональных данных, лицо, к которому обратился субъект доводит до сведения субъекта следующую информацию:
- подтверждает факт обработки его персональных данных (в случае обработки).
- сообщает правовые основания обработки персональных данных: (ч. 15, 16 ст. 155 Жилищного кодекса РФ; договоры, заключенные с управляющими компаниями, и иными контрагентами; Правила предоставления коммунальных услуг, утвержденные Постановлением Правительства РФ № 354 от 06.05.2011 г.).
-сообщает цели обработки персональных данных в соответствии с п. 3.1. раздела 3 настоящего Положения.
-сообщает способы обработки персональных данных (автоматизированным и неавтоматизированным способом)
-сообщает наименование и местонахождение оператора в соответствии с разделом 5 настоящего Положения.
-сообщает сведения о лицах, которым могут быть раскрыты персональные данные: (Запросы уполномоченных органов (суды, прокуратура, полиция и пр.), кредитные организации и организации, осуществляющие прием платежей за жилищно-коммунальные услуги во исполнение договоров управления между гражданами и управляющими компаниями города, ТСЖ и др. организациями; управление социальной защиты населения города Петрозаводска и Республики Карелия, Администрации города Петрозаводска и ее структурные подразделения, Управление Росреестра в г. Петрозаводске).
-сообщает перечень обрабатываемых персональных данных субъекта.
9. ОБЯЗАННОСТИ ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.
9.2. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
9.3. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных.
9.4. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений.
9.5. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
9.6. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных.
9.7. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных в п. 9.5., 9.6. , оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
10. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Безопасность персональных данных в Обществе обеспечивается реализацией организационных и технических мер защиты информации, необходимых и достаточных для обеспечения требований нормативных правовых актов в области защиты персональных данных, в том числе:
— назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
— ограничение и регламентация состава работников, имеющих доступ к персональным данным;
— ознакомление работников с требованиями федерального законодательства и нормативных документов Общества по обработке и защите персональных данных;
— регистрация и учёт действий пользователей информационных систем персональных данных;
— применение систем программной аутентификации пользователей в информационной системе персональных данных (проверка подлинности пользователя путём сравнения введённого им пароля с паролем, сохранённым в базе денных пользователей);
— осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ (программ-вирусов);
— применение средств резервного копирования и восстановления информации;
— проведение мониторинга действий сотрудников, проведение расследований по фактам нарушения требований безопасности персональных данных;
— размещение технических средств обработки персональных данных, в пределах охраняемой территории.
10.2. Для обеспечения уровня защищенности персональных данных при их обработке в информационных системах выполняются следующие требования:
— организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
— обеспечение сохранности носителей персональных данных;
— утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.