ПОЛИТИКА АО "ЕРКЦ" в отношении обработки персональных данных и реализуемых требованиях к защите персональных данных
ПОЛИТИКА АО "ЕРКЦ" в отношении обработки персональных данных и реализуемых требованиях к защите персональных данных
1. Общие положения
Настоящая Политика разработана в целях соблюдения законодательства в области защиты персональных данных, защиты от несанкционированного доступа и разглашения персональных данных, обрабатываемых АО "ЕРКЦ" в процессе оказания услуг юридическим и физическим лицам по начислению, организации и осуществлению сбора и учета платежей населения и юридических лиц за жилищные, коммунальные и другие услуги, а также выполнения функций по осуществлению первичного приема от граждан документов на регистрацию и снятие с регистрационного учета по месту пребывания и по месту жительства, подготовке и передаче в орган регистрационного учета предусмотренных учетных документов.
Настоящая Политика обработки персональных данных (далее - Политика) действует в отношении информации, относящейся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Категории персональных данных, обрабатываемых АО "ЕРКЦ":фамилия, имя, отчество, дата, месяц, год рождения, семейное положение, адрес, правовой статус занимаемого субъектом персональных данных жилого помещения, другие паспортные данные.
Категории субъектов персональных данных: собственники и пользователи жилых помещений, являющиеся потребителями коммунальных и иных услуг, работники (субъекты), находящиеся в трудовых отношениях с АО "ЕРКЦ".
Перечень действий с персональными данными, общее описание используемых способов обработки персональных данных: смешанная обработка персональных данных с передачей по внутренней сети (информация доступна лишь для строго определенных сотрудников АО "ЕРКЦ").
Политика подлежит изменению в случае появления новых законодательных актов и специальных нормативных документов по обработке персональных данных.
2. Основные понятия
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор - АО "ЕРКЦ", организующее и (или) осуществляющее обработку персональных данных, а также определяющеее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
информационная система персональных данных -совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
3. Условия обработки персональных данных
Обработка персональных данных в части, касающейся правоспособности и полномочий АО "ЕРКЦ", допускается в следующих случаях:
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
- обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);
- обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
4. Меры, применяемые для защиты персональных данных
АО "ЕРКЦ" принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных граждан - субъектов персональных данных.
К таким мерам, в частности, АО "ЕРКЦ" относит:
- назначение сотрудника, ответственного за организацию обработки персональных данных;
- осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону "О персональных данных";
- ознакомление работников АО "ЕРКЦ", непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, с требованиями к защите персональных данных, с документами, определяющими политику АО "ЕРКЦ" в отношении обработки персональных данных, локальными документами по вопросам обработки персональных данных;
- опубликование на сайте АО "ЕРКЦ" в сети Интернет документа, определяющего политику АО "ЕРКЦ" в отношении обработки персональных данных;
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных АО "ЕРКЦ";
- применение прошедшей в установленном порядке процедуры оценки соответствия средств защиты информации;
- систематическое осуществление оценки эффективности принимаемых мер по обеспечению безопасности персональных данных;
- осуществление учета машинных носителей персональных данных; - установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных;
- осуществление контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
- разработаны документы, определяющие политику АО "ЕРКЦ" в отношении обработки персональных данных, локальные документы по вопросам обработки персональных данных.
5. Методы защиты персональных данных
Методами защиты персональных данных являются:
- реализация разрешительной системы допуска к обработке персональных данных;
- ограничение доступа в помещения, где размещены технические средства, осуществляющие обработку персональных данных, а также хранятся носители информации;
- разграничение доступа к персональным данным;
- регистрация действий сотрудников, контроль несанкционированного доступа к персональным данным;
- использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
- использование защищенных каналов связи.