ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

1.          ОБЩИЕ ПОЛОЖЕНИЯ

1.1 Настоящая политика (далее - Политика) разработана в соответствии и с учетом требований Конституции РФ, Федерального закона от 27.07.2006 (ред. от 21.07.2014) N 152-ФЗ "О персональных данных" (далее - Закон о ПД) и иных законодательных и  нормативно правовых актов РФ в области. Положения политики являются основополагающим регулятивным документом и действует в отношении всех персональных данных (далее – ПД), которые "Агентство недвижимости "Троицкий Дом" (далее  – Компания) может получить от субъекта, являющегося стороной по договору оказания консультационных и(или) юридических услуг (покупатель, продавец или их законные представители), гражданско-правовому договору, а так же от субъекта, состоящего с организацией в отношениях, регулируемых трудовым законодательством (далее – Работника).

1.2 Политика разработана в целях реализации требований законодательства в области обработки и защиты ПД и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его ПД Компанией, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайн.

1.3 Положения Политики распространяются на отношения по обработке и защите ПД, полученных Компанией как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите ПД, полученных до ее утверждения.

1.4 При обработке ПД строго соблюдаются следующие принципы:

не допускается обработка ПД, несовместимая с целями сбора ПД;

не допускается обработка ПД, которые не отвечают целям обработки;

содержание и состав обрабатываемых ПД соответствует заявленным целям обработки;

при обработке ПД обеспечивается точность, достаточность, а в необходимых случаях актуальность ПД;

хранение ПД осуществляется не дольше, чем этого требуют цели обработки ПД, а также федеральные законы и договоры, сторонами которых, выгодоприобретателем или поручителем по которым является субъект ПД;

обработка ПД осуществляется с соблюдением принципов и правил, предусмотренных законодательством РФ.

2.          ОСНОВАНИЯ ОБРАБОТКИ И СОСТАВ

2.1.    Законодательные и иные нормативные правовые акты РФ, в соответствии с которыми определяется Политика обработки в Компании:

Трудовой кодекс РФ;

Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных";

Указ Президента РФ от 06 марта 1997 г. № 188 "Об утверждении Перечня сведений конфиденциального характера";

Постановление Правительства РФ от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки, осуществляемой без использования средств автоматизации";

Постановление Правительства РФ от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите при их обработке в информационных системах";

Приказ ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13 февраля 2008 г. "Об утверждении Порядка проведения классификации информационных систем";

Приказ ФСТЭК России от 18 февраля 2013 г. № 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности при их обработке в информационных системах";

Приказ Роскомнадзора от 05 сентября 2013 г. № 996 "Об утверждении требований и методов по обезличиванию";

Федеральный закон от 07.08.2001г  N 115 "О противодействии легализации доходов, полученных преступным путем, и финансированию терроризма";

иные нормативные правовые акты РФ;

2.2.    Субъектами являются:

работники Компании

клиенты Компании

другие субъекты (контрагенты) не состоящих с Компанией в трудовых отношениях.

При этом обрабатываются ПД в целях:

обеспечения соблюдения Конституции РФ, законодательных и иных нормативных правовых актов РФ, локальных нормативных актов;

осуществления функций, полномочий и обязанностей, возложенных законодательством РФ на Компанию, в том числе по предоставлению в органы государственной власти, в Пенсионный фонд РФ, в Фонд социального страхования РФ, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;

регулирования трудовых отношений с работниками Компании (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы,);

защиты жизни, здоровья или иных жизненно важных интересов субъектов;

подготовки, заключения, исполнения и прекращения договоров с контрагентами;

обеспечения пропускного и внутри объектового режимов в офисах Компании;

формирования справочных материалов для внутреннего информационного обеспечения деятельности Компании, исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;

осуществления прав и законных интересов Компании в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами;

целями обработки клиентов, представителей клиентов и (или) выгодоприобретателей физических и юридических лиц, является заключение договоров оказания услуг в соответствии со ст. 779 Гражданского кодекса РФ;

в иных законных целях;

2.3.    В связи с трудовыми и иными непосредственно связанными с ними отношениями, в которых Компания выступает в качестве работодателя, обрабатываются ПД лиц, претендующих на трудоустройство и бывших Работников.

2.4.    В связи с реализацией своих прав и обязанностей, Компанией обрабатываются ПД физических  и юридических лиц, являющихся контрагентами Компании по агентским и гражданско-правовым договорам, а также граждан, письменно обращающихся в Компанию по вопросам его деятельности (помимо лиц, указанных в пунктах 2.2 - 2.3 Политики).

2.5.    Обработка специальных категорий, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, в Компании не осуществляется.

2.6.    ПД получаются и обрабатываются Компанией на основании федеральных законов, а в необходимых случаях - при наличии письменного согласия субъекта ПД.

2.7.    Компания без согласия субъекта не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.

2.8.    В Компании не производится обработка ПД, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки ПД, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей.

2.9.    При обработке ПД обеспечиваются их точность, достаточность, а при необходимости - и актуальность по отношению к целям обработки. Компания принимает необходимые меры по удалению или уточнению неполных или неточных ПД.

3.          ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

3.1.    Основной задачей обеспечения безопасности ПД при их обработке в Компании является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения ПД, разрушения (уничтожения) или искажения их в процессе обработки.

3.2.    Для обеспечения безопасности ПД,  Компания руководствуется следующими принципами:

защита ПД основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты ПД;

защита ПД строится с использованием функциональных возможностей информационных технологий;

меры, обеспечивающие надлежащий уровень безопасности ПД, принимаются до начала их обработки;

модернизация и наращивание мер и средств защиты ПД осуществляется на основании результатов анализа практики обработки ПД с учетом выявления новых способов и средств реализации угроз безопасности ПД;

ответственность за обеспечение безопасности ПД возлагается на Работников в пределах их обязанностей, связанных с обработкой и защитой ПД;

доступ к ПД предоставляется Работникам только в объеме, необходимом для выполнения их должностных обязанностей;

обеспечение выполнения функций защиты ПД при изменении характеристик функционирования информационных систем (далее - ИСПД), а также объема и состава обрабатываемых ПД;

структура, технологии и алгоритмы функционирования системы защиты ПД (далее - СЗПД) не дают возможности преодоления имеющихся в Компании систем защиты возможными нарушителями безопасности ПД;

реализация мер по обеспечению безопасности ПД и эксплуатация СЗПД осуществляются Работниками, имеющими необходимые для этого квалификацию и опыт;

кадровая политика Компании предусматривает тщательный подбор персонала и мотивацию Работников, позволяющую исключить или минимизировать возможность нарушения ими безопасности ПД;

меры по обеспечению безопасности ПД должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы и могли быть оценены лицами, осуществляющими контроль.

4.          ДОСТУП К ОБРАБАТЫВАЕМЫМ ПД

4.1.    Доступ к персональным данным ограничивается в соответствии с федеральными законами и локальными правовыми актами Компании.

4.2.    Компания не разглашает полученные им в результате своей профессиональной деятельности персональные данные. Доступ к обрабатываемым в Компании ПД имеют лица, уполномоченные приказом, а также лица, чьи ПД обрабатываются и(или) подлежат обработке.

4.3.    В целях разграничения полномочий при обработке ПД полномочия по реализации каждой определенной законодательством функции закрепляются за соответствующим сотрудником Компании.

4.4.    Доступ Работников к обрабатываемым ПД осуществляется в соответствии с их должностными обязанностями и требованиями внутренних регулятивных документов Компании. Допуск Работников к обработке ПД осуществляется согласно перечню типовых полномочий. Соответствующие полномочия пользователя вносятся в должностные обязанности Работника.

4.5.    Факты получения доступа к ИСПД регистрируются, с использованием средств обеспечения информационной безопасности. Порядок доступа субъекта к его ПД, осуществляется в соответствии с Законом о ПД и определяется внутренними регулятивными документами Компании.

4.6.    В случаях, если Вы, как субъект ПД, хотите узнать, какими персональными данными о Вас располагает Компания, либо дополнить, исправить, обезличить или удалить любые неполные, неточные или устаревшие ПД, либо хотите прекратить обработку ваших ПД, либо имеете другие законные требования, вы можете в соответствии с действующим законодательством реализовать такое право, обратившись в Компанию.

5. СОСТАВ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1 Обработке Оператором подлежат ПД следующих субъектов ПД:

1) ПД работников в составе:

 Фамилия, имя, отчество;

 доходы;

 пол;

 имущественное положение;

 социальное положение;

 дата рождения;

 месяц рождения;

 год рождения;

 место рождения;

 гражданство;

 знание иностранного языка;

 сведения об образовании;

 семейное положение,

 сведения о составе и членах семьи;

 подразделение;

 должность;

 дата приема на работу;

 табельный номер;

 паспортные данные (вид документа, серия и номер документа, орган, выдавший документ, дата выдачи документа);

 адрес регистрации и фактического места жительства;

 сведения о предыдущих местах работы;

 сведения о заработной плате;

 сведения о воинском учете;

 сведения о приеме и переводе на другую работу;

 сведения об аттестации, повышении квалификации, профессиональной переподготовке;

 сведения о наградах;

 сведения об отпуске;

 социальные льготы;

 сведения о государственном пенсионном страховании;

 идентификационный номер налогоплательщика;

 сведения об отчислениях в Федеральную налоговую службу;

 сведения об отчислениях в Пенсионный фонд России;

 данные больничного листа;

 сведения о дополнительных навыках;

 контактная информация.

2) ПД клиентов в составе:

 Фамилия, имя, отчество;

 контактная информация;

 доходы;

 пол;

 имущественное положение;

 социальное положение;

 дата рождения;

 месяц рождения;

 год рождения;

 адрес регистрации и фактического места жительства;

 паспортные данные (вид документа, серия и номер документа, орган, выдавший документ, дата выдачи документа);

 семейное положение;

 имущественное положение;

 социальное положение;

 дата рождения;

 месяц рождения;

 год рождения;

 сведения об образовании;

 гражданство;

 сведение о составе и членах семьи;

 номер контактного телефона;

 адрес электронной почты;

 сведения об объекте недвижимости.

3) ПД пользователей корпоративного сайта:

имя, отчество (не обязательно);

номер контактного телефона;

адрес эл. почты.

5.2. Основанием для обработки ПДн субъекта, не являющегося работником Оператора или лицом, заключившим с Оператором договор, является согласие в письменной форме субъекта персональных данных на обработку его ПДн или добровольное размещение непосредственно субъектом ПДн своих персональных данных в общедоступных источниках информации, включая корпоративный сайт Общества.

5.3. Субъект персональных данных принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе.

5.4. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям обработки.

6.          ПРАВА СУБЪЕКТОВ

6.1.    Субъекты имеют право на:

доступ к своим ПД, включая право на получение копии любой записи, содержащей их ПД, за исключением случаев, предусмотренных федеральным законом;

уточнение своих ПД, их блокирование или уничтожение в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

отзыв согласия на обработку ПД;

принятие предусмотренных законом мер по защите своих прав;

осуществление иных прав, предусмотренных законодательством РФ.

7.          РЕАЛИЗАЦИЯ ПОЛИТИКИ

7.1.    Компания принимает необходимые и достаточные меры для защиты обрабатываемых ПД от неправомерного или случайного доступа к ним, от уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ними со стороны третьих лиц.

7.2.    Ответственность за организацию обработки ПД в Компании несет должностное лицо, выполняющее организационно-распорядительные или административно-хозяйственные функции (ст. 2.4 КоАП РФ) и назначенный приказом генерального директора Компании.

Ответственный за организацию обработки ПД в Компании, в частности, обязан:

осуществлять внутренний контроль за соблюдением в требований нормативных правовых актов и внутренних регулятивных документов Компании в области обработки и защиты ПД;

доводить до сведения Работников положения нормативных

правовых актов и внутренних регулятивных документов в области обработки и защиты ПД;

организовывать прием и обработку обращений и запросов субъектов ПД или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

7.3.    Компания осуществляет обработку ПД без использования средств автоматизации, а также с использованием таких средств.

7.4.    При обработке ПД без использования средств автоматизации, Компания в соответствии с положениями нормативных правовых актов в области обработки и защиты ПД, реализует комплекс организационных и технических мер, обеспечивающих:

обособление ПД от информации, не содержащей ПД;

соответствие типовых форм документов, характер информации в которых предполагает или допускает включение в них ПД, установленным требованиям;

сохранность материальных носителей ПД;

условия хранения, исключающие несанкционированный доступ к ПД, а также смешение ПД (материальных носителей), обработка которых осуществляется в различных целях.

7.5.    В соответствии с требованиями нормативных правовых актов в области обработки и защиты ПД с использованием средств автоматизации в Компании создаются ИСПД.

7.6.    Объектами защиты СЗПД являются информация, обрабатываемая и содержащая ПД, а также инфраструктура, содержащая и поддерживающая указанную информацию.

7.7.    СЗПД реализуется комплексом правовых, режимных, организационных и программно-технических мер, которые включают:

подготовку внутренних регулятивных документов по вопросам обработки и защиты ПД, контроль за исполнением в Компании требований нормативных правовых актов и внутренних регулятивных документов в области обработки и защиты ПД, а также внесение соответствующих изменений в имеющиеся внутренние регулятивные документы;

доведение до сведения Работников информации об установленных законодательством РФ санкциях за нарушения, связанные с обработкой и защитой ПД;

разработку и введение в действие внутренних регулятивных документов Компании по обеспечению информационной безопасности ИСПД;

ознакомление Работников с положениями нормативных правовых актов и внутренних регулятивных документов Компании в области обработки и защиты ПД, а также обучение Работников правилам обработки и защиты ПД;

проведение мероприятий по поддержанию и осуществлению контроля за состоянием:

охраны, контрольно-пропускного режима, перемещением технических средств и носителей информации;

защиты технологических процессов, информационных ресурсов, информации и поддерживающей их инфраструктуры от угроз техногенного характера и внешних неинформационных воздействий;

регламентацию обработки ПД, в том числе хранения и передачи информации как внутри Компании, так и при взаимодействии с контрагентами Компании, государственными органами и организациями, обращения с документами (включая электронные документы) и носителями, порядка их учета, хранения и уничтожения;

организацию технического оснащения объектов и ИСПД в соответствии с существующими требованиями к информационной безопасности;

организацию непрерывного процесса контроля событий безопасности для своевременного выявления и пресечения попыток несанкционированного доступа к защищаемой информации;

осуществление контроля эффективности организационных мер защиты.

8.          ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПД И СПОСОБЫ ОБРАБОТКИ

8.1.    Компания  осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.

8.2.    Обработка в Компании осуществляется следующими способами:

смешанная обработка.

9.          ОСНОВНЫЕ МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПД

9.1.    Мероприятия по защите ПД реализуются в Компании в следующих направлениях:

предотвращение несанкционированного доступа к содержащей ПД информации, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней;

защита от вредоносных программ;

обеспечение безопасного межсетевого взаимодействия;

анализ защищенности ИСПД и принятие локальных нормативных актов и иных документов в области обработки и защиты;

хранение материальных носителей с соблюдением условий, обеспечивающих сохранность и исключающих несанкционированный доступ к ним;

обнаружение вторжений и компьютерных атак;

9.2.    Мероприятия по обеспечению безопасности ПД включают в себя:

реализацию разрешительной системы допуска пользователей к информационным ресурсам ИС и связанным с их использованием работам, документам;

разграничение доступа пользователей ИСПД и обслуживающих ИСПД Работников к информационным ресурсам, программным средствам обработки и защиты информации;

регистрацию действий пользователей и обслуживающих ИСПД Работников, контроль несанкционированного доступа и действий пользователей и обслуживающих Работников, а также третьих лиц;

предотвращение внедрения в ИС вредоносных программ и программных закладок, анализ принимаемой по информационно-телекоммуникационным сетям информации, в том числе на наличие компьютерных вирусов;

анализ защищенности ИС с применением специализированных программных средств.

10.        КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА РФ И ЛОКАЛЬНЫХ НОРМАТИВНЫХ АКТОВ

10.1.    С целью поддержания состояния защиты ПД на надлежащем уровне в Компании осуществляется внутренний контроль за эффективностью системы защиты ПД и соответствием порядка и условий обработки и защиты ПД установленным требованиям.

Внутренний контроль включает:

мониторинг состояния технических и программных средств, входящих в состав СЗПД;

контроль соблюдения требований по обеспечению безопасности ПД (требований нормативных правовых актов и внутренних регулятивных документов в области обработки и защиты ПД, требований договоров).

10.2.    Персональная ответственность за соблюдение требований законодательства РФ и локальных нормативных актов, а также за обеспечение конфиденциальности и безопасности возлагается на директора Файзулина Константина Викторовича либо на назначенное приказом директора ответственное лицо.