1. Термины, определения и сокращения

Информационные активы - информационные системы и информационные ресурсы, сформированные в их рамках

Информационная безопасность - состояние защищенности информационной среды, обеспечивающее ее формирование, использование и развитие в интересах Организации.

Информационный ресурс - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий, используемая в бизнес-процессах организации, формируемая в рамках существующих информационных систем.

Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Информация - сведения (сообщения, данные) независимо от формы их представления

Конфиденциальность Информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя

Несанкционированный доступ - доступ к информации, нарушающий установленные правила разграничения доступа.

Открытая (общедоступная) информация - информация, полученная от физических или юридических лиц, запрет на распространение и обработку которой был ими официально снят или не был установлен.
Информация, сформированная в результате деятельности Организации, которую запрещено относить к коммерческой тайне на основании законодательства Российской Федерации.
Информация, представляемая в публичный доступ и с которой сняты грифы конфиденциальности в соответствии с требованиями Организации, используемая в хозяйственной деятельности Организации или имеющая значение для имиджа Организации.

Персональные данные - любая информация, относящаяся к прямо и косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Программное обеспечение - совокупность программ системы обработки информации и программных документов, необходимых для эксплуатации этих программ.

Средство криптографической защиты информации - средства шифрования, средства имитозащиты, средства электронной подписи, средства изготовления ключевых документов (независимо от вида носителя ключевой информации), ключевые документы (независимо от вида носителя ключевой информации)

Структурное подразделение - объединение нескольких должностных позиций и/или подразделений по признаку общности решаемых задач и регулярно выполняемых работ.

АРМ - автоматизированное рабочее место
АС - автоматизированная система
ДМЗ - демилитаризованная зона
ИА - информационный актив
ИБ - информационная безопасность
ИС - информационная система
ИСПДн - информационная система персональных данных
ИР - информационный ресурс
НСД - несанкционированный доступ
ПДн - персональные данные
ПО - программное обеспечение
СЗИ - средства защиты информации
СКЗИ - средства криптографической защиты информации

2. Область применения

Настоящее положение устанавливает требования и совокупность правил в области организации обработки и защиты персональных данных, которыми ООО «АкваЛайн» (далее – Организация) руководствуется в своей деятельности.

3. Ответственность за применение

3.1. Настоящее положение обязаны знать и использовать в работе все работники Организации.

3.2. Ответственным за разработку, пересмотр и изменение настоящего положения является работник, ответственный за организацию обработки персональных данных, назначенных распорядительным документом (далее – ответственный за ПДн).

3.3. Руководители структурных подразделений Организации несут персональную ответственность за соблюдение требований настоящего положения, а также за действия подчиненных им работников в части соблюдения требований, установленных настоящим положением.

3.4. Должностные лица, виновные в нарушении требований настоящего нормативного документа, могут быть привлечены к дисциплинарной, административной, гражданско-правовой или уголовной ответственности в порядке и по основаниям, предусмотренных законодательством РФ, Уставом Организации, внутренними нормативными документами и трудовыми договорами Организации.

4. Цели документа

4.1. Целью настоящего положения является обеспечение выполнения Организацией требований, предусмотренных Федеральным законом «о персональных данных», исключение неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также иных неправомерных действий по отношению к персональным данным, обработку которых ведет Организация.

5. Основные положения

5.1. Организация, являясь оператором персональных данных, осуществляет обработку персональных данных, в том числе автоматизированную, субъектов персональных данных, состоящих с Организацией/Контрагентами Организации в гражданско-правовых отношениях.

5.2. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении срока хранения, в других случаях, предусмотренных федеральными законами.

5.3. Настоящее положение является общедоступным и подлежит размещению на официальном сайте Организации в сети Интернет.

6. Цели обработки и состав персональных данных

6.1. Персональные данные обрабатываются Организацией в целях:
- обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Организации;
- обеспечения пропускного и внутриобъектового режимов на объектах Организации;
- формирования материалов для внутреннего информационного обеспечения деятельности Организации, его структурных подразделений;
- исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации;
- регистрации сведений субъектов персональных данных, необходимых для осуществления деятельности в рамках заключенных договоров Организации;
- исполнения договоров, стороной которого либо выгодоприобретателем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем, в том числе в связи с получением субъектом персональных данных информации о начислении платы за жилищно-коммунальные и иные услуги, а также в связи с внесением платы за жилищно-коммунальные и иные услуги субъектом персональных данных;
- осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Организацию, в том числе, но не исключая: по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
- осуществления иных прав и законных интересов Организации в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Организации, или третьих лиц либо достижения общественно значимых целей.

6.2. В состав персональных данных, обрабатываемых Организацией, входит любая информация, прямо или косвенно относящаяся к субъекту персональных данных относящаяся к субъекту персональных данных, в том числе документы, содержащие информацию о паспортных данных, а также комплект документов для заключения договора с региональным оператором по обращению с твердыми коммунальными отходами.

6.3. При обработке выделяются следующие категории субъектов персональных данных: - физические лица – плательщики и/или потребители жилищнокоммунальных услуг и их законные представители; - руководители, представители и работники юридических лиц, имеющих договорные отношения с Организацией либо находящиеся на этапе преддоговорных отношений; - посетители офисов и территориальных подразделений Организации.

6.4. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Организации не осуществляется.

7. Основные принципы обработки персональных данных

7.1. Обработка персональных данных Организации осуществляется на основе принципов:
- законности целей и способов обработки персональных данных;
- добросовестности Организации как оператора персональных данных, что достигается путем выполнения требований законодательства Российской Федерации в отношении обработки персональных данных;
- соответствия состава и объема обрабатываемых персональных данных, а также способов обработки персональных данных заявленным целям обработки;
- точности и достаточности, а в необходимых случаях и актуальности персональных данных по отношению к заявленным целям их обработки;
- уничтожения персональных данных по достижении целей обработки способом, исключающим возможность их восстановления;
- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

7.2. Работники Организации, допущенные к обработке персональных данных, обязаны:

7.2.1. Знать и неукоснительно выполнять положения:
- законодательства Российской Федерации в области персональных данных;
- внутренних нормативных документов Организации по вопросам обработки и обеспечения безопасности персональных данных.

7.2.2. Обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;

7.2.3. Не разглашать персональные данные, обрабатываемые в Организации.

7.2.4. Сообщать о действиях других лиц, которые могут привести к нарушению требований настоящего положения;

7.2.5. Сообщать об известных фактах нарушения требований настоящего положения ответственному за организацию обработки персональных данных в Организации.

7.3. Безопасность персональных данных в Организации обеспечивается выполнением согласованных мероприятий, направленных на предотвращение (нейтрализацию) и устранение угроз безопасности персональных данных, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и работы информационных систем персональных данных в случае реализации угроз.

8. Сбор, обработка и хранение персональных данных

8.1. Организация осуществляет сбор, обработку и хранение персональных данных с использованием средств автоматизации и без использования средств автоматизации.

8.2. Организация вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, на основании заключаемого с этим лицом договора, обязательным условием которого является соблюдение этим лицом принципов и правил обработки персональных данных, предусмотренных Федеральным законом «О персональных данных».

8.3. Персональные данные не раскрываются третьим лицам и не распространяются иным образом без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

8.4. Все персональные данные следует получать у самого субъекта персональных данных или из общедоступных источников персональных данных. Работник Организации должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение.

8.5. Согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных; - цель обработки персональных данных; - перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; - наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись субъекта персональных данных.

8.6. Обработка персональных данных субъектов персональных данных работниками Организации осуществляется с согласия субъектов персональных данных, выраженного в письменной форме. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

8.7. Обработка персональных данных без согласия субъектов персональных данных работниками Организации осуществляется в следующих случаях:

- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом (в том числе ч. 16 ст. 155 Жилищного кодекса Российской Федерации), для осуществления и выполнения, возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; - обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных, за исключением обработки персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации;
- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (персональные данные, сделанные общедоступными субъектом персональных данных);
- обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
- обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативнорозыскной деятельности, уголовно-исполнительным законодательством Российской Федерации;
- обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора;
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

8.8. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В этом случае субъект персональных данных должен оформить отзыв согласия на обработку персональных данных.

8.9. Передача персональных данных субъекта персональных данных третьим лицам производится в соответствии с условиями согласия на обработку персональных данных, за исключением случаев, установленных Федеральным законом от 27.06.2006 №152-ФЗ «О персональных данных».

8.10. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом от 27.06.2006 №152-ФЗ «О персональных данных», договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

8.11. Персональные данные субъектов персональных данных хранятся в информационных системах персональных данных Организации.

8.12. Документы и внешние электронные носители информации, содержащие персональные данные, хранятся в служебных помещениях в запираемых шкафах.

8.13. Учет внешних (съемных) электронных носителей информации, содержащей персональные данные, осуществляется в структурных подразделениях, обрабатывающих указанные персональные данные. Учет архивных носителей информации, содержащих персональные данные, осуществляется отделом информационных технологий Организации.

8.14. Работник, имеющий доступ к персональным данным субъектов персональных данных в связи с исполнением трудовых обязанностей:
- обеспечивает хранение информации, содержащей персональные данные, исключающее доступ к ним третьих лиц;
- при уходе в отпуск, служебной командировке и иных случаях длительного отсутствия работника на своем рабочем месте он обязан передать документы и иные носители, содержащие персональные данные, лицу, на которое приказом или распоряжением Организации будет возложено исполнение его трудовых обязанностей.

8.15. При увольнении работника, имеющего доступ к персональным данным субъекта персональных данных, документы и иные носители, содержащие указанные персональные данные, сдаются руководителю структурного подразделения.

8.16. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом от 27.06.2006 № 152-ФЗ «О персональных данных».

8.17. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение.

8.18. Уничтожение персональных данных, не подлежащих передаче в архив Организации, осуществляется только комиссией в составе представителей структурного подразделения Организации, в чьем ведении находятся указанные персональные данные. Результаты уничтожения должны документироваться путем составления акта.

8.19. В случае выявления недостоверных персональных данных субъекта персональных данных или неправомерных действий с ними работников Организации при обращении или по запросу субъекта персональных данных или его законного представителя осуществляется блокирование персональных данных, относящихся к соответствующему субъекту, с момента такого обращения или получения такого запроса на период проверки.

8.20. В случае подтверждения факта недостоверности персональных данных субъекта персональных данных на основании документов, представленных субъектом персональных данных или его законным представителем, или иных необходимых документов производится уточнение персональных данных, соответствующая блокировка снимается.

8.21. В случае выявления неправомерных действий с персональными данными в срок, не превышающий семи рабочих дней с момента выявления, необходимо устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений в срок, не превышающий семи рабочих дней с момента выявления неправомерности действий с персональными данными, необходимо уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Организация обязана уведомить субъекта персональных данных или его законного представителя.

9. Защита персональных данных

9.1. Организация самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами.

9.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.

9.3. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

9.4. В целях обеспечения безопасности персональных данных при их обработке, Организация принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного и случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, в частности соблюдается ряд мер:
- ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;
- строгое избирательное и обоснованное распределение документов и информации между работниками Организации;
- рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;
- знание работником требований нормативно-методических документов по защите информации и сохранению коммерческой тайны;
- наличие необходимых условий в помещении для работы с конфиденциальными документами; - определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;
- организация порядка уничтожения информации;
- своевременное выявление нарушения требований разрешительной системы доступа работниками подразделений;
- воспитательная и разъяснительная работа с работниками подразделений по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
- порядок приема, учета и контроля деятельности посетителей;
- пропускной режим Организации;
- учет и порядок выдачи удостоверений (пропусков);
- технические средства охраны, сигнализации;
- средства шифрования и защиты информации;
- порядок охраны территории, зданий, помещений, транспортных средств.

9.5. Защита персональных данных в электронном виде реализуется с помощью средств защиты информации, средств криптографической защиты информации, внутренними возможностями информационной системы персональных данных.

9.6. В целях сохранности персональных данных субъектов персональных данных, хранящихся в автоматизированной системе Организации, Организация предпринимает меры по обеспечению безопасности этих данных, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

9.7. Безопасность указанных данных обеспечивается, в частности, путем предотвращения получения несанкционированного доступа к ним, неправомерного получения этих данных, а также предупреждения преднамеренного программнотехнического воздействия с целью уничтожения, копирования, переадресации или искажения данных в процессе их создания, использования, передачи и хранения.

9.8. Для хранения, кодирования и пересылки информации, относящейся к персональным данным субъектов персональных данных, могут использоваться только устройства и программное обеспечение в корпоративной сети передачи данных, отвечающим требованиям политик безопасности Организации.

10. Права и обязанности сторон

10.1. При определении объема и содержания обрабатываемых персональных данных Организация должна руководствоваться Конституцией Российской Федерации и иными федеральными законами.

10.2. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Организация вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

10.3. Защита персональных данных субъекта персональных данных от неправомерного их использования или утраты должна быть обеспечена Организацией за счет его средств в порядке, установленном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

10.4. В целях защиты персональных данных, хранящихся в Организации, субъект персональных данных имеет право:
- требовать исключения, исправления, блокирования и уничтожения неверных или неполных персональных данных;
- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;
- определять своих представителей для защиты своих персональных данных;
- на сохранение и защиту своей личной и семейной тайны;
- осуществление иных прав, предусмотренных законодательством Российской Федерации.

11. Нормативные ссылки

11.1. Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ

11.2. Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (с изменениями и дополнениями)

11.3. Постановление Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"

11.4. Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

11.5. Приказ ФСТЭК России от 18 февраля 2013 г. N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

11.6. Приказ ФСБ России от 10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности"

11.7. Положение по обработке конфиденциальной информации в ООО «Аквалайн» ПТ 001-2018