ООО «РЕАЛИСТ»
Политика обработки и защиты персональных данных
1. Общие положения
1.1. Настоящее Положение об обработке и защите персональных данных (далее — Положение) разработано в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон), постановлением Правительства Российской Федерации от 01.11.2012 № 1119, постановлением Правительства Российской Федерации от 15.09.2008 № 687, приказом ФСТЭК России от 18.02.2013 № 21 и иными нормативными правовыми актами Российской Федерации в области персональных данных.
1.2. Положение определяет порядок обработки персональных данных, обязанности должностных лиц, осуществляющих обработку персональных данных, а также меры, направленные на защиту персональных данных в Обществе с ограниченной ответственностью «РЕАЛИСТ» (далее — Оператор).
1.3. Целью настоящего Положения является обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.4. Требования настоящего Положения обязательны для всех работников Оператора, имеющих доступ к персональным данным или осуществляющих их обработку.
1.5. Положение, а также изменения и дополнения к нему утверждаются приказом генерального директора Оператора и вводятся в действие с даты, указанной в соответствующем приказе.
2. Основные понятия
В настоящем Положении используются понятия в значениях, установленных статьёй 3 Закона, в том числе:
– персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);
– обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования;
– информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
– доступ к персональным данным — возможность получения и использования персональных данных работником в объёме, необходимом для исполнения его должностных обязанностей;
– блокирование, уничтожение, обезличивание персональных данных — понятия в значениях, определённых статьёй 3 Закона.
3. Принципы и правовые основания обработки персональных данных
3.1. Обработка персональных данных осуществляется на основе принципов законности и справедливости; ограничения обработки достижением конкретных, заранее определённых и законных целей; соответствия содержания и объёма обрабатываемых данных заявленным целям; точности и достаточности данных; хранения данных не дольше, чем этого требуют цели обработки.
3.2. Обработка персональных данных допускается при наличии хотя бы одного из правовых оснований, предусмотренных статьёй 6 Закона, в том числе: с согласия субъекта; для исполнения договора, стороной которого либо выгодоприобретателем по которому является субъект; для осуществления прав и законных интересов Оператора либо третьих лиц; для исполнения возложенных на Оператора законодательством обязанностей.
3.3. Согласие субъекта на обработку персональных данных оформляется в форме, позволяющей подтвердить факт его получения, и может быть отозвано субъектом. В случаях, предусмотренных Законом, согласие оформляется в письменной форме.
4. Цели обработки, категории субъектов и персональных данных
4.1. Оператор обрабатывает персональные данные в целях оказания услуг по юридической проверке, андеррайтингу и анализу рисков в отношении объектов недвижимости, транспортных средств, юридических и физических лиц; заключения и исполнения договоров с клиентами и контрагентами; ведения кадрового учёта; исполнения обязанностей, возложенных законодательством; обработки обращений через сайт; продвижения услуг Оператора при наличии согласия субъекта.
4.2. Категории субъектов персональных данных: клиенты и их представители; контрагенты, их представители и работники; субъекты, в отношении которых проводится проверка; работники Оператора и кандидаты на трудоустройство; пользователи сайта Оператора.
4.3. Категории обрабатываемых персональных данных: фамилия, имя, отчество, дата и место рождения, гражданство; сведения документов, удостоверяющих личность; адреса; контактные данные; сведения об имуществе и сделках; сведения из открытых государственных реестров и источников (ЕГРН, реестры ГИБДД, данные ФССП России, сведения ФНС России), сведения о судебных спорах имущественного характера и процедурах банкротства; сведения о работниках в объёме статьи 86 Трудового кодекса Российской Федерации.
4.4. Специальные категории персональных данных и биометрические персональные данные Оператором не обрабатываются.
5. Порядок обработки персональных данных
5.1. Сбор персональных данных осуществляется путём их получения от субъекта персональных данных либо из общедоступных и государственных источников на законном основании. Если персональные данные получены не от субъекта, Оператор предоставляет субъекту сведения, предусмотренные частью 3 статьи 18 Закона, за исключением случаев, установленных Законом.
5.2. Хранение персональных данных осуществляется с использованием баз данных, находящихся на территории Российской Федерации, в форме, позволяющей определить субъекта, в условиях, исключающих несанкционированный доступ. Материальные носители персональных данных хранятся в местах с ограниченным доступом.
5.3. Использование персональных данных осуществляется исключительно в заявленных целях работниками Оператора, допущенными к обработке персональных данных.
5.4. Передача (предоставление, доступ) персональных данных третьим лицам осуществляется только при наличии правового основания или согласия субъекта. При поручении обработки персональных данных другому лицу Оператор заключает с ним договор, предусматривающий обязанность соблюдать конфиденциальность и обеспечивать безопасность персональных данных в соответствии с частью 3 статьи 6 Закона.
5.5. Уточнение (обновление, изменение) и блокирование персональных данных осуществляются по требованию субъекта или уполномоченного органа, а также при выявлении неточных или неправомерно обрабатываемых данных.
5.6. Персональные данные подлежат уничтожению или обезличиванию по достижении целей обработки, при утрате необходимости в их достижении, при отзыве субъектом согласия, а также в иные сроки, установленные статьёй 21 Закона. Уничтожение персональных данных оформляется актом; при обработке без средств автоматизации уничтожение материальных носителей производится комиссионно.
6. Обработка персональных данных без использования средств автоматизации
6.1. Обработка персональных данных без использования средств автоматизации осуществляется в соответствии с постановлением Правительства Российской Федерации от 15.09.2008 № 687. Материальные носители хранятся раздельно в зависимости от целей обработки, в условиях, обеспечивающих сохранность и исключающих несанкционированный доступ. Порядок такой обработки устанавливается отдельным локальным актом Оператора.
7. Права субъекта персональных данных
Субъект персональных данных имеет право:
– получать информацию, касающуюся обработки его персональных данных;
– требовать уточнения, блокирования или уничтожения персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
– отозвать согласие на обработку персональных данных;
– обжаловать действия или бездействие Оператора в Роскомнадзор или в судебном порядке.
8. Права и обязанности Оператора
8.1. Оператор обязан: обрабатывать персональные данные на законном основании; разъяснять субъекту юридические последствия отказа предоставить данные, если их предоставление обязательно; предоставлять субъекту информацию об обработке; уточнять, блокировать и уничтожать персональные данные в случаях, установленных Законом; принимать меры по обеспечению безопасности персональных данных; реагировать на инциденты и уведомлять Роскомнадзор в установленных случаях.
8.2. Оператор вправе: ограничивать доступ к персональным данным; требовать от субъекта предоставления достоверных персональных данных; обрабатывать персональные данные при наличии правового основания.
9. Лицо, ответственное за организацию обработки персональных данных
9.1. Лицо, ответственное за организацию обработки персональных данных, назначается приказом генерального директора Оператора в соответствии со статьёй 22.1 Закона.
9.2. Ответственное лицо осуществляет внутренний контроль за соблюдением Оператором и его работниками законодательства о персональных данных; доводит до сведения работников положения законодательства и локальных актов; организует приём и обработку обращений и запросов субъектов персональных данных.
10. Допуск работников к обработке персональных данных
10.1. Доступ к персональным данным предоставляется работникам Оператора, которым он необходим для исполнения должностных обязанностей, в объёме, требуемом для выполнения таких обязанностей. Перечень лиц, допущенных к обработке персональных данных, утверждается приказом генерального директора.
10.2. Работники, допущенные к обработке персональных данных, подписывают обязательство о неразглашении персональных данных и под подпись знакомятся с настоящим Положением и иными локальными актами Оператора по вопросам обработки и защиты персональных данных.
11. Меры по обеспечению безопасности персональных данных
11.1. Оператор принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в соответствии со статьями 18.1 и 19 Закона.
11.2. Оператор определяет угрозы безопасности персональных данных и необходимый уровень защищённости при их обработке в информационных системах в соответствии с постановлением Правительства Российской Федерации от 01.11.2012 № 1119 и применяет меры защиты, предусмотренные приказом ФСТЭК России от 18.02.2013 № 21.
11.3. К числу применяемых мер относятся: учёт машинных носителей персональных данных; разграничение прав доступа работников; регистрация и учёт действий пользователей; антивирусная защита; резервное копирование; восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа; контроль принимаемых мер и оценка их эффективности.
11.4. При установлении факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлёкшей нарушение прав субъектов, Оператор уведомляет Роскомнадзор: в течение 24 часов с момента выявления инцидента — о произошедшем инциденте, предполагаемых причинах и предполагаемом вреде, а также о принятых мерах; в течение 72 часов — о результатах внутреннего расследования и о лицах, действия которых стали причиной инцидента (часть 3.1 статьи 21 Закона).
12. Порядок рассмотрения обращений и запросов субъектов
12.1. Обращения и запросы субъектов персональных данных или их представителей принимаются по адресу местонахождения Оператора либо по адресу электронной почты Оператора. Сведения об обработке персональных данных предоставляются субъекту в течение 10 рабочих дней с момента обращения; указанный срок может быть продлён, но не более чем на 5 рабочих дней, с уведомлением субъекта.
12.2. В случае выявления неправомерной обработки или неточности персональных данных Оператор осуществляет блокирование, уточнение либо уничтожение персональных данных в сроки, установленные статьями 20 и 21 Закона.
13. Внутренний контроль
13.1. Оператор осуществляет внутренний контроль соответствия обработки персональных данных требованиям Закона и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящему Положению и иным локальным актам. Контроль осуществляет лицо, ответственное за организацию обработки персональных данных.
14. Ответственность
14.1. Работники Оператора, виновные в нарушении требований Закона и настоящего Положения, несут дисциплинарную, материальную, гражданско-правовую, административную и уголовную ответственность в соответствии с законодательством Российской Федерации.
15. Заключительные положения
15.1. Настоящее Положение вступает в силу с даты его утверждения приказом генерального директора и действует до его отмены или замены новой редакцией.
15.2. Неотъемлемой частью настоящего Положения являются утверждаемые отдельными приказами Оператора приложения: перечень информационных систем персональных данных; перечень лиц, допущенных к обработке персональных данных; форма обязательства о неразглашении персональных данных; форма акта об уничтожении персональных данных.
1.1. Настоящее Положение об обработке и защите персональных данных (далее — Положение) разработано в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон), постановлением Правительства Российской Федерации от 01.11.2012 № 1119, постановлением Правительства Российской Федерации от 15.09.2008 № 687, приказом ФСТЭК России от 18.02.2013 № 21 и иными нормативными правовыми актами Российской Федерации в области персональных данных.
1.2. Положение определяет порядок обработки персональных данных, обязанности должностных лиц, осуществляющих обработку персональных данных, а также меры, направленные на защиту персональных данных в Обществе с ограниченной ответственностью «РЕАЛИСТ» (далее — Оператор).
1.3. Целью настоящего Положения является обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.4. Требования настоящего Положения обязательны для всех работников Оператора, имеющих доступ к персональным данным или осуществляющих их обработку.
1.5. Положение, а также изменения и дополнения к нему утверждаются приказом генерального директора Оператора и вводятся в действие с даты, указанной в соответствующем приказе.
2. Основные понятия
В настоящем Положении используются понятия в значениях, установленных статьёй 3 Закона, в том числе:
– персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);
– обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования;
– информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
– доступ к персональным данным — возможность получения и использования персональных данных работником в объёме, необходимом для исполнения его должностных обязанностей;
– блокирование, уничтожение, обезличивание персональных данных — понятия в значениях, определённых статьёй 3 Закона.
3. Принципы и правовые основания обработки персональных данных
3.1. Обработка персональных данных осуществляется на основе принципов законности и справедливости; ограничения обработки достижением конкретных, заранее определённых и законных целей; соответствия содержания и объёма обрабатываемых данных заявленным целям; точности и достаточности данных; хранения данных не дольше, чем этого требуют цели обработки.
3.2. Обработка персональных данных допускается при наличии хотя бы одного из правовых оснований, предусмотренных статьёй 6 Закона, в том числе: с согласия субъекта; для исполнения договора, стороной которого либо выгодоприобретателем по которому является субъект; для осуществления прав и законных интересов Оператора либо третьих лиц; для исполнения возложенных на Оператора законодательством обязанностей.
3.3. Согласие субъекта на обработку персональных данных оформляется в форме, позволяющей подтвердить факт его получения, и может быть отозвано субъектом. В случаях, предусмотренных Законом, согласие оформляется в письменной форме.
4. Цели обработки, категории субъектов и персональных данных
4.1. Оператор обрабатывает персональные данные в целях оказания услуг по юридической проверке, андеррайтингу и анализу рисков в отношении объектов недвижимости, транспортных средств, юридических и физических лиц; заключения и исполнения договоров с клиентами и контрагентами; ведения кадрового учёта; исполнения обязанностей, возложенных законодательством; обработки обращений через сайт; продвижения услуг Оператора при наличии согласия субъекта.
4.2. Категории субъектов персональных данных: клиенты и их представители; контрагенты, их представители и работники; субъекты, в отношении которых проводится проверка; работники Оператора и кандидаты на трудоустройство; пользователи сайта Оператора.
4.3. Категории обрабатываемых персональных данных: фамилия, имя, отчество, дата и место рождения, гражданство; сведения документов, удостоверяющих личность; адреса; контактные данные; сведения об имуществе и сделках; сведения из открытых государственных реестров и источников (ЕГРН, реестры ГИБДД, данные ФССП России, сведения ФНС России), сведения о судебных спорах имущественного характера и процедурах банкротства; сведения о работниках в объёме статьи 86 Трудового кодекса Российской Федерации.
4.4. Специальные категории персональных данных и биометрические персональные данные Оператором не обрабатываются.
5. Порядок обработки персональных данных
5.1. Сбор персональных данных осуществляется путём их получения от субъекта персональных данных либо из общедоступных и государственных источников на законном основании. Если персональные данные получены не от субъекта, Оператор предоставляет субъекту сведения, предусмотренные частью 3 статьи 18 Закона, за исключением случаев, установленных Законом.
5.2. Хранение персональных данных осуществляется с использованием баз данных, находящихся на территории Российской Федерации, в форме, позволяющей определить субъекта, в условиях, исключающих несанкционированный доступ. Материальные носители персональных данных хранятся в местах с ограниченным доступом.
5.3. Использование персональных данных осуществляется исключительно в заявленных целях работниками Оператора, допущенными к обработке персональных данных.
5.4. Передача (предоставление, доступ) персональных данных третьим лицам осуществляется только при наличии правового основания или согласия субъекта. При поручении обработки персональных данных другому лицу Оператор заключает с ним договор, предусматривающий обязанность соблюдать конфиденциальность и обеспечивать безопасность персональных данных в соответствии с частью 3 статьи 6 Закона.
5.5. Уточнение (обновление, изменение) и блокирование персональных данных осуществляются по требованию субъекта или уполномоченного органа, а также при выявлении неточных или неправомерно обрабатываемых данных.
5.6. Персональные данные подлежат уничтожению или обезличиванию по достижении целей обработки, при утрате необходимости в их достижении, при отзыве субъектом согласия, а также в иные сроки, установленные статьёй 21 Закона. Уничтожение персональных данных оформляется актом; при обработке без средств автоматизации уничтожение материальных носителей производится комиссионно.
6. Обработка персональных данных без использования средств автоматизации
6.1. Обработка персональных данных без использования средств автоматизации осуществляется в соответствии с постановлением Правительства Российской Федерации от 15.09.2008 № 687. Материальные носители хранятся раздельно в зависимости от целей обработки, в условиях, обеспечивающих сохранность и исключающих несанкционированный доступ. Порядок такой обработки устанавливается отдельным локальным актом Оператора.
7. Права субъекта персональных данных
Субъект персональных данных имеет право:
– получать информацию, касающуюся обработки его персональных данных;
– требовать уточнения, блокирования или уничтожения персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
– отозвать согласие на обработку персональных данных;
– обжаловать действия или бездействие Оператора в Роскомнадзор или в судебном порядке.
8. Права и обязанности Оператора
8.1. Оператор обязан: обрабатывать персональные данные на законном основании; разъяснять субъекту юридические последствия отказа предоставить данные, если их предоставление обязательно; предоставлять субъекту информацию об обработке; уточнять, блокировать и уничтожать персональные данные в случаях, установленных Законом; принимать меры по обеспечению безопасности персональных данных; реагировать на инциденты и уведомлять Роскомнадзор в установленных случаях.
8.2. Оператор вправе: ограничивать доступ к персональным данным; требовать от субъекта предоставления достоверных персональных данных; обрабатывать персональные данные при наличии правового основания.
9. Лицо, ответственное за организацию обработки персональных данных
9.1. Лицо, ответственное за организацию обработки персональных данных, назначается приказом генерального директора Оператора в соответствии со статьёй 22.1 Закона.
9.2. Ответственное лицо осуществляет внутренний контроль за соблюдением Оператором и его работниками законодательства о персональных данных; доводит до сведения работников положения законодательства и локальных актов; организует приём и обработку обращений и запросов субъектов персональных данных.
10. Допуск работников к обработке персональных данных
10.1. Доступ к персональным данным предоставляется работникам Оператора, которым он необходим для исполнения должностных обязанностей, в объёме, требуемом для выполнения таких обязанностей. Перечень лиц, допущенных к обработке персональных данных, утверждается приказом генерального директора.
10.2. Работники, допущенные к обработке персональных данных, подписывают обязательство о неразглашении персональных данных и под подпись знакомятся с настоящим Положением и иными локальными актами Оператора по вопросам обработки и защиты персональных данных.
11. Меры по обеспечению безопасности персональных данных
11.1. Оператор принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в соответствии со статьями 18.1 и 19 Закона.
11.2. Оператор определяет угрозы безопасности персональных данных и необходимый уровень защищённости при их обработке в информационных системах в соответствии с постановлением Правительства Российской Федерации от 01.11.2012 № 1119 и применяет меры защиты, предусмотренные приказом ФСТЭК России от 18.02.2013 № 21.
11.3. К числу применяемых мер относятся: учёт машинных носителей персональных данных; разграничение прав доступа работников; регистрация и учёт действий пользователей; антивирусная защита; резервное копирование; восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа; контроль принимаемых мер и оценка их эффективности.
11.4. При установлении факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлёкшей нарушение прав субъектов, Оператор уведомляет Роскомнадзор: в течение 24 часов с момента выявления инцидента — о произошедшем инциденте, предполагаемых причинах и предполагаемом вреде, а также о принятых мерах; в течение 72 часов — о результатах внутреннего расследования и о лицах, действия которых стали причиной инцидента (часть 3.1 статьи 21 Закона).
12. Порядок рассмотрения обращений и запросов субъектов
12.1. Обращения и запросы субъектов персональных данных или их представителей принимаются по адресу местонахождения Оператора либо по адресу электронной почты Оператора. Сведения об обработке персональных данных предоставляются субъекту в течение 10 рабочих дней с момента обращения; указанный срок может быть продлён, но не более чем на 5 рабочих дней, с уведомлением субъекта.
12.2. В случае выявления неправомерной обработки или неточности персональных данных Оператор осуществляет блокирование, уточнение либо уничтожение персональных данных в сроки, установленные статьями 20 и 21 Закона.
13. Внутренний контроль
13.1. Оператор осуществляет внутренний контроль соответствия обработки персональных данных требованиям Закона и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящему Положению и иным локальным актам. Контроль осуществляет лицо, ответственное за организацию обработки персональных данных.
14. Ответственность
14.1. Работники Оператора, виновные в нарушении требований Закона и настоящего Положения, несут дисциплинарную, материальную, гражданско-правовую, административную и уголовную ответственность в соответствии с законодательством Российской Федерации.
15. Заключительные положения
15.1. Настоящее Положение вступает в силу с даты его утверждения приказом генерального директора и действует до его отмены или замены новой редакцией.
15.2. Неотъемлемой частью настоящего Положения являются утверждаемые отдельными приказами Оператора приложения: перечень информационных систем персональных данных; перечень лиц, допущенных к обработке персональных данных; форма обязательства о неразглашении персональных данных; форма акта об уничтожении персональных данных.
ООО «Реалист» · ИНН 7736282685 · ОГРН 5167746331396 · 127106, г. Москва, Гостиничный пр., д. 6, корп. 2, пом. 213
Политика конфиденциальности
Политика конфиденциальности