Утверждаю:

Генеральный директор

2017-05-30 10:00:03

 

ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

1. 1.          ОБЩИЕ ПОЛОЖЕНИЯ

1.1.       Настоящая политика (далее - Политика) разработана в соответствии и с учетом требований Конституции РФ, Федерального закона от 27.07.2006 (ред. от 21.07.2014) N 152-ФЗ "О персональных данных" (далее - Закон о ПД) и иных законодательных и  нормативно правовых актов РФ в области. Положения политики являются основополагающим регулятивным документом и действует в отношении всех персональных данных (далее – ПД), которые Агентство недвижимости "Метраж" (далее  – Компания) может получить от субъекта, являющегося стороной по договору оказания консультационных и(или) юридических услуг (покупатель, продавец или их законные представители), гражданско-правовому договору, а так же от субъекта, состоящего с организацией в отношениях, регулируемых трудовым законодательством (далее – Работника).

1.2.    Политика разработана в целях реализации требований законодательства в области обработки и защиты ПД и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его ПД Компанией, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайн.

1.3.    Положения Политики распространяются на отношения по обработке и защите ПД, полученных Компанией как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите ПД, полученных до ее утверждения.

1.4.    При обработке ПД строго соблюдаются следующие принципы:

1. не допускается обработка ПД, несовместимая с целями сбора ПД;
2. не допускается обработка ПД, которые не отвечают целям обработки;
3. содержание и состав обрабатываемых ПД соответствует заявленным целям обработки;
4. при обработке ПД обеспечивается точность, достаточность, а в необходимых случаях актуальность ПД;
5. хранение ПД осуществляется не дольше, чем этого требуют цели обработки ПД, а также федеральные законы и договоры, сторонами которых, выгодоприобретателем или поручителем по которым является субъект ПД;
6. обработка ПД осуществляется с соблюдением принципов и правил, предусмотренных законодательством РФ.
7. 2.          ОСНОВАНИЯ ОБРАБОТКИ И СОСТАВ

2.1.    Законодательные и иные нормативные правовые акты РФ, в соответствии с которыми определяется Политика обработки в Компании:

1. Трудовой кодекс РФ;
2. Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных";
3. Указ Президента РФ от 06 марта 1997 г. № 188 "Об утверждении Перечня сведений конфиденциального характера";
4. Постановление Правительства РФ от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки, осуществляемой без использования средств автоматизации";
5. Постановление Правительства РФ от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите при их обработке в информационных системах";
6. Приказ ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13 февраля 2008 г. "Об утверждении Порядка проведения классификации информационных систем";
7. Приказ ФСТЭК России от 18 февраля 2013 г. № 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности при их обработке в информационных системах";
8. Приказ Роскомнадзора от 05 сентября 2013 г. № 996 "Об утверждении требований и методов по обезличиванию";
9. Федеральный закон от 07.08.2001г  N 115 "О противодействии легализации доходов, полученных преступным путем, и финансированию терроризма";
10. иные нормативные правовые акты РФ;

2.2.    Субъектами являются:

1. работники Компании
2. клиенты Компании
3. другие субъекты (контрагенты) не состоящих с Компанией в трудовых отношениях.

При этом обрабатываются ПД в целях:

1. обеспечения соблюдения Конституции РФ, законодательных и иных нормативных правовых актов РФ, локальных нормативных актов;
2. осуществления функций, полномочий и обязанностей, возложенных законодательством РФ на Компанию, в том числе по предоставлению в органы государственной власти, в Пенсионный фонд РФ, в Фонд социального страхования РФ, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
3. регулирования трудовых отношений с работниками Компании (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы,);
4. защиты жизни, здоровья или иных жизненно важных интересов субъектов;
5. подготовки, заключения, исполнения и прекращения договоров с контрагентами;
6. обеспечения пропускного и внутри объектового режимов в офисах Компании;
7. формирования справочных материалов для внутреннего информационного обеспечения деятельности Компании, исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;
8. осуществления прав и законных интересов Компании в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами;
9. целями обработки клиентов, представителей клиентов и (или) выгодоприобретателей физических и юридических лиц, является заключение договоров оказания услуг в соответствии со ст. 779 Гражданского кодекса РФ;
10. в иных законных целях;

2.3.    В связи с трудовыми и иными непосредственно связанными с ними отношениями, в которых Компания выступает в качестве работодателя, обрабатываются ПД лиц, претендующих на трудоустройство и бывших Работников.

2.4.    В связи с реализацией своих прав и обязанностей, Компанией обрабатываются ПД физических  и юридических лиц, являющихся контрагентами Компании по агентским и гражданско-правовым договорам, а также граждан, письменно обращающихся в Компанию по вопросам его деятельности (помимо лиц, указанных в пунктах 2.2 - 2.3 Политики).

2.5.    Обработка специальных категорий, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, в Компании не осуществляется.

2.6.    ПД получаются и обрабатываются Компанией на основании федеральных законов, а в необходимых случаях - при наличии письменного согласия субъекта ПД.

2.7.    Компания без согласия субъекта не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.

2.8.    В Компании не производится обработка ПД, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки ПД, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей.

2.9.    При обработке ПД обеспечиваются их точность, достаточность, а при необходимости - и актуальность по отношению к целям обработки. Компания принимает необходимые меры по удалению или уточнению неполных или неточных ПД.

1. 3.          ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

3.1.    Основной задачей обеспечения безопасности ПД при их обработке в Компании является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения ПД, разрушения (уничтожения) или искажения их в процессе обработки.

3.2.    Для обеспечения безопасности ПД,  Компания руководствуется следующими принципами:

1. защита ПД основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты ПД;
2. защита ПД строится с использованием функциональных возможностей информационных технологий;
3. меры, обеспечивающие надлежащий уровень безопасности ПД, принимаются до начала их обработки;
4. модернизация и наращивание мер и средств защиты ПД осуществляется на основании результатов анализа практики обработки ПД с учетом выявления новых способов и средств реализации угроз безопасности ПД;
5. ответственность за обеспечение безопасности ПД возлагается на Работников в пределах их обязанностей, связанных с обработкой и защитой ПД;
6. доступ к ПД предоставляется Работникам только в объеме, необходимом для выполнения их должностных обязанностей;
7. обеспечение выполнения функций защиты ПД при изменении характеристик функционирования информационных систем (далее - ИСПД), а также объема и состава обрабатываемых ПД;
8. структура, технологии и алгоритмы функционирования системы защиты ПД (далее - СЗПД) не дают возможности преодоления имеющихся в Компании систем защиты возможными нарушителями безопасности ПД;
9. реализация мер по обеспечению безопасности ПД и эксплуатация СЗПД осуществляются Работниками, имеющими необходимые для этого квалификацию и опыт;
10. кадровая политика Компании предусматривает тщательный подбор персонала и мотивацию Работников, позволяющую исключить или минимизировать возможность нарушения ими безопасности ПД;
11. меры по обеспечению безопасности ПД должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы и могли быть оценены лицами, осуществляющими контроль.
12. 4.          ДОСТУП К ОБРАБАТЫВАЕМЫМ ПД

4.1.    Доступ к персональным данным ограничивается в соответствии с федеральными законами и локальными правовыми актами Компании.

4.2.    Компания не разглашает полученные им в результате своей профессиональной деятельности персональные данные. Доступ к обрабатываемым в Компании ПД имеют лица, уполномоченные приказом, а также лица, чьи ПД обрабатываются и(или) подлежат обработке.

4.3.    В целях разграничения полномочий при обработке ПД полномочия по реализации каждой определенной законодательством функции закрепляются за соответствующим сотрудником Компании.

4.4.    Доступ Работников к обрабатываемым ПД осуществляется в соответствии с их должностными обязанностями и требованиями внутренних регулятивных документов Компании. Допуск Работников к обработке ПД осуществляется согласно перечню типовых полномочий. Соответствующие полномочия пользователя вносятся в должностные обязанности Работника.

4.5.    Факты получения доступа к ИСПД регистрируются, с использованием средств обеспечения информационной безопасности. Порядок доступа субъекта к его ПД, осуществляется в соответствии с Законом о ПД и определяется внутренними регулятивными документами Компании.

4.6.    В случаях, если Вы, как субъект ПД, хотите узнать, какими персональными данными о Вас располагает Компания, либо дополнить, исправить, обезличить или удалить любые неполные, неточные или устаревшие ПД, либо хотите прекратить обработку ваших ПД, либо имеете другие законные требования, вы можете в соответствии с действующим законодательством реализовать такое право, обратившись в Компанию.

1. 5.          ПРАВА СУБЪЕКТОВ

5.1.    Субъекты имеют право на:

1. доступ к своим ПД, включая право на получение копии любой записи, содержащей их ПД, за исключением случаев, предусмотренных федеральным законом;
2. уточнение своих ПД, их блокирование или уничтожение в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
3. отзыв согласия на обработку ПД;
4. принятие предусмотренных законом мер по защите своих прав;
5. осуществление иных прав, предусмотренных законодательством РФ.
6. 6.          РЕАЛИЗАЦИЯ ПОЛИТИКИ

6.1.    Компания принимает необходимые и достаточные меры для защиты обрабатываемых ПД от неправомерного или случайного доступа к ним, от уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ними со стороны третьих лиц.

6.2.    Ответственность за организацию обработки ПД в Компании несет должностное лицо, выполняющее организационно-распорядительные или административно-хозяйственные функции (ст. 2.4 КоАП РФ) и назначенный приказом генерального директора Компании.

Ответственный за организацию обработки ПД в Компании, в частности, обязан:

1. осуществлять внутренний контроль за соблюдением в требований нормативных правовых актов и внутренних регулятивных документов Компании в области обработки и защиты ПД;
2. доводить до сведения Работников положения нормативных правовых актов и внутренних регулятивных документов в области обработки и защиты ПД;
3. организовывать прием и обработку обращений и запросов субъектов ПД или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

6.3.    Компания осуществляет обработку ПД без использования средств автоматизации, а также с использованием таких средств.

6.4.    При обработке ПД без использования средств автоматизации, Компания в соответствии с положениями нормативных правовых актов в области обработки и защиты ПД, реализует комплекс организационных и технических мер, обеспечивающих:

1. обособление ПД от информации, не содержащей ПД;
2. соответствие типовых форм документов, характер информации в которых предполагает или допускает включение в них ПД, установленным требованиям;
3. сохранность материальных носителей ПД;
4. условия хранения, исключающие несанкционированный доступ к ПД, а также смешение ПД (материальных носителей), обработка которых осуществляется в различных целях.

6.5.    В соответствии с требованиями нормативных правовых актов в области обработки и защиты ПД с использованием средств автоматизации в Компании создаются ИСПД.

6.6.    Объектами защиты СЗПД являются информация, обрабатываемая и содержащая ПД, а также инфраструктура, содержащая и поддерживающая указанную информацию.

6.7.    СЗПД реализуется комплексом правовых, режимных, организационных и программно-технических мер, которые включают:

1. подготовку внутренних регулятивных документов по вопросам обработки и защиты ПД, контроль за исполнением в Компании требований нормативных правовых актов и внутренних регулятивных документов в области обработки и защиты ПД, а также внесение соответствующих изменений в имеющиеся внутренние регулятивные документы;
2. доведение до сведения Работников информации об установленных законодательством РФ санкциях за нарушения, связанные с обработкой и защитой ПД;
3. разработку и введение в действие внутренних регулятивных документов Компании по обеспечению информационной безопасности ИСПД;
4. ознакомление Работников с положениями нормативных правовых актов и внутренних регулятивных документов Компании в области обработки и защиты ПД, а также обучение Работников правилам обработки и защиты ПД;
5. проведение мероприятий по поддержанию и осуществлению контроля за состоянием:

a)      охраны, контрольно-пропускного режима, перемещением технических средств и носителей информации;

b)      защиты технологических процессов, информационных ресурсов, информации и поддерживающей их инфраструктуры от угроз техногенного характера и внешних неинформационных воздействий;

1. регламентацию обработки ПД, в том числе хранения и передачи информации как внутри Компании, так и при взаимодействии с контрагентами Компании, государственными органами и организациями, обращения с документами (включая электронные документы) и носителями, порядка их учета, хранения и уничтожения;
2. организацию технического оснащения объектов и ИСПД в соответствии с существующими требованиями к информационной безопасности;
3. организацию непрерывного процесса контроля событий безопасности для своевременного выявления и пресечения попыток несанкционированного доступа к защищаемой информации;
4. осуществление контроля эффективности организационных мер защиты.
5. 7.          ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПД И СПОСОБЫ ОБРАБОТКИ

7.1.    Компания  осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.

7.2.    Обработка в Компании осуществляется следующими способами:

1. неавтоматизированная обработка;
2. автоматизированная обработка с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
3. смешанная обработка.
4. 8.          ОСНОВНЫЕ МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПД

8.1.    Мероприятия по защите ПД реализуются в Компании в следующих направлениях:

1. предотвращение несанкционированного доступа к содержащей ПД информации, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней;
2. защита от вредоносных программ;
3. обеспечение безопасного межсетевого взаимодействия;
4. анализ защищенности ИСПД и принятие локальных нормативных актов и иных документов в области обработки и защиты;
5. хранение материальных носителей с соблюдением условий, обеспечивающих сохранность и исключающих несанкционированный доступ к ним;
6. обнаружение вторжений и компьютерных атак;

8.2.    Мероприятия по обеспечению безопасности ПД включают в себя:

1. реализацию разрешительной системы допуска пользователей к информационным ресурсам ИС и связанным с их использованием работам, документам;
2. разграничение доступа пользователей ИСПД и обслуживающих ИСПД Работников к информационным ресурсам, программным средствам обработки и защиты информации;
3. регистрацию действий пользователей и обслуживающих ИСПД Работников, контроль несанкционированного доступа и действий пользователей и обслуживающих Работников, а также третьих лиц;
4. предотвращение внедрения в ИС вредоносных программ и программных закладок, анализ принимаемой по информационно-телекоммуникационным сетям информации, в том числе на наличие компьютерных вирусов;
5. анализ защищенности ИС с применением специализированных программных средств.
6. 9.        КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА РФ И ЛОКАЛЬНЫХ НОРМАТИВНЫХ АКТОВ

9.1.    С целью поддержания состояния защиты ПД на надлежащем уровне в Компании осуществляется внутренний контроль за эффективностью системы защиты ПД и соответствием порядка и условий обработки и защиты ПД установленным требованиям.

Внутренний контроль включает:

1. мониторинг состояния технических и программных средств, входящих в состав СЗПД;
2. контроль соблюдения требований по обеспечению безопасности ПД (требований нормативных правовых актов и внутренних регулятивных документов в области обработки и защиты ПД, требований договоров).

9.2.    Персональная ответственность за соблюдение требований законодательства РФ и локальных нормативных актов, а также за обеспечение конфиденциальности и безопасности возлагается на назначенное приказом Генерального директора ответственное лицо.