Политика информационной безопасности персональных данных

Застройщик Акционерное общество Специализированный застройщик «Южно-Уральская Корпорация жилищного строительства и инвестиций»

1.         ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

1.1.   Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

1.2.   Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

1.3.   Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.4.   Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

1.5.   Неавтоматизированная обработка персональных данных - обработка персональных данных без использования средств вычислительной техники.

1.6.   Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

1.7.   Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

1.8.   Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

1.9.   Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.10.        Уполномоченный сотрудник – сотрудник организации (оператора персональных данных), доступ к персональным данным которому необходим для осуществления своих должностных обязанностей, допущенный к обработке персональных данных приказом руководителя соответствующей организации.

1.11.        Контролируемая зона – территория оператора персональных данных, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.

2.         ОБЩИЕ ПОЛОЖЕНИЯ

2.1.   Настоящая Политика безопасности персональных данных (далее — Политика) АО СЗ «ЮУ КЖСИ» (далее – Корпорация) разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации» №149 от 27.07.2006, Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ, Постановлением Правительства РФ №1119 от 01.11.2012 г. и устанавливает политику Корпорации в отношении обработки персональных данных и обеспечения безопасности обрабатываемых персональных данных.

2.2.   Цель разработки настоящей Политики — определение основы для разработки локальной нормативной базы Корпорации, регулирующей обработку персональных данных сотрудников Корпорации и иных субъектов персональных данных (далее – Субъекты ПДн) и защиту персональных данных от несанкционированного доступа, неправомерного их использования, распространения или утраты.

2.3.   Настоящая Политика вступает в силу с момента ее утверждения генеральным директором Корпорации или его заместителем и действует бессрочно, до замены ее новой Политикой.

2.4.   Все изменения в настоящую Политику вносятся приказом генерального директора Корпорации или его заместителя.

3.         ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Цели обработки персональных данных в Корпорации:

-       соблюдение трудового законодательства Российской федерации;

-       обеспечение кадровой и бухгалтерской деятельности Корпорации;

-       обеспечение сотрудников Корпорации средствами и возможностями для обеспечения ими своих должностных обязанностей;

-       рассмотрение заявок на предоставление ипотечных кредитов;

-       заключение и реализация ипотечных кредитных договоров;

-       заключение и реализация прочих договоров между Корпорацией и физическими лицами;

-       исполнение Корпорацией своих обязательств в соответствии с действующим законодательством Российской Федерации.

Цели обработки персональных данных для каждого Субъекта ПДн определяются в соответствующем соглашении Субъекта ПДн на обработку его персональных данных Корпорацией.

Если заключение соглашения на обработку персональных данных между Субъектом ПДн и Корпорацией не предусмотрено законодательством Российской Федерации, цели обработки определяются соответствующими договорами между Субъектом ПДн и Корпорацией или приказами генерального директора Корпорации или его заместителя.

4.         СУБЪЕКТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Субъектами персональных данных, обрабатываемых в Корпорации, являются:

-       лица, состоящие или состоявшие в трудовых отношениях с Корпорацией;

-       покупатели, заемщики и созаемщики (приобретение недвижимости, получение ипотечного займа);

-       заявители (лица, предоставляющие (самостоятельно, либо с помощью законного представителя) свои данные для получения ипотечного кредита от Корпорации).

Перечень персональных данных для каждого Субъекта ПДн определяется в соответствующем соглашении Субъекта ПДн на обработку его персональных данных Корпорацией.

Если заключение соглашения на обработку персональных данных между Субъектом ПДн и Корпорацией не предусмотрено законодательством Российской Федерации, перечень персональных данных определяется соответствующими договорами между Субъектом ПДн или приказами генерального директора Корпорации или его заместителя.

5.         ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1.   Все персональные данные Субъектов ПДн, обрабатываемые Корпорацией, получаются непосредственно от Субъектов ПДн, либо их законных представителей.

5.2.   Корпорация не обрабатывает персональные данные Субъектов ПДн об их расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, а так же биометрические персональные данные.

5.3.   Персональные данные от Субъектов ПДн получаются и обрабатываются уполномоченными сотрудниками Корпорации – сотрудниками, допущенными к обработке персональных данных на основании соответствующего приказа генерального директора Корпорации или его заместителя.

5.4.   Субъект ПДн в письменной форме подтверждает свое согласие на обработку своих персональных данных Корпорацией, если это необходимо, в соответствии с законодательством Российской Федерации в сфере обработки персональных данных.

5.5.   Обработка персональных данных осуществляется как без использования средств автоматизации, так и с использованием средств автоматизации.

5.6.   Состав персональных данных, обрабатываемых в информационной системе персональных данных (далее – ИСПДн) Корпорации, определяется соответствующим перечнем персональных данных, обрабатываемых в информационных системах персональных данных Корпорации, утвержденным генеральным директором Корпорации или его заместителем.

5.7.   Корпорация может поручать обработку персональных данных третьим лицам на основании соответствующих договоров. Существенным условием договора об оказании услуг по обработке персональных данных между Корпорацией и третьим лицом является обязанность обеспечения сторонами соответствующего договора конфиденциальности и безопасности передаваемых в обработку персональных данных Субъектов ПДн.

5.8.   Обработка персональных данных осуществляется на законной и справедливой основе.

5.9.   Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

5.10.   Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

5.11.   Обрабатываются только персональные данные, которые отвечают целям их обработки, в составе и объеме, соответствующем цели обработки и не являющимся избыточным.

5.12.   Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством РФ, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ в сфере обработки персональных данных.

5.13.   Принятие решений, затрагивающих интересы Субъектов ПДн, не может основываться на персональных данных Субъектов ПДн, полученных исключительно в результате их автоматизированной обработки или электронного получения.

5.14.   Уполномоченные сотрудники Корпорации при обработке персональных данных действуют в рамках соответствующих инструкций (Инструкция пользователя ИСПДн, Инструкция ответственного за обеспечение безопасности ИСПДн), утвержденных генеральным директором Корпорации или его заместителем.

5.15.             Уполномоченные сотрудники Корпорации используют только автоматизированные рабочие места (далее – АРМ) Корпорации, входящие в ИСПДн Корпорации, на основании утвержденного генеральным директором Корпорации или его заместителем перечня АРМ ИСПДн внутри границ контролируемой зоны Корпорации, утвержденных соответствующим приказом генерального директора Корпорации или его заместителя.

5.16.        Хранение материальных носителей персональных данных Субъектов ПДн осуществляется помещениях внутри границы контролируемой зоны, определенных «Приказом об утверждении мест хранения материальных носителей персональных данных» генерального директора Корпорации или его заместителя.

5.17.        Уничтожение персональных данных Субъектов ПДн при достижении целей обработки персональных данных, либо по заявлению Субъекта ПДн осуществляется уполномоченными сотрудниками Корпорации с составлением Акта об уничтожении ПДн, если уничтожение не противоречит действующему законодательству Российской Федерации в сфере обработки персональных данных.

6.         ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СОТРУДНИКОВ КОРПОРАЦИИ

Порядок получения и обработки персональных данных Субъектов ПДн, состоящих (состоявших) с Корпорацией в трудовых отношениях:

6.1. Субъект ПДн предоставляет свои персональные данные уполномоченному сотруднику Корпорации на бумажных носителях (в форме анкет, заявлений, копий и оригиналов личных документов и т.д.).

6.2. Уполномоченный сотрудник Корпорации обеспечивает приемку передаваемых персональных данных, перемещение материальных носителей персональных данных в места хранения материальных носителей персональных данных, утвержденных соответствующим приказом, а так же внесение персональных данных ИСПДн Корпорации.

6.3. Обработка персональных данных Субъектов ПДн ведется на основании Соглашения Субъекта ПДн на обработку его персональных данных в целях обеспечения бухгалтерской, кадровой деятельности, начисления заработной платы, уплаты налогов и сборов, обеспечения требований законодательства в сфере трудовых отношений, а так же в целях предоставления Субъекту ПДн возможности исполнять свои трудовые обязанности.

6.4. Персональные данные Субъектов ПДн могут передаваться третьим лицам (государственные органы, организации, предоставляющие услуги по бухгалтерскому и кадровому сопровождению деятельности предприятий) в целях, обозначенных в п. 6.3. настоящей Политики, на основании Соглашения об обработке ПДн, заключенного между Корпорацией и третьим лицом, которому передаются персональные данные, существенным условием такого соглашения является обеспечение безопасности и конфиденциальности персональных данных Субъектов ПДн.

6.5. Персональные данные Субъектов ПДн, являющихся сотрудниками Корпорации, обрабатываются на протяжении всего срока действия трудовых отношений между соответствующим Субъектом ПДн и Корпорацией.

6.6. Персональные данные Субъектов ПДн по истечении срока действия трудовых отношений между соответствующим Субъектом ПДн и Корпорацией обрабатываются Корпорацией в течение срока, установленного законодательством РФ в сфере трудовых отношений и архивного дела, и удаляются по истечении соответствующих сроков с оформлением Акта об уничтожении персональных данных.

7. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ЗАЯВИТЕЛЕЙ

Порядок получения и обработки персональных данных Субъектов ПДн, являющихся заявителями на получение ипотечного кредита:

7.1. Субъект ПДн (или законный его представитель) предоставляет свои персональные данные уполномоченному сотруднику Корпорации на бумажных носителях (в форме анкет, заявлений, копий личных документов и т.д.).

7.2. Уполномоченный сотрудник Корпорации обеспечивает приемку передаваемых персональных данных, перемещение материальных носителей персональных данных в места хранения материальных носителей персональных данных, утвержденных соответствующим приказом, а так же внесение персональных данных Субъекта ПДн в ИСПДн Корпорации.

7.3. Обработка персональных данных Субъектов ПДн ведется на основании Соглашения Субъекта ПДн на обработку его персональных данных с целью выработки решения о выдаче ипотечного кредита Корпорацией Субъекту ПДн.

7.4. Если персональные данные Субъекта ПДн получены не от самого Субъекта ПДн, то он оповещается о начале обработки его персональных данных посредством sms-рассылки.

7.5. В случае отказа в выдаче ипотечного кредита Субъекту ПДн срок обработки персональных данных Субъекта ПДн не может превышать пяти лет с момента получения соответствующих персональных данных.

7.6. В случае положительного решения по выдаче ипотечного кредита Субъекту ПДн Корпорацией срок обработки данных может быть продлен на основании соглашений и договоров между Субъектом ПДн и Корпорацией.

7.7. По истечении срока обработки персональных данных Субъекта ПДн соответствующие персональные данные уничтожаются с составлением Акта об уничтожении ПДн, если сроки хранения документов, содержащих соответствующие персональные данные, не установлены законодательством Российской Федерации.

8.         ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОКУПАТЕЛЕЙ, ЗАЕМЩИКОВ И СОЗАЕМЩИКОВ

Порядок получения и обработки персональных данных Субъектов ПДн, являющихся заемщиками или созаемщиками по ипотечному кредиту в Корпорации:

8.1. Субъект ПДн (или законный его представитель) предоставляет свои персональные данные уполномоченному сотруднику Корпорации на бумажных носителях (в форме анкет, заявлений, копий личных документов и т.д.).

8.2. Уполномоченный сотрудник Корпорации обеспечивает приемку передаваемых персональных данных, перемещение материальных носителей персональных данных в места хранения материальных носителей персональных данных, утвержденных соответствующим приказом, а так же внесение персональных данных Субъекта ПДн в ИСПДн Корпорации.

8.3. Обработка персональных данных Субъектов ПДн ведется на основании Соглашения Субъекта ПДн на обработку его персональных данных с целью выдачи и обслуживания ипотечного кредита, приобретения недвижимости Субъекту ПДн Корпорацией.

8.4. Срок обработки персональных данных Субъектов ПДн обусловлен сроком действия договора между Корпорацией и Субъектом ПДн и не может превышать пяти лет с момента закрытия соответствующего договора, либо уступки прав по соответствующему договору Корпорацией третьему лицу, если иной срок хранения документов, содержащих соответствующие персональные данные, не установлен законодательством Российской Федерации.

8.5. Персональные данные Субъектов ПДн могут передаваться третьим лицам (банки, кредитные организации) при уступке прав по соответствующему договору Корпорацией третьим лицам, на основании Соглашения об обработке ПДн, заключенного между Корпорацией и третьим лицом, которому передаются персональные данные, существенным условием такого соглашения является обеспечение безопасности и конфиденциальности персональных данных Субъектов ПДн.

8.6. Третье лицо, получившее персональные данные Субъекта ПДн, обязано известить Субъекта ПДн о начале обработки его персональных данных в соответствии с частью 3 статьи 18 Федерального закона №152-ФЗ от 27.07.2006 г.

9.         ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1.   В целях обеспечения безопасности обрабатываемых персональных данных Субъектов ПДн, а так же обеспечения реализации прав Субъектов ПДн в Корпорации разрабатывается нормативно-правовая база, регламентирующая полный цикл обработки персональных данных в Корпорации, ответственность сторон и реализовывающая обязанности Корпорации по соблюдению законодательства Российской Федерации в сфере обработки персональных данных.

9.2.   В Корпорации создается и внедряется система защиты персональных данных (далее – СЗПДн), обеспечивающая нейтрализацию актуальных угроз безопасности персональных данных в Корпорации, использующая средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации.

9.3.   СЗПДн обеспечивает безопасность (целостность, конфиденциальность, доступность, достоверность) обрабатываемых персональных данных в Корпорации.

9.4.   Руководителем Корпорации назначается ответственный за обеспечение безопасности персональных данных.

10.     ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1 Уполномоченные сотрудники Корпорации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Субъектов ПДн, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с законодательством Российской Федерации в сфере обработки персональных данных.