1. Общие положения
1.1. Настоящая Политика Муниципального унитарного предприятия водопроводно-канализационного хозяйства (МУП «Водоканал») в сфере обработки
персональных данных (далее — Политика) определяет общие принципы и порядок
обработки персональных данных и меры по обеспечению их безопасности в МУП
«Водоканал» (далее — Предприятие).
1.2. Целью настоящей Политики является обеспечение защиты прав и свобод
человека и гражданина при обработке его персональных данных, в том числе
защиты прав на неприкосновенность частной жизни, личную и семейную тайну,
четкое и неукоснительное соблюдение требований российского законодательства в
области персональных данных.
1.3. Настоящая Политика разработана в соответствии с Конституцией
Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским
кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года №
149-ФЗ «Об информации, информационных технологиях и о защите информации»,
Федеральным законом 27 июля 2006 года № 152-ФЗ «О персональных данных»,
постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении
требований к защите персональных данных при их обработке в информационных
системах персональных данных», другими законодательными и нормативно-
правовыми актами, определяющими порядок работы с персональными данными и
требования к обеспечению их безопасности.
1.4. Действие Политики распространяется на все персональные данные
субъектов, обрабатываемые Предприятием с применением средств автоматизации
и без применения таких средств.
1.5. Положения Политики служат основой для разработки локальных
нормативных актов, регламентирующих на Предприятии вопросы обработки
персональных данных работников Предприятия и других субъектов персональных
данных.
1.6. Предприятие публикует настоящую Политику в открытом доступе на своем
официальном сайте в сети Интернет.
2. Цели обработки персональных данных
Целями обработки персональных данных Предприятием являются:
— обеспечение соблюдения Конституции Российской Федерации, законов и
иных правовых актов РФ;
— выполнение требований законодательства в сфере труда и налогообложения;
— ведение текущего бухгалтерского и налогового учёта, формирование и
своевременная подача бухгалтерской, налоговой и статистической отчётности;
— обеспечение пропускного и внутриобъектового режимов на объектах
Предприятия;
— выполнение требований законодательства по определению порядка
обработки и защиты персональных данных граждан, являющихся клиентами или
контрагентами Предприятия;
— осуществление прав и законных интересов Предприятия в рамках
осуществления видов деятельности, предусмотренных Уставом и иными
локальными нормативными актами Предприятия, или третьих лиц либо
достижения общественно значимых целей;
— иные законные цели.
3. Правовое основание обработки персональных данных
Обработка персональных данных осуществляется на основе следующих
федеральных законов и нормативно-правовых актов:
— Конституция Российской Федерации;
— Трудовой кодекс Российской Федерации;
— Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных
данных»;
— Федеральный закон «Об информации, информационных технологиях и о
защите информации» от 27.07.2006 № 149-ФЗ;
— Положение об особенностях обработки персональных данных,
осуществляемой без использования средств автоматизации. Утверждено
постановлением Правительства Российской Федерации от 15 сентября 2008 года
№687;
— Постановление от 1 ноября 2012 г. № 1119 об утверждении требований к
защите персональных данных при их обработке в информационных системах
персональных данных;
— приказ ФСТЭК России от 18 февраля 2013 г. № 21«Об утверждении состава и
содержания организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах
персональных данных»;
— приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении
требований и методов по обезличиванию персональных данных»;
— приказ ФНС от 17 ноября 2010 г. № ММВ-7-3/611 «Об утверждении формы
сведений о доходах физических лиц и рекомендации по ее заполнению, формата
сведений о доходах физических лиц в электронном виде, справочников»;
— иные нормативные правовые акты Российской Федерации и нормативные
документы уполномоченных органов государственной власти.
4. Категории субъектов персональных данных
4.1. Предприятие является оператором, осуществляющим обработку
персональных данных в отношении персональных данных следующих
физических лиц:
— работники Предприятия, с которыми заключены трудовые договоры, лица,
выполняющими работы в интересах Предприятия в соответствии с заключенными
с ними гражданско-правовыми договорами, кандидаты на соискание вакантной
должности;
— клиенты Предприятия, которым Предприятие оказывает услуги
водоснабжения и водоотведения и иные коммерческие услуги;
— посетители объектов Предприятия;
— представители контрагентов Предприятия, с которыми у Предприятия
существуют договорные отношения или с которыми Предприятие намерено
вступить в договорные отношения.
4.2. Предприятие является юридическим лицом, организующим обработку
персональных данных по поручению других операторов, к которым относятся (не
исчерпывая):
— органы государственной власти и фонды обязательного страхования, в
которые перечисляются средства работников или средства для зачисления на счет
работников (Федеральная налоговая служба, Пенсионный фонд России,
Федеральный Фонд обязательного медицинского страхования и др.) в объеме,
определенном соответствующими органами власти и фондами обязательного
страхования;
— федеральные органы исполнительной власти, которым предоставляется
отчетность, содержащая персональные данные работников и клиентов, в
соответствии с законодательством Российской Федерации и нормативно-
правовыми актами, принятыми соответствующими органами в рамках их
компетенции.
4.3. Состав персональных данных каждой из перечисленных в п. 4.1 настоящей
Политики категории субъектов определяется согласно нормативным документам,
перечисленным в разделе 3 настоящей Политики, а также нормативным
документам Предприятия, изданным для обеспечения их исполнения.
4.4. В случаях, предусмотренных действующим законодательством, субъект
персональных данных принимает решение о предоставлении Предприятию его
персональных данных и дает согласие на их обработку свободно, своей волей и в
своем интересе.
4.5. Предприятие не обрабатывает персональные данные, относящиеся к таким
специальным категориям, как расовая и национальная принадлежность,
политические взгляды, религиозные или философские убеждения, а также
сведения о частной жизни работников, о членстве работников в общественных
объединениях.
5. Принципы и условия обработки персональных данных
5.1. Обработка персональных данных Предприятием осуществляется в
соответствии со следующими принципами:
5.1.1. Законность и справедливая основа обработки персональных данных.
Предприятие принимает все необходимые меры по выполнению
требований законодательства, не обрабатывает персональные данные в
случаях, когда это не допускается законами Российской Федерации, не
использует персональные данные во вред субъектам.
5.1.2. Обработка только тех персональных данных, которые отвечают заранее
объявленным целям их обработки. Соответствие содержания и объёма
обрабатываемых персональных данных заявленным целям обработки.
5.1.3. Предприятие заявляет, что не собирает и не обрабатывает
персональные данные, не требующиеся для достижения целей,
указанных в п.2 настоящей Политики, не использует персональные
данные субъектов в каких-либо целях, отличных от указанных выше.
5.1.4. Недопущение объединения баз данных, содержащих персональные
данные, обработка которых осуществляется в целях, не совместимых
между собой. Персональные данные обрабатываются Предприятием с
использованием систем управления базами данных и приложений, не
допускающих объединения сведений о различных категориях
субъектов, перечисленных в п.4.1 настоящей Политики.
5.1.5. Обеспечение точности, достаточности и актуальности персональных
данных по отношению к целям обработки персональных данных.
Предприятие принимает все разумные меры по поддержке
актуальности обрабатываемых персональных данных, включая, но не
ограничиваясь, реализацию права каждого субъекта получать для
ознакомления свои персональные данные (кроме случаев ограничения
этого права федеральными законами) и требовать от Предприятия их
уточнения, блокирования или уничтожения в случае, если
персональные данные являются неполными, устаревшими, неточными,
незаконно полученными или не являются необходимыми для
заявленных выше целей обработки.
5.1.6. Уничтожение либо обезличивание персональных данных по
достижении заявленных целей их обработки или в случае утраты
необходимости в достижении этих целей, при невозможности
устранения Предприятием допущенных нарушений персональных
данных, если иное не предусмотрено федеральными законами.
5.2. Обработка персональных данных Предприятием допускается в следующих
случаях:
5.2.1. Обработка персональных данных осуществляется с согласия субъекта
персональных данных на обработку его персональных данных.
5.2.2. Обработка персональных данных необходима для достижения целей,
предусмотренных законодательством Российской Федерации об
обязательных видах страхования, страховым законодательством,
законодательством о государственной социальной помощи, трудовым
законодательством, законодательством о пенсиях по государственному
пенсионному обеспечению, о трудовых пенсиях, для осуществления и
выполнения возложенных законодательством Российской Федерации
на Предприятие функций, полномочий и обязанностей.
5.2.3. Обработка персональных данных необходима для осуществления прав
и законных интересов Предприятия или третьих лиц, установленных
законодательством Российской Федерации или нормативно-правовыми
актами федеральных органов исполнительной власти, либо для
достижения общественно значимых целей при условии, что при этом
не нарушаются права и свободы субъекта персональных данных.
5.2.4. Обработка персональных данных осуществляется в статистических или
исследовательских целях при условии обязательного обезличивания
персональных данных.
5.2.5. Осуществляется обработка персональных данных, к которым доступ
неограниченного круга лиц предоставлен субъектом персональных
данных либо по его просьбе.
5.3. Предприятие не раскрывает третьим лицам и не распространяет
персональные данные без согласия субъекта персональных данных, если иное не
предусмотрено федеральным законом или другими нормативно-правовыми актами.
5.4. Обработка персональных данных о судимости может осуществляться
Предприятием исключительно в случаях и в порядке, установленных
федеральными законами.
5.5. Сведения, которые характеризуют физиологические и биологические
особенности человека, на основании которых можно установить его личность —
биометрические персональные данные, в том числе фотографические изображения
могут обрабатываться Предприятием только при наличии согласия субъекта в
письменной форме или в случае, когда такая обработка предусмотрена
законодательством Российской Федерации.
5.6. Сроки обработки (хранения) персональных данных определяются в
соответствии со сроком действия договора с субъектом персональных данных,
сроками исковой давности, а также иными сроками, установленными
законодательством РФ и нормативными документами Предприятия.
Персональные данные, срок обработки (хранения) которых истек, должны быть
уничтожены, если иное не предусмотрено федеральным законом или
нормативными документами Предприятия. Хранение персональных данных после
истечения срока хранения допускается только после их обезличивания.
6. Права субъекта персональных данных
6.1. Субъект персональных данных имеет право на получение информации,
касающейся обработки его персональных данных. Субъект персональных данных
вправе требовать от Предприятия уточнения его персональных данных, их
блокирования или уничтожения в случае, если персональные данные являются
неполными, устаревшими, неточными, незаконно полученными или не являются
необходимыми для заявленной цели обработки, а также принимать
предусмотренные законом меры по защите своих прав.
6.2. Субъект персональных данных вправе обжаловать действия или бездействие
Предприятия в уполномоченный орган по защите прав субъектов персональных
данных или в судебном порядке, если субъект персональных данных считает, что
Предприятие осуществляет обработку его персональных данных с нарушением
требований федеральных законов или иным образом нарушает его права и
свободы.
6.3. Субъект персональных данных имеет право на защиту своих прав и
законных интересов, в том числе на возмещение убытков и (или) компенсацию
морального вреда в судебном порядке.
6.4. Право субъекта персональных данных на доступ к его персональным
данным может быть ограничено в соответствии с федеральными законами.
7. Обеспечение безопасности персональных данных
7.1. Безопасность персональных данных, обрабатываемых Предприятием,
обеспечивается реализацией комплекса правовых, организационных, технических
и программных мер, необходимых и достаточных для обеспечения требований
федерального законодательства в области защиты персональных данных.
Состав и перечень мер, необходимых и достаточных для обеспечения
выполнения обязанностей, предусмотренных законодательством РФ в сфере
персональных данных и принятыми в соответствии с ним нормативными
правовыми актами, определяется Предприятием самостоятельно.
7.2. Обеспечение безопасности персональных данных достигается, в частности:
— определением угроз безопасности персональных данных при их обработке в
информационных системах персональных данных;
— применением организационных и технических мер по обеспечению
безопасности персональных данных при их обработке в информационных
системах персональных данных, необходимых для выполнения требований к
защите персональных данных, исполнение которых обеспечивает
установленные законодательством РФ уровни защищенности персональных
данных;
— применением прошедших в установленном порядке процедуру оценки
соответствия средств защиты информации;
— оценкой эффективности принимаемых мер по обеспечению безопасности
персональных данных до ввода в эксплуатацию информационной системы
персональных данных;
— обнаружением фактов несанкционированного доступа к персональным
данным и принятием мер по нейтрализации;
— восстановлением персональных данных, модифицированных или
уничтоженных вследствие несанкционированного доступа к ним;
— установлением правил доступа к персональным данным, обрабатываемым в
информационной системе персональных данных, а также обеспечением
регистрации и учета всех действий, совершаемых с персональными данными
в информационной системе персональных данных.
8. Заключительные положения
8.1. Иные обязанности и права Предприятия как оператора, организующего
обработку персональных данных по поручению других операторов, определяются
законодательством Российской Федерации в области персональных данных.
8.2. Работники, виновные в нарушении норм, регулирующих обработку и защиту
персональных данных, несут материальную, дисциплинарную, административную,
гражданско-правовую или уголовную ответственность в соответствии с
законодательством Российской Федерации.
8.3. Положения настоящей Политики пересматриваются по мере необходимости.
Обязательный пересмотр Политики проводится в случае существенных
изменений международного или национального законодательства в сфере
персональных данных.
При внесении изменений в положения Политики учитываются:
— изменения в информационной инфраструктуре и (или) в используемых
Предприятием информационных технологиях;
— сложившаяся в Российской Федерации практика правоприменения
законодательства в области персональных данных;
— изменение условий и особенностей обработки персональных данных
Предприятием в связи с внедрением в его деятельность новых
информационных систем, процессов и технологий.