УТВЕРЖДЕНО
Приказом ООО «ЦЕНТР Девелопмент»
№ 24/2022 от 01.09.2022г.
ПОЛИТИКА ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Общества с ограниченной ответственностью «Специализированный застройщик «ЦЕНТР Девелопмент»
1. Общие положения
1.1. Настоящее Положение определяет цели, задачи и основные мероприятия по обеспечению безопасности персональных данных в Обществе с ограниченной ответственностью «Специализированный застройщик «ЦЕНТР Девелопмент» (далее по тексту - Общество) от несанкционированного доступа, неправомерного их использования или утраты.
1.2. Положение разработано в соответствии с действующим законодательством Российской Федерации в области защиты персональных данных:
1.2.1. Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных".
1.2.2. Постановления Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
1.2.3. Постановления Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
1.2.4. Нормативные документы уполномоченных органов.
1.3. Положение является основой для разработки локальных нормативных актов Общества по обеспечению безопасности персональных данных.
1.4. Настоящее положение распространяется на сотрудников Общества, включая сотрудников, работающих по договору подряда, а также на сотрудников сторонних организаций, взаимодействующих с Обществом на основании соответствующих нормативных, правовых и организационно-распорядительных документов, физических лиц, находящихся в гражданско-правовых отношениях с Обществом.
2. Термины и принятые сокращения
Персональные данные (ПД) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных (ИСПД) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в установленном порядке.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
3. Обработка персональных данных
3.1. Получение ПД.
3.1.1. Все ПД следует получать от самого субъекта. Если ПД субъекта можно получить только у третьей стороны, то Субъект должен быть уведомлен об этом или от него должно быть получено согласие.
3.1.2. Оператор должен сообщить Субъекту о целях, предполагаемых источниках и способах получения ПД, перечне действий с ПД, сроке, в течение которого действует согласие и порядке его отзыва, а также о последствиях отказа Субъекта дать письменное согласие на их получение.
3.1.3. Документы, содержащие ПД создаются путем:
- копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.);
- внесения сведений в учетные формы;
- получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).
3.2. Обработка ПД.
3.2.1. Обработка персональных данных осуществляется:
- С согласия субъекта персональных данных на обработку его персональных данных;
- В случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей.
3.2.2 Цели обработки ПД:
- Осуществление трудовых отношений;
- Осуществление гражданско-правовых отношений.
3.2.3. Категории субъектов персональных данных:
- физические лица, состоящие в трудовых взаимоотношениях с Обществом;
- близкие родственники лиц, состоящих в трудовых взаимоотношениях Обществом;
- физические лица - потребители и их законные представители;
- физические лица, претенденты на замещение вакантной должности;
- физические лица - практиканты/стажеры.
3.2.4. ПД, обрабатываемые Обществом:
- Данные полученные при осуществлении трудовых отношений;
- Данные полученные для осуществления отбора кандидатов на работу;
- Данные полученные при осуществлении гражданско-правовых отношений.
Полный список ПД представлен в Перечне ПД, утвержденном руководителем Общества в соответствующем Положении об обработке и защите персональных данных.
3.2.5. Обработка персональных данных ведется:
- С использованием средств автоматизации;
- Без использования средств автоматизации с передачей по внутренней сети юридического лица; без передачи по сети Интернет.
3.3. Хранение ПД.
3.3.1. ПД Субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
3.3.2. ПД, зафиксированные на бумажных носителях хранятся в запираемых шкафах.
3.3.3. ПД Субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках (вкладках).
3.3.4. Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках) в ИСПД.
3.3.5. Хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
3.4. Уничтожение ПД
3.4.1. Уничтожение документов (носителей), содержащих ПД производится путем сожжения, дробления (измельчения). Для уничтожения бумажных документов допускается применение шредера.
3.4.2. ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.
3.4.3. Уничтожение производится комиссией. Факт уничтожения ПД подтверждается документально актом об уничтожении носителей, подписанным членами комиссии.
3.5. Передача ПД.
3.5.1. Общество поручает обработку ПД третьим лицам в следующих случаях:
- Субъект выразил свое согласие на такие действия;
- Передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.
3.5.2. Перечень лиц, которым передаются ПД.
Третьи лица, которым передаются ПД:
- Пенсионный фонд РФ для учета (на законных основаниях);
- Налоговые органы РФ (на законных основаниях);
- Банки для начисления заработной платы (на основании договора);
- Бюро кредитных историй (с согласия субъекта);
4. Защита персональных данных
4.1. В соответствии с требованиями нормативных документов в Обществе создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
4.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
4.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами, защиты информации в открытой печати, публикаторской и рекламной деятельности, аналитической работы.
4.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД.
4.5. Основными мерами защиты ПД, используемыми Обществом, являются:
4.5.1. Назначение лица ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением Обществом и его работниками требований к защите ПД;
4.5.2. Определение актуальных угроз безопасности ПД при их обработке в ИСПД, и разработка мер и мероприятий по защите ПД;
4.5.3. Разработка локальных нормативных актов в отношении обработки персональных данных;
4.5.4. Установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечения регистрации и учета всех действий, совершаемых с ПД в ИСПД;
4.5.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их должностным обязанностями;
4.5.6. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4.5.7. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами;
4.5.8. Соблюдаются условия, обеспечивающие сохранность ПД и исключающие несанкционированный к ним доступ;
4.5.9. Обнаружение фактов несанкционированного доступа к персональным данным и принятия мер;
4.5.10. Восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
4.5.11. Обучение работников Общества, непосредственно осуществляющих обработку персональных данных, в рамках требований законодательства Российской Федерации в части защиты персональных данных, в том числе документам, определяющими политику Общества в отношении обработки персональных данных, локальным нормативным актам по вопросам обработки персональных данных;
4.5.12. Осуществление внутреннего контроля и аудита.
5. Основные права субъекта ПД и обязанности оператора
5.1. Основные права субъекта ПД:
5.1.1 Субъект персональных данных имеет право требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
5.1.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
5.1.3 Обращения к оператору и направлению ему запросов;
5.1.4 Обжалование действий или бездействия оператора.
5.2. Обязанности Оператора:
Оператор обязан:
- При сборе персональных данных предоставить субъекту персональных данных по его просьбе информацию о полученных ПД
- в случаях если ПД были получены не от субъекта ПД, уведомить субъекта персональных данных;
- в случае отказа субъекта ПД в предоставлении ПД субъекту разъясняются юридические последствия такого отказа;
- опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД;
- принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД а также от иных неправомерных действий в отношении ПД;
- давать ответы на запросы и обращения Субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов ПД.
УТВЕРЖДЕНО
Приказом ООО «ЦЕНТР Девелопмент»
№ 25/2022 от 01.09.2022г.
Положение
об обработке и защите персональных данных клиентов
Общества с ограниченной ответственностью «Специализированный застройщик «ЦЕНТР Девелопмент»
1. Общие положения
1.1. Настоящее Положение устанавливает порядок получения, учета, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным клиентов Общества с ограниченной ответственностью «Специализированный застройщик «ЦЕНТР Девелопмент» (далее - Общество).
Под клиентами подразумеваются потенциальные потребители товаров, работ, услуг Общества на рынке.
1.2. Цель настоящего Положения Целью обработки персональных данных является:
- обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну в связи с осуществлением гражданско-правовых отношений;
- продвижение товаров, работ, услуг Общества на рынке путем осуществления прямых контактов с потенциальным потребителем.
1.3. Основанием для разработки настоящего Положения являются Конституция Российской Федерации, Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных", другие действующие нормативные правовые акты Российской Федерации.
1.4. Настоящее Положение и изменения к нему утверждаются руководителем Общества и вводятся приказом.
1.5. Работники Общества, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены под подпись до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Общества в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, с данным Положением и изменениями к нему.
2. Понятие и состав персональных данных
2.1. Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных - определенному или определяемому физическому лицу.
2.2. Персональными данными, разрешенными субъектом персональных данных для распространения, являются персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных".
2.3. Состав персональных данных клиента:
- фамилия, имя, отчество;
- пол, возраст;
- место жительства;
- семейное положение, наличие детей, состав семьи, родственные связи;
- финансовое положение, сведения о заработной плате;
- паспортные данные;
- сведения о воинском учете;
- сведения о социальных льготах;
- специальность;
- занимаемая должность;
- размер заработной платы;
- номера телефонов;
- трудовые книжки и сведения о трудовой деятельности;
- копии отчетов, направляемых в органы статистики;
- фотографии и иные сведения, относящиеся к персональным данным клиента.
Из указанного списка Общество вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону договора.
2.4. Сведения, указанные в п. 2.3 настоящего Положения, и документы, их содержащие, являются конфиденциальными. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 3 лет срока хранения, если иное не определено законом.
2.5. Документами, содержащими персональные данные клиентов, являются комплекты документов, сопровождающих процесс оформления договоров.
3. Обязанности Общества
3.1. В целях обеспечения прав и свобод человека и гражданина Общество и его представители при обработке персональных данных клиентов обязаны соблюдать следующие общие требования:
3.1.1. Обработка персональных данных клиента может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия клиентам в приобретении товаров, работ услуг Общества.
3.1.2. При определении объема и содержания обрабатываемых персональных данных клиента Общество должно руководствоваться Конституцией Российской Федерации, и иными федеральными законами.
3.1.3. Все персональные данные клиента следует получать у него самого. Если персональные данные клиента возможно получить только у третьей стороны, то клиент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Общество должно сообщить клиенту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа клиента дать письменное согласие на их получение.
3.1.4. Общество не имеет права получать и обрабатывать персональные данные клиента о его политических, религиозных и иных убеждениях и частной жизни.
3.1.5. Общество не имеет права получать и обрабатывать персональные данные клиента о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
3.1.6. При принятии решений, затрагивающих интересы клиента, Общество не имеет права основываться на персональных данных клиента, полученных исключительно в результате их автоматизированной обработки или электронного получения.
3.1.7. Защита персональных данных клиента от неправомерного их использования или утраты должна быть обеспечена Обществом за счет его средств в порядке, установленном федеральным законом.
4. Обязанности клиента
Клиент обязан:
4.1. Передавать Обществу или его представителю комплект достоверных документированных персональных данных.
5. Права клиента
Клиент имеет право:
5.1. На полную информацию о своих персональных данных и обработке этих данных.
5.2. Требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований, определенных законодательством. При отказе Общества исключить или исправить персональные данные клиента он имеет право заявить в письменной форме Обществу о своем несогласии с соответствующим обоснованием такого несогласия.
5.3. Требовать извещения Обществом всех лиц, которым ранее были сообщены неверные или неполные персональные данные клиента, обо всех произведенных в них исключениях, исправлениях или дополнениях.
5.4. Обжаловать в суд любые неправомерные действия или бездействие Общества при обработке и защите его персональных данных.
5.5. Определять своих представителей для защиты своих персональных данных.
5.6. Требовать прекратить в любое время передачу (распространение, предоставление, доступ) персональных данных, разрешенных для распространения. Требование оформляется в письменном виде. Оно должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) клиента, а также перечень персональных данных, обработка которых подлежит прекращению.
6. Сбор, обработка и хранение персональных данных
6.1. Обработка персональных данных клиента - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных клиента.
6.2. Все персональные данные клиента следует получать у него самого. Если персональные данные клиента возможно получить только у третьей стороны, то клиент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
6.3. Общество должно сообщить клиенту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа клиента дать письменное согласие на их получение.
6.4. Клиент представляет Обществу достоверные сведения о себе. Общество проверяет достоверность сведений, сверяя данные, представленные клиентом, с имеющимися у клиента документами. Представление клиентом подложных документов или ложных сведений при заключении договора является основанием для расторжения договора и является личной ответственностью клиента.
6.5. При заключении договора клиент предоставляет Обществу необходимый комплект документов.
6.6. Общество не имеет права получать и обрабатывать персональные данные клиента о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.
6.7. Письменное согласие клиента на обработку своих персональных данных должно включать в себя, в частности, сведения, указанные в п. п. 1 - 9 ч. 4 ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
6.8. Письменное согласие на обработку персональных данных, разрешенных для распространения, клиент предоставляет Обществу лично.
7. Передача персональных данных
7.1. При передаче персональных данных клиента Общество должно соблюдать следующие требования:
- не сообщать персональные данные клиента третьей стороне без письменного согласия клиента, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью клиента, а также в случаях, установленных федеральным законом;
- не сообщать персональные данные клиента в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих персональные данные клиента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные клиента, обязаны соблюдать конфиденциальность. Данное положение не распространяется на обмен персональными данными клиентов в порядке, установленном федеральными законами;
- разрешать доступ к персональным данным клиентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные клиента, которые необходимы для выполнения конкретных функций.
8. Доступ к персональным данным клиента
8.1. Внутренний доступ.
Право доступа к персональным данным клиента имеют:
- руководитель Общества;
- менеджер по продаже недвижимости;
- менеджер по работе с клиентами;
- работники юридического отдела, бухгалтерии, ипотечный брокер Общества - к тем данным, которые необходимы для выполнения конкретных функций;
8.2. Внешний доступ.
Общество вправе осуществлять передачу персональных данных клиента третьим лицам, в том числе в коммерческих целях, только с его предварительного письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью клиента, а также в других случаях, предусмотренных действующим законодательством Российской Федерации.
Перед передачей персональных данных Общество должен предупредить третье лицо о том, что они могут быть использованы только в тех целях, для которых были сообщены. При этом у третьего лица необходимо получить подтверждение того, что такое требование будет им соблюдено.
Не требуется согласие клиента на передачу персональных данных:
- третьим лицам в целях предупреждения угрозы жизни и здоровью клиента;
- в налоговые органы;
- по мотивированному запросу органов прокуратуры;
- по мотивированному требованию правоохранительных органов и органов безопасности;
- по запросу суда;
8.3. Другие организации.
Сведения о клиенте могут быть предоставлены другой организации только с письменного запроса на бланке организации с приложением копии заявления клиента.
8.4. Родственники и члены семей.
Персональные данные клиента могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого клиента.
9. Защита персональных данных клиентов
9.1. Общество принимает следующие меры по защите персональных данных:
9.1.1. Назначение лица, ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, внутренний контроль за соблюдением работниками Общества требований к защите персональных данных.
9.1.2. Разработка политики в отношении обработки персональных данных.
9.1.3. Установление правил доступа к персональным данным, обеспечение регистрации и учета всех действий, совершаемых с персональными данными.
9.1.4. Установление индивидуальных паролей доступа сотрудников Общества в информационную систему в соответствии с их производственными обязанностями.
9.1.5. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
9.1.6. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
9.1.7. Соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.
9.1.8. Обнаружение фактов несанкционированного доступа к персональным данным.
9.1.9. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
9.1.10. Обучение сотрудников Общества, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Общества в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.
9.1.11. Осуществление внутреннего контроля и аудита.
9.12. Определение типа угроз безопасности и уровней защищенности персональных данных, которые хранятся в информационных системах.
9.2. Угрозы защищенности персональных данных.
9.2.1. Угрозы первого типа. В системном программном обеспечении информационной системы есть функциональные возможности программного обеспечения, которые не указаны в описании к нему либо не отвечают характеристикам, которые заявил производитель. И это потенциально может привести к неправомерному использованию персональных данных.
9.2.2. Угрозы второго типа. Потенциальные проблемы с прикладным программным обеспечением — внешними программами, которые установлены на компьютерах работников Общества.
9.2.3. Угрозы третьего типа. Потенциальной опасности ни от системного, ни от программного обеспечения нет.
9.3. Уровни защищенности персональных данных.
9.3.1. Первый уровень защищенности. Если Общество отнесло информационную систему к первому типу угрозы или если тип угрозы второй, но Общество обрабатывает специальные категории персональных данных более 100 тыс. физических лиц без учета клиентов.
9.3.2. Второй уровень защищенности. Если тип угрозы второй и Общество обрабатывает специальные категории персональных данных клиентов вне зависимости от их количества или специальные категории персональных данных менее чем 100 тыс. физических лиц, или любые другие категории персональных данных более чем 100 тыс. физических лиц, или при третьем типе угрозы Общество обрабатывает специальные категории данных более чем 100 тыс. физических лиц.
9.3.3. Третий уровень защищенности. Если при втором типе угрозы Общество обрабатывает общие персональные данные клиентов или менее чем 100 тыс. физических лиц, или при третьем типе угрозы Общество обрабатывает специальные категории персональных данных клиентов или менее чем 100 тыс. физических лиц, или при третьем типе угрозы Общество обрабатывает биометрические персональные данные, или при третьем типе угрозы Общество обрабатывает общие персональные данные более чем 100 тыс. физических лиц.
9.3.4. Четвертый уровень защищенности. Если при третьем типе угрозы Общество обрабатывает только общие персональные данные клиентов или менее чем 100 тыс. физических лиц.
9.4. При четвертом уровне защищенности персональных данных Общество:
· обеспечивает режим безопасности помещений, в которых размещает информационную систему;
· обеспечивает сохранность носителей информации;
· утверждает перечень работников, допущенных до персональных данных;
· использует средства защиты информации, которые прошли оценку соответствия требованиям закона в области обеспечения безопасности информации.
9.5. При третьем уровне защищенности персональных данных дополнительно к мерам, перечисленным в пункте 2.4 настоящего Положения, Общество назначает ответственного за обеспечение безопасности персональных данных в информационной системе.
9.6. При втором уровне защищенности персональных данных дополнительно к мерам, перечисленным в пунктах 9.4, 9.5 настоящего Положения, Общество ограничивает доступ к электронному журналу сообщений, за исключением клиентов, которым такие сведения необходимы для работы.
9.7. При первом уровне защищенности персональных данных дополнительно к мерам, перечисленным в пунктах 9.4—9.6 настоящего Положения, Общество:
· обеспечивает автоматическую регистрацию в электронном журнале безопасности изменения полномочий клиентов по допуску к персональным данным в системе;
· создает отдел, ответственный за безопасность персональных данных в системе, либо возлагает такую обязанность на один из существующих отделов Общества.
9.8. В целях защиты персональных данных на бумажных носителях Общество:
· приказом назначает ответственного за обработку персональных данных;
· ограничивает допуск в помещения, где хранятся документы, которые содержат персональные данные клиентов;
· хранит документы, содержащие персональные данные клиентов в шкафах, запирающихся на ключ.
9.9. В целях обеспечения конфиденциальности документы, содержащие персональные данные клиентов, оформляются, ведутся и хранятся только работниками, допущенных до персональных данных.
9.10. Работники Общества, допущенные к персональным данным клиентов, подписывают обязательства о неразглашении персональных данных. В противном случае до обработки персональных данных клиентов не допускаются.
9.11. Допуск к документам, содержащим персональные данные клиентов, внутри организации осуществляется на основании Регламента допуска работников к обработке персональных данных.
9.12. Передача персональных данных по запросам третьих лиц, если такая передача прямо не предусмотрена законодательством РФ, допускается исключительно с согласия клиента на обработку его персональных данных в части их предоставления или согласия на распространение персональных данных.
9.13. Передача информации, содержащей сведения о персональных данных клиентов, по телефону в связи с невозможностью идентификации лица, запрашивающего информацию, запрещается.
10. Ответственность за разглашение информации, связанной
с персональными данными клиента
10.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных клиента, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
|
ООО «ЦЕНТР Девелопмент» | ||||||||||||
от |
| ||||||||||||
| |||||||||||||
| |||||||||||||
Согласие на обработку персональных данных | |||||||||||||
Я, |
| ||||||||||||
(Ф.И.О. полностью) | |||||||||||||
паспорт |
|
выдан |
| ||||||||||
|
|
|
| ||||||||||
место жительства |
| ||||||||||||
|
| ||||||||||||
в соответствии со ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» даю | |||||||||||||
свое согласие застройщику ООО «Специализированный застройщик «ЦЕНТР Девелопмент», ОГРН 1147232044310ИНН 7206050791, КПП 720301001, адрес: 625062, Тюменская область, г. Тюмень, ул.Молодежная, д. 8, помещ. 212 | |||||||||||||
|
(наименование организации, ОГРН, ИНН, адрес) | ||||||||||||
на обработку, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, следующих персональных данных в документальной и/или электронной форме: фамилия, имя, отчество;
дата и место рождения;
пол;
гражданство;
паспортные данные;
адрес места жительства;
семейное положение и сведения о членах семьи;
номер телефона, адрес электронной почты;
идентификационный номер налогоплательщика;
номер страхового свидетельства государственного пенсионного страхования;
сведения о месте работы;
размер зарплаты;
| |||||||||||||
Согласие дается мною для следующих целей: - обеспечение соблюдения законов и иных нормативных правовых актов; - заключения и исполнения договора участия в долевом строительстве/ договора купли-продажи квартиры/ договора аренды нежилого помещения (нужное подчеркнуть) - предоставление сведений кредитной организации для оформления ипотечного кредита; - предоставление сведений третьим лицам для заключения договора эскроу счета со мной в качестве депонента. | |||||||||||||
Настоящее согласие действует со дня его подписания до дня его отзыва мною в письменной форме. | |||||||||||||
|
|
|
202 |
|
г. | ||||||||
(подпись) |
|
|
|
|
|