Политика в отношении обработки персональных данных
Политика в отношении обработки персональных данных
Политика в отношении обработки персональных данных
1. Общие положения
Политика обработки персональных данных (далее — Политика) разработана в соответствии с Федеральным законом от 27.07.2006. №152-ФЗ «О персональных данных» (далее — ФЗ-152) и Конвенцией о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28.01.1981).
Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в ООО «ЖИЛИБЫЛИ» (далее — Оператор) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
В Политике используются следующие основные понятия:
автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;
обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;
обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данным;
персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном законом;
предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
распространение персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;
уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных.
Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике в отношении обработки персональных данных в соответствии с ч. 2 ст. 18.1. ФЗ-152.
2. Принципы обработки персональных данных
2.1 Обработка персональных данных у Оператора осуществляется на основе следующих принципов:
– законности и справедливой основы;
– ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
– недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
– недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
– обработки только тех персональных данных, которые отвечают целям их обработки;
– соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
– недопущения обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
– обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
– уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом.
3. Права и обязанности субъекта персональных данных
3.1 Субъекты персональных данных или их законные представители имеют право:
– получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);
– осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные субъекта, за исключением случаев, предусмотренных федеральным законодательством РФ;
– требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработка которых ведется с нарушением законодательства РФ;
– при отказе Оператора или уполномоченного им лица исключить или исправить персональные данные субъекта — заявить в письменной форме о своем несогласии, представив соответствующее обоснование;
– требовать от Оператора или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них изменениях или исключениях из них;
– обжаловать в суде любые неправомерные действия или бездействие Оператора или уполномоченного им лица, осуществляемые при обработке и защите персональных данных субъекта.
3.2 Субъекты персональных данных или их законные представители, обязаны:
– предоставлять Оператору персональные данные, соответствующие действительности;
– своевременно уведомлять Оператора обо всех изменениях персональных данных.
4.Права и обязанности Оператора
4.1. Оператор имеет право осуществлять обработку персональных данных при условии наличия законных оснований, соответствия процессов обработки заявленным целям обработки и требованиям законодательства Российской Федерации, положениям настоящей Политики и иных локальных актов Оператора.
4.2. Оператор обязан:
– за свой счет обеспечить защиту персональных данных от неправомерного их использования или утраты в порядке, установленном законодательством РФ;
– предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ;
– обеспечить субъекту свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством РФ;
– по требованию субъекта персональных данных уточнять обрабатываемые персональные данные, блокировать или удалять, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
– вести Журнал учета обращений субъектов персональных данных, в котором должны фиксироваться запросы субъектов персональных данных на получение персональных данных, а также факты предоставления персональных данных по этим запросам;
– уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных;
– в случае достижения цели обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральным законодательством РФ;
– в случае направления запроса субъектом о прекращении обработки его персональных данных прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий десяти рабочих дней с даты поступления указанного запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Оператор вправе продолжить обработку персональных данных в случаях, предусмотренных пунктами 2 — 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 ФЗ-152;
– предоставлять персональные данные субъекта только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей в соответствии с настоящим Положением и законодательством Российской Федерации.
5. Порядок и условия обработки персональных данных
5.1. Все персональные данные Оператор получает непосредственно от субъекта персональных данных, от его представителя либо от лица, поручившего Оператору обработку персональных данных, за исключением случаев, предусмотренных законодательством РФ.
5.2. Обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством РФ. Согласие может быть выражено в различных формах, позволяющих подтвердить факт его получения, в том числе в конклюдентных действиях, в письменном виде в форме отдельного документа, либо в составе какого-либо документа, подписываемого субъектом. Согласие может быть дано представителем субъекта, при предоставлении им доказательств своих полномочий.
5.3. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случаях, предусмотренных законодательством РФ, обработка персональных данных может быть продолжена даже после отзыва субъектом согласия на обработку.
5.4. При принятии решений, затрагивающих интересы субъекта, Оператор никогда не основывается на персональных данных субъекта, полученных исключительно в результате их автоматизированной обработки или электронного получения.
5.5. Персональные данные не используются в целях причинения имущественного и/или морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.
5.6. Доступ к персональным данным имеют работники Оператора, которым персональные данные необходимы в связи с исполнением ими должностных обязанностей.
5.7. Передача персональных данных работника Оператора третьим лицам осуществляется только с письменного согласия субъекта, за исключением случаев, предусмотренных законодательством РФ.
5.8. Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
5.9. Оператор вправе создавать общедоступные источники персональных данных, в которые могут включаться персональные данные субъекта персональных данных с его письменного согласия.
5.10. Передача персональных данных субъекта в коммерческих целях без его письменного согласия не осуществляется.
5.11. В случае необходимости передачи Оператором персональных данных третьим лицам, она осуществляется только после подписания между Оператором и третьей стороной соглашения о неразглашении конфиденциальной информации, за исключением случаев, предусмотренных законодательством РФ.
5.12. Обработка персональных данных осуществляется как использованием средств вычислительной техники, так и без использования таковых средств.
5.13. Сроки обработки персональных данных Оператором в общем случае определяются в соответствии со сроками, установленными ФЗ-152; сроком действия соответствующего договора; сроками, оговоренными в поручении на обработку персональных данных; сроками действия документов, установленными Федерального закона N 125-ФЗ «Об архивном деле в Российской Федерации»; Приказа Росархива от 20.12.2019 N 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», сроком исковой давности; сроком действия согласия, данного субъектом персональных данных на их обработку; а также иными требованиями законодательства Российской Федерации.
5.14. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее — материальные носители), в специальных разделах или на полях форм (бланков).
5.15. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных используется отдельный материальный носитель.
5.16. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.
5.17. При использовании типовых форм документов, заполняемых субъектом персональных данных собственноручно, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовая форма), соблюдаются следующие условия:
– типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
– типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации — при необходимости получения письменного согласия на обработку персональных данных;
– типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных; - типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.
5.18. Персональные данные подлежат уничтожению по достижении целей обработки, в случае утраты необходимости в их достижении, по истечении срока хранения, при выявлении факта неправомерной обработки либо по требованию лица, поручившего обработку персональных данных в срок, не превышающий десяти рабочих дней с даты достижения цели обработки персональных данных, либо получения отзыва на их обработку. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Уничтожение осуществляется в присутствии комиссии. По итогам составляется акт об уничтожении.
5.19. Трансграничная передача осуществляется Оператором в следующие страны: США, Испания, Германия, Белоруссия, Казахстан, Израиль, Ирландия.
6. Обеспечение безопасности персональных данных
6.1. Безопасность персональных данных, обрабатываемых Оператора, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных.
6.2. Для предотвращения несанкционированного доступа к персональным данным Оператором применяются следующие организационно-технические меры:
– назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
– издание Оператором настоящей Политики в отношении обработки персональных данных, иных локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
– ограничение состава лиц, имеющих доступ к персональным данным;
– ознакомление субъектов с требованиями федерального законодательства и нормативных документов Оператора по обработке и защите персональных данных;
– организация учета, хранения и обращения носителей информации;
– определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
– применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
– разработка на основе модели угроз системы защиты персональных данных;
– проверка готовности и эффективности использования средств защиты информации;
– разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации;
– регистрация и учет действий пользователей информационных систем персональных данных;
– использование антивирусных средств и средств восстановления системы защиты персональных данных;
– применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации;
– организация пропускного режима на территорию Оператора, охраны помещений с техническими средствами обработки персональных данных.
7. Уведомление о начале обработки персональных данных
7.1. Оператор обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных путем формирования уведомления с помощью электронного портала, предоставленного уполномоченным органом, либо отправки уведомления в письменной форме.
7.2. Оператор уведомляет уполномоченный орган о начале обработки следующих категорий персональных данных:
1) обрабатываемых в соответствии с трудовым законодательством;
2) полученных в связи с заключением договора, стороной которого является субъект персональных данных (в т.ч. любой пользователь информационной системы, выступающий как на стороне лица, публикующего объявления в системе, так и на стороне лица, осуществляющего бронь по опубликованному объявлению);
3) в случае введения пропускного режима на территории Оператора — необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится Оператор, или в иных аналогичных целях.
8. Внесение изменений, удаление и уничтожение персональных данных
8.1. Оператор имеет право внести, дополнить, изменить, блокировать или удалить персональные данные в соответствии с Федеральным законодательством Российской Федерации.
8.2. По запросу субъекта персональных данных Оператор обязан:
– предоставить сведения о наличии у оператора персональных данных субъекта;
– предоставить возможность ознакомления с персональными данными субъекта (исключение ФЗ-152 статья 14 часть 5) и предоставить информацию, касающуюся обработки его персональных данных в соответствии с ФЗ-152;
– уточнить недостоверные или изменившиеся персональные данные;
– блокировать или уничтожить персональные данные в случае, если они являются незаконно полученными, не являются необходимыми для заявленной цели обработки или отозвано согласие субъекта.
8.3. Запрос субъекта персональных данных должен быть отправлен Оператору в бумажном виде и содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе, и собственноручную подпись субъекта персональных данных или его законного представителя.
8.4. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации на электронную почту: privacy@zhilibyli.ru
8.5. При поступлении запроса обращения субъектов, ответственный работник Оператора обязан зарегистрировать такой запрос в журнале регистрации обращений субъектов.
8.6. Ответ, либо мотивированный отказ, должны быть отправлены в течение десяти рабочих дней с даты получения запроса от субъекта персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Ответ должен быть в форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе и содержать конкретную и исчерпывающую информацию, касающуюся сути вопроса.
8.7. Иные права и обязанности Оператора, как оператора персональных данных определяются законодательством Российской Федерации в области персональных данных.
9.Изменения настоящей Политики конфиденциальности
9.1. ООО «ЖилиБыли» вправе время от времени изменять настоящую Политику конфиденциальности по своему усмотрению. В необходимых случаях ООО «ЖилиБыли» уведомляет субъектов персональных данных о таких изменениях наиболее подходящим способом.
9.2. При отсутствии явного уведомления, субъекты данных всегда могут ознакомиться с обновленной версией настоящей Политики в отношении обработки персональных данных на сайте оператора по адресу: https://zhilibyli.ru/politics
10. Согласие субъекта персональных данных при входе на сайт Оператора
10.1. При переходе на сайт Оператора (источник захода на сайт https://zhilibyli.ru), субъект персональных данных своей волей и в своем интересе дает согласие на автоматизированную и неавтоматизированную обработку персональных данных, в том числе с использованием интернет-сервисов Google analytics, Яндекс.Метрика, LiveInternet, top.mail.ru, Google Doubleclick, GoogleMarketingPlatform в соответствии со следующим перечнем:
- фамилия, имя и условия заказа в случае его оформления;
- источник захода на сайт https://zhilibyli.ru (далее – Сайт Оператора) и информация поискового или рекламного запроса;
- данные о пользовательском устройстве (среди которых разрешение, версия и другие атрибуты, характеризующие пользовательское устройство);
- пользовательские клики, просмотры страниц, заполнения полей, показы и просмотры баннеров и видео;
- данные, характеризующие аудиторные сегменты;
- параметры сессии;
- данные о времени посещения;
- идентификатор пользователя, хранимый в cookie,
для целей повышения осведомленности посетителей Сайта Оператора о продуктах и услугах Оператора, предоставления релевантной рекламной информации и оптимизации рекламы.
10.2. Оператор вправе осуществлять обработку персональных данных следующими способами: сбор, запись, систематизация, накопление, хранение, обновление, изменение, использование.
10.3. Настоящее согласие вступает в силу с момента перехода на Сайт Оператора и действует в течение сроков, установленных действующим законодательством РФ.
11. Адреса и телефон для обратной связи
11.1. Адрес электронной почты: info@zhilibyli.ru
11.2. Почтовый адрес: г. Калининград, Мусорского 10А, офис 217, индекс 236022
11.3. Контактный номер телефона: 8 (800) 101-19-12