ПОЛИТИКА
МКП «Горводоканал Костомукшского городского округа»
в отношении обработки персональных данных

1. Общие положения

1.1. Назначение и область действия

1.1.1 Настоящая Политика в отношении обработки персональных данных (далее – Политика) определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в области персональных данных в МКП «Горводоканал КГО», далее по тексту именуемое Оператор.
1.1.2. Положения настоящей Политики регулируют отношения, связанные с обработкой персональных данных, осуществляемой МКП «Горводоканал КГО» с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
1.1.3. Положения настоящей Политики могут уточняться иными локальными актами МКП «Горводоканал КГО». Положения таких актов не должны противоречить положениям настоящей Политики.
1.1.4. Настоящая Политика разработана в соответствии с Конституцией РФ, Трудовым кодексом РФ, ГК РФ, Федеральным законом от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом 27 июля 2006 года № 152-ФЗ "О персональных данных", постановлением Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", другими законодательными и нормативно-правовыми актами, определяющими порядок работы с персональными данными и требования к обеспечению их безопасности.
Действие Политики распространяется на все персональные данные Субъектов, обрабатываемые МКП «Горводоканал КГО» с применением средств автоматизации и без применения таких средств.
Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих на Предприятии вопросы обработки персональных данных работников Предприятия и других Субъектов персональных данных.
МКП «Горводоканал КГО» публикует настоящую Политику в открытом доступе на своем официальном сайте в сети Интернет.

1.2. Термины и сокращения

1.2.1. В настоящей Политике используются понятия, установленные ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ «О ПДн»), ст. 2 ФЗ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
1.2.2. В настоящей Политике используются следующие сокращения:
ИСПДн ? информационная система персональных данных,
Оператор - МКП «ГОРВОДОКАНАЛ КГО»,
ПДн - персональные данные,
Поручение - договор между МКП «ГОРВОДОКАНАЛ КГО» и иным физическим или юридическим лицом, государственным органом, учреждением или другим органом, соответствующий требованиям ч. 3 ст. 6 ФЗ «О ПДн»,
Представитель - законный представитель субъекта персональных данных,
Процессор - физическое или юридическое лицо,
государственный орган, учреждение или другой
орган, которые обрабатывают персональные данные на основании договора с МКП «ГОРВОДОКАНАЛ КГО»,
Согласие - согласие субъекта персональных данных на обработку его персональных данных,
Субъект - субъект персональных данных.

1.3. Основные права и обязанности Субъекта

1.3.1. Субъект имеет право на получение информации касающейся обработки его ПДн в составе, определенном ч. 7 ст. 14 ФЗ «О ПДн», исключая случаи, когда доступ Субъекта к его персональным данным нарушает права и законные интересы третьих лиц. Сведения, указанные в ч.7 ст.14 ФЗ «О ПДн», предоставляются Оператором на основании письменного запроса Субъекта в сроки, указанные в ч. 3 ст. 14 ФЗ «О ПДн».
1.3.2. Субъект имеет право получения от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Требование направляется Оператору в виде письменного запроса Субъекта, содержащего сведения, перечисленные в ч. 3 ст. 14 ФЗ «О ПДн».
1.3.3. В случае, когда оператор осуществляет обработку ПДн Субъекта на основании Согласия, Субъект или его Представитель имеет право отозвать Согласие, направив Оператору письменный запрос Субъекта, содержащего сведения, перечисленные в ч. 3 ст. 14 ФЗ «О ПДн», а также указание следующих реквизитов Согласия: дата подписания, цель обработки ПДн.
1.3.4. Если Субъект считает, что Оператор осуществляет обработку его ПДн с нарушением требований ФЗ «О ПДн» или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.
1.3.5. Субъект имеет право на защиту своих прав и законных интересов.
1.3.6. В случае смерти Субъекта его права в области обработки ПДн реализуют наследники Субъекта.

1.4. Основные права и обязанности Оператора

1.4.2. Основные права Оператора.
1.4.3. Оператор имеет право обрабатывать ПДн Субъекта в следующих случаях:
- Обработка ПДн осуществляется на основании Согласия Субъекта.
- Обработка ПДн необходима для достижения целей, предусмотренных законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей.
- Обработка ПДн осуществляется в связи с участием Оператора и Субъекта в гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах.
- Обработка ПДн необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта).
- Обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является Субъект, а также для заключения договора по инициативе Субъекта или договора, по которому Субъект будет являться выгодоприобретателем или поручителем.
- Обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов Субъекта, если получение согласия Субъекта невозможно.
- Обработка ПДн необходима для осуществления прав и законных интересов Оператора или третьих лиц, при условии, что при этом не нарушаются права и свободы Субъекта.
- Обработка ПДн осуществляется в статистических или иных целях, за исключением целей, указанных в ст. 15 ФЗ «О ПДн», при условии обязательного обезличивания ПДн.
- Осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
1.4.4. Оператор с согласия Субъекта имеет право поручить обработку ПДн Субъекта Процессору.
1.4.5. В случаях, перечисленных в ч. 8 ст. 14 ФЗ «О ПДн», Оператор вправе отказать Субъекту или его Представителю в предоставлении сведений об обработке Оператором ПДн Субъекта.
1.4.6. В случаях, перечисленных в ч. 6 ст. 14 ФЗ «О ПДн» Оператор имеет право отказать в рассмотрении повторного запроса Субъекта или его Представителя о предоставлении сведений об обработке Оператором ПДн Субъекта. В случае такого отказа Оператор обязан предоставить мотивированное обоснование отказа.
1.4.7. В случаях, перечисленных в ч. 4 ст. 18 ФЗ «О ПДн» Оператор имеет право не предоставлять Субъекту сведения, предусмотренные ч.3 ст. 18 ФЗ «О ПДн».
1.4.8. Оператор вправе передавать ПДн Субъекта органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации, без получения согласия субъекта ПДн.
1.4.9. Оператор имеет право продолжить обработку ПДн при достижении цели обработки ПДн или в случае утраты необходимости в достижении этих целей, если:
- это право предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн, иным соглашением между Оператором и Субъектом;
- срок хранения ПДн установлен федеральным законом или нормативно-правовым актом, изданным уполномоченным органом во исполнение федерального закона, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект;
- обработка ПДн осуществляется в статистических или иных целях, за исключением целей, указанных в статье 15 Федерального закона «О ПДн», при условии обязательного обезличивания ПДн.
1.4.10. В случае отзыва Согласия Оператор вправе продолжить обработку ПДн без Согласия при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6 и части 2 статьи 11 ФЗ «О ПДн».
1.4.11. В случае недееспособности Субъекта Оператор имеет право получить Согласие от Представителя.
1.4.12. В случае смерти субъекта ПДн Оператор имеет право получить Согласие от наследников Субъекта, если такое Согласие не было дано субъектом ПДн при его жизни.

1.5 Основные обязанности Оператора

1.5.1. Соблюдать принципы и условия обработки ПДн, установленные законодательством в области ПДн.
1.5.2. Соблюдать конфиденциальность ПДн, обеспечивать соблюдение конфиденциальности ПДн Процессором.
1.5.3. Исполнять обязанности, возложенные на Оператора ст.ст. 18-22.1 ФЗ «О ПДн».
1.5.4. В договоре с Процессором определять перечень действий (операций) с ПДн, которые будут совершаться Процессором, и цели обработки, обязанность Процессора соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также указывать требования к защите обрабатываемых ПДн в соответствии со ст. 19 ФЗ « О ПДН».
1.5.5. Осуществлять обработку ПДн о судимости исключительно в случаях и в порядке, которые определяются в соответствии с федеральными законами.
1.5.6. Осуществлять обработку специальных категорий ПДн, исключительно в случаях, предусмотренных ч.ч. 2, 3 ст. 10 ФЗ «О ПДн», и незамедлительно прекратить их обработку, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.
1.5.7. Осуществлять обработку ПДн только после получения в порядке, определенном ст. 9 ФЗ «О ПДн», Согласия в следующих случаях:
- обработка ПДн не подпадает под установленные п. 2 - 11 части 1 статьи 6 Федерального закона «О ПДн» случаи обработки ПДн;
- включение ПДн в общедоступные источники ПДн;
- Оператор осуществляет обработку ПДн по договору (поручению) в качестве Процессора, и условиями договора (поручения) предусмотрена обязанность Оператора получать такое согласие;
- принятия, на основании исключительно автоматизированной обработки ПДн, решения, порождающее юридические последствия в отношении Субъекта или иным образом затрагивающее его права и законные интересы.
1.5.8. Осуществлять распространение ПДн только после получения в порядке, определенном ст. 10.1 ФЗ «О ПДн», отдельного Согласия и с соблюдением особенностей обработки ПДн, разрешенных Субъектом для распространения, установленными указанной статьей.
1.5.9. Проверять полномочия Представителя на дачу Согласия от имени Субъекта в случае получения Согласия Представителя.
1.5.10. Если в соответствии с федеральным законом предоставление персональных данных и (или) получение Оператором согласия на обработку персональных данных являются обязательными, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку,
1.5.11. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных в сроки, установленные ч.3.1 ст. 21 ФЗ «О ПДн».

2. Цели обработки

Оператор обрабатывает ПДн в следующих целях:
- обеспечения соблюдения законов и иных нормативных правовых актов в сфере труда, содействия работникам в трудоустройстве, получении образования и продвижении по службе, контроля количества и качества выполняемой работником работы и обеспечения сохранности имущества Оператора;
- выполнения требований законодательства в сфере налогообложения;
- выполнения требований законодательства в сфере государственной статистики;
- выполнения требований законодательства в сфере архивного дела;
- ведения текущего бухгалтерского и налогового учёта, формированию, изготовлению и своевременной подаче бухгалтерской, налоговой и статистической отчётности;
- ведения индивидуального (персонифицированного) учета в системе обязательного пенсионного страхования;
- выполнения требований законодательства в сфере обязательного медицинского страхования;
- исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также заключение договора по инициативе субъекта ПДн или ??договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
- исполнение договора, согласно которому Оператор привлекается к обработке ПДн;
- обработка обращений субъектов ПДн по вопросам, находящихся в компетенции Оператора;
- информационное обеспечение Оператора, иных юридических и физических лиц;
- формирование и обработка статистических данных при условии обязательного обезличивания ПДн;
- организация пропускного режима на территорию Оператора.

3. Правовые основания обработки ПДн

Обработка ПДн осуществляется на основе следующих федеральных законов и нормативно-правовых актов: Конституция РФ; Трудовой кодекс РФ; Федеральный закон от 27 июля 2006 года № 152-ФЗ "О персональных данных"; Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006 № 149-ФЗ; Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687; Постановление от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»; приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»; иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.

4. Состав (категории) обрабатываемых ПДн, категории субъектов ПДн

4.1. С целью осуществления возложенных нормативно-правовыми актами обязанностей и полномочий, а также законных интересов Оператор обрабатывает ПДн следующих категорий субъектов ПДн:
- работники, заключившие трудовой договор с Оператором, а также их близкие родственники;
- бывшие работники Оператора;
- кандидаты на замещение вакантных должностей;
- физические лица, обратившиеся к Оператору по вопросам, находящимся в его компетенции;
- физические лица - контрагенты по гражданско-правовым договорам, представители контрагентов - юридических лиц, а также лица, состоящие в иных договорных отношениях с Оператором;
- клиенты Предприятия, которым Предприятие оказывает услуги водоснабжения и водоотведения и иные коммерческие услуги.
4.2. Состав (категории) обрабатываемых Оператором ПДн определяется составом сведений, включённых в состав типовых форм и (или) перечней сведений, утвержденных нормативно-правовыми актами, перечисленными в части 3 настоящей Политики, Согласия, и, в частности, включает в себя:
4.2.1. для работников Оператора
- фамилия, имя, отчество (при наличии);
- адрес фактического проживания;
- адрес регистрации по месту жительства;
- сведения основного документа, удостоверяющего личность;
- сведения о присвоении ИНН;
- сведения СНИЛС;
- сведения об образовании;
- сведения воинского учета;
- сведения о ближайших родственниках (родители, супруги, дети);
- сведения о трудовой деятельности;
- контактные данные;
- фотографическое изображение;
- иные ПДн, входящие в состав типовых форм или предоставленные Субъектом на свое усмотрение или в рамках предоставленного Оператору Согласия.
4.2.2. для кандидатов на замещение вакантных должностей:
- фамилия, имя, отчество (при наличии);
- адрес фактического проживания;
- адрес регистрации по месту жительства;
- сведения основного документа, удостоверяющего личность;
- сведения об образовании;
- сведения о трудовой деятельности;
- контактные данные;
- иные ПДн, предоставленные кандидатом по своему усмотрению или в рамках предоставленного Оператору Согласия.
4.2.3. для физических лиц, обратившихся к Оператору по вопросам, находящимся в его компетенции:
- фамилия, имя, отчество (при наличии);
- контактные данные,
- адрес фактического проживания;
- адрес регистрации по месту жительства;
- сведения основного документа, удостоверяющего личность;
- сведения о присвоении ИНН;
- сведения СНИЛС;
- сведения о ближайших родственниках (родители, супруги, дети);
- сведения о трудовой деятельности.
4.2.4. физические лица - контрагенты по гражданско-правовым договорам, представители контрагентов - юридических лиц, а также лица, состоящие в иных договорных отношениях с Оператором:
- фамилия, имя, отчество (при наличии);
- адрес фактического проживания;
- адрес регистрации по месту жительства;
- сведения основного документа, удостоверяющего личность;
- сведения о присвоении ИНН;
- сведения, необходимые для заключения и исполнения гражданско-правовых договоров;
- контактные данные;
- иные ПДн, предоставленные Субъектом на свое усмотрение или в рамках предоставленного Оператору Согласия.
4.3. В случае, когда состав (категории) обрабатываемых ПДн не определен типовыми формами, утвержденными нормативно-правовыми актами, перечисленными в части 3 настоящей Политики, Оператор разрабатывает, и утверждает правовым актом соответствующую локальную типовую форму.
4.4. Оператор является юридическим лицом, организующим обработку персональных данных по поручению других операторов, к которым относятся (не исчерпывая): органы государственной власти и фонды обязательного страхования, в которые перечисляются средства работников или средства для зачисления на счет работников, в объеме, определенном соответствующими органами власти и фондами обязательного страхования; федеральные органы исполнительной власти, которым предоставляется отчетность, содержащая персональные данные работников и клиентов, в соответствии с законодательством Российской Федерации и нормативно-правовыми актами, принятыми соответствующими органами в рамках их компетенции.
4.5. Оператор не обрабатывает персональные данные, относящиеся к таким специальным категориям, как расовая и национальная принадлежность, политические взгляды, религиозные или философские убеждения, а также сведения о частной жизни работников, о членстве работников в общественных объединениях.

5. Порядок и условия обработки ПДн

5.1. Общие условия
5.1.1. При обработке ПДн Оператор осуществляет следующие действия с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
5.1.2. Обработка ПДн Оператором осуществляется в соответствии с порядком, установленным федеральными законами и нормативно-правовыми актами, перечисленными в части 3 настоящей Политики.
5.1.3. При обработке ПДн с применением средств автоматизации, порядок обработки ПДн должен соответствовать порядку, установленному действующим законодательством, с учетом особенностей обработки информации в электронной форме и положений эксплуатационно-технической документации на средства автоматизации.
5.1.4. Обработка ПДн, зафиксированных на материальном носителе (бумажные документы), должна осуществляться в соответствии с Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства РФ от 15.09.2008г. № 687.
5.2 . Сбор ПДн
5.2.1. При осуществлении сбора ПДн Оператор должен получать ПДн непосредственно от Субъекта.
5.2.2. В случае, когда ПДн Субъекта предоставляются третьим лицом, то работник Оператора, осуществляющий получение ПДн, должен убедиться в наличии у такого лица законных оснований на передачу чужих ПДн, и зафиксировать сведения об источнике и времени получения ПДн. Законным основанием может являться:
5.2.3. наличие нормативно-правового акта, возлагающего на третье лицо обязанность передать ПДн субъекта Оператору;
5.2.4. наличие у передающего лица согласия субъекта ПДн на передачу его ПДн Оператору;
5.2.5. наличие у передающего лица доверенности, оформленной в соответствии с требованиями законодательства, на передачу ПДн субъекта ПДн в МКП «ГОРВОДОКАНАЛ КГО» или;
5.2.6. наличие у передающего лица документа, оформленного в соответствии с требованиями законодательства и подтверждающего право передающего лица представлять интересы субъекта ПДн, в том числе на основании заключенного договора.
5.2.7. В случае, когда осуществляется сбор ПДн разрешенных Субъектом для распространения, должны выполняться требования ст. 10.1 ФЗ «О ПДн».
5.2.8. В случае, когда ПДн Субъекта получают с использованием электронных форм, размещенных Оператором на сайте в сети «Интернет», должны обеспечиваться:
- ознакомление Субъекта с настоящей Политикой;
- получение Согласия, в том числе в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации.
5.2.9. В случае, когда ПДн Субъекта получают, с использованием электронных форм, размещенных Оператором на сайте в сети «Интернет», с целью рассмотрения обращений Субъекта по вопросам, входящим в компетенцию Оператора, должно обеспечиваться:
- получение Согласия, в том числе в форме электронного документа, по форме, утвержденной локальным актом Оператора;
- аутентификация Субъекта с помощью простой электронной подписи.
5.3. Запись, систематизация, накопление, хранение
5.3.1. Хранение ПДн должно осуществляться в форме, позволяющей определить Субъекта, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект, или Согласием.
5.3.2. Согласие хранится оператором в течение срока его действия, а также в течение 3 (трех) лет с момента его отзыва или прекращения действия.
5.3.3. При осуществлении хранения ПДн должны использоваться базы данных, находящиеся на территории Российской Федерации.
5.3.4. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
5.3.5. Для ПДн, обрабатываемых без применения средств автоматизации, необходимо обеспечивать раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях.
5.3.6. При хранении ПДн как в электронной форме, так и на материальных носителях (бумажные документы, фото и светокопии и т.п.) должны соблюдаться условия, обеспечивающие сохранность ПДн (материальных и машинных носителей) и исключающие несанкционированный к ним доступ.
5.3.7. Должны быть определены места хранения ПДн (материальных и (или) машинных носителей (данных)) и установлен перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.
5.3.8. При обработке ПДн в электронной форме или на материальных носителях должна осуществляться фиксация обращений (в том числе действий над ПДн) лиц, допущенных к обработке ПДн, посредством ведения машинных
(электронных) и (или) бумажных журналов. Фиксации в журналах также подлежат факты перемещения и (или) копирования ПДн, или материальных носителей, содержащих данные ПДн.
5.3.9. Хранение ПДн после истечения установленных сроков их обработки, отзыва Согласия, достижения цели обработки ПДн или утраты необходимости в достижении цели обработки ПДн осуществляется только в статистических целях, и только после обязательного проведения процедуры обезличивания ПДн.
5.4. Извлечение, использование ПДн
5.4.1. Использование ПДн допускается только для достижения цели их сбора и обработки.
5.4.2. При необходимости использования или распространения определенных ПДн отдельно от находящихся на том же материальном или машинном носителе, в той же базе данных осуществляется извлечение (копирование) персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование ПДн, не подлежащих распространению и использованию, и используется (распространяется) копия ПДн.
5.4.3. Извлечение определенных ПДн для создания информационных ресурсов, обработка ПДн в которых не связана с первоначальной целью сбора извлекаемых ПДн, не допускается.
5.5 . Передача (распространение, предоставление, доступ) ПДн
5.5.1. Распространение (предоставление неограниченному кругу лиц) ПДн допускается исключительно с соблюдением положений ст. 10.1 ФЗ «О ПДн». Под распространением понимается размещение ПДн в источниках информации, доступ к которым предоставлен неограниченному кругу лиц, например: размещение на страницах сайта в сети «Интернет», на материальных носителях (листовки, стенды, информационные доски и т.п.), размещенных в общедоступных местах.
5.5.2. Включение ПДн в общедоступные источники информации, доступ к которым ограничен, не является распространением, и осуществляется с соблюдением положений ст. 8 ФЗ «О ПДн».
5.5.3. Перед размещением ПДн в общедоступном источнике ПДн, Оператор должен убедиться в наличии законных оснований на включение ПДн Субъекта в общедоступный источник ПДн. Законными основаниями в таком случае могут являться:
- письменное Согласие на включение ПДн в общедоступный источник ПДн;
- письменная просьба Субъекта разместить его ПДн в общедоступном источнике ПДн. В случае передачи (предоставлении, доступе) ПДн Субъекта третьим лицам, Оператор должен убедиться в наличии законных оснований на такую передачу ПДн. Законными основаниями могут являться:
- письменное Согласие на передачу ПДн третьему лицу;
- нормативно-правовой акт, возлагающий на Оператора обязанность передать ПДн субъекта третьему лицу;
- наличие у запрашивающего ПДн лица доверенности, оформленной в соответствии с требованиями законодательства, на получение ПДн Субъекта от Оператора;
- наличие у запрашивающего ПДн лица документа, оформленного в соответствии с требованиями законодательства и подтверждающего право передающего лица представлять интересы Субъекта.
- Оператор на основании договоров привлекает к обработке ПДн и передает (предоставляет) ПДн следующим Процессорам:
- ООО «Костомукшский расчетный центр» разрешенные действия над ПДн: запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), удаление, уничтожение персональных данных).
5.5.4. Оператор обязан осуществлять периодический контроль над соблюдением Процессором принципов, условий и правил обработки ПД субъекта.
5.5.5. В случае выявления нарушений принципов, условий и правил обработки ПД субъекта Процессором, Оператор обязан требовать от Процессора устранения нарушений, в том числе, при необходимости, в судебном порядке.
5.6. Обезличивание
5.6.1. Обезличивание ПДн осуществляется методами, установленными Приказом Роскомнадзора России от 05.09.2013 г. № 996 «Об утверждении требований и методов по обезличиванию ПДн».
5.6.2. Обезличивание части ПДн, обрабатываемых без применения средств автоматизации, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание)
5.7. Актуализация, уточнение ПДн
5.7.1. Ознакомление работников Оператора с составом их ПДн, обрабатываемых Оператором, а также актуализация и исправление ПДн работника осуществляется путем ознакомления работников с содержанием их личных дел и с записями в трудовых книжках в сроки и порядке, установленные действующим законодательством.
5.7.2. Внеплановая актуализация и исправление ПДн работников Оператора осуществляется в случаях обязательного предоставления работником сведений об изменении состава его ПДн (смена фамилии, брак, получение дополнительного образования, повышение квалификации и т.п.), а также по инициативе работника.
5.7.3. Актуализация ПДн физических лиц, осуществляющих выполнение работ (оказание услуг) по гражданско-правовым договорам, контрагентов и их законных представителей (юридические лица), а также лиц, состоящих в иных договорных отношениях с Оператором, осуществляется каждый раз при продлении или оформлении новых договорных отношений.
5.7.4. Актуализация ПДн кандидатов на замещение вакантных должностей и физических лиц, направивших Оператору обращение, не осуществляется в связи с малым сроком хранения.
5.7.5. Уточнение ПДн при осуществлении их обработки без использования средств автоматизации должно производиться путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными ПДн.
5.8. Удаление и уничтожение ПДн
5.8.1. Удаление ПДн, обрабатываемых с применением средств автоматизации осуществляется в соответствии с процедурами, установленными эксплуатационно-технической документацией на такие средства автоматизации.
5.8.2. Уничтожение ПДн, содержащихся на материальных носителях, осуществляется способом безвозвратного уничтожения самого носителя. Способ уничтожения определяется МКП «ГОРВОДОКАНАЛ КГО» исходя из доступных технических средств по уничтожению материальных носителей информации.
5.8.3. Удаление ПДн, содержащихся на материальных носителях (бумажные документы), физическое уничтожение которых невозможно, по тем или иным причинам, осуществляется вырезанием или вымарыванием ПДн, а также с применением устройств для стирания текстовой информации. Любой из выбранных способов удаления должен гарантированно исключать возможность ознакомления с удаляемыми ПДн впоследствии.
5.9. Организация рассмотрения запросов Субъектов и уполномоченного органа по защите прав субъектов ПДн
5.9.1. Организация приема и обработки обращений и запросов Субъектов или их представителей, уполномоченного органа по защите прав Субъектов и осуществление контроля за приемом и обработкой таких обращений и запросов осуществляет ответственный за организацию обработки ПДн.
5.9.2. Запросы работников МКП «ГОРВОДОКАНАЛ КГО», касающиеся обработки их ПДн, запросы физических лиц, осуществляющих выполнение работ (оказание услуг) по гражданско-правовым договорам, контрагентов и их законных представителей (юридические лица), а также лиц, состоящих в иных договорных отношениях с Оператором, касающиеся обработки их ПДн, рассматриваются ответственным за организацию обработки ПДн с соблюдением сроков, установленных ст. 20 Федерального закона «О ПДн».
5.9.3. Запросы уполномоченного органа по защите прав субъектов ПДн
рассматриваются ответственным за организацию обработки ПДн с соблюдением сроков, установленных ст. 20 Федерального закона «О ПДн».

6. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных ФЗ «О ПДн»

6.1. Оператором назначено лицо, ответственное за организацию обработки ПДн.
6.2. Изданы документы, определяющие политику Оператора в отношении обработки ПДн, локальные акты по вопросам обработки ПДн.
6.3. Применяются организационные и технические меры по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимые для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Постановлением Правительства РФ от 01.11.2012 г. № 1119 уровни защищенности ПДн.
6.4. Ведется учет машинных носителей ПДн.
6.5. Проводится работа по обнаружению фактов несанкционированного доступа к ПДн и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них.
6.6. Определен порядок восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
6.7. Установлены правила доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн.
6.8. Производится внутренний контроль над принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.
6.9. Состав и содержание необходимых для выполнения установленных постановлением Правительства РФ от 01.11.2012 г. №1119 Требований к защите персональных данных при их обработке в информационных системах персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн определен исходя из положений Приказа ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных».
6.10. Осуществляется внутренний контроль соответствия обработки ПДн ФЗ «О ПДн» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, настоящей Политике, локальным актам Оператора.
6.11. Осуществляется ознакомление работников, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, настоящей Политикой, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников.
6.12. Работники, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством РФ.
6.13. Положения настоящей Политики пересматриваются по мере необходимости. Обязательный пересмотр Политики проводится в случае существенных изменений законодательства в сфере персональных данных. При внесении изменений в положения Политики учитываются: изменения в информационной инфраструктуре и (или) в используемых Оператором информационных технологиях; сложившаяся в Российской Федерации практика правоприменения законодательства в области персональных данных; изменение условий и особенностей обработки персональных данных в связи с внедрением в его деятельность новых информационных систем, процессов и технологий.

Приказ № 1 от 09.01.2023г. "О введении в действие Политики в отношении обработки персональных данных" с приложением № 1