ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ОБЩЕСТВА С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «ЭкоСтройРесурс»

08.11.2018

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая политика обработки персональных данных (далее по тексту – Политика) разработана в соответствии с требованиями пункта 2 части 2 статьи 18.1. Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту – Закон о персональных данных) в целях обеспечения реализации требований законодательства Российской Федерации в области обработки персональных данных, направленного на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, в частности в целях защиты от несанкционированного доступа и неправомерного распространения персональных данных.

1.2. Политика действует в отношении всех персональных данных, которые обрабатывает общество с ограниченной ответственностью «ЭкоСтройРесурс» (далее по тексту – Оператор, ООО «ЭкоСтройРесурс»).

1.3. Политика распространяется и на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.

1.4. Политика не распространяется:

на отношения, возникающие при обработке персональных данных сотрудников Оператора, поскольку такие отношения урегулированы отдельным локальным актом;

на отношения, действие Закона о персональных данных на которые не распространяется.

1.5. Во исполнение требований части 2 статьи 18.1. Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора по адресу: https://ecostr.ru.

1.6. Основные понятия, используемые в Политике:

персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средства автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случае, если обработка необходима для хранения персональных данных);

уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или юридическому лицу.

1.7. Основные права и обязанности Оператора:

1.7.1. Оператор имеет право:

1) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных и другими федеральными законами;

2) поручить обработку персональных данных другому лицу на основании заключаемого с ним договора с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренных Законом о персональных данных;

3) в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.

1.7.2. Оператор обязан:

1. организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;

2. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Закона о персональных данных;

3.Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

4. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 5 Политики, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных;

5) источник получения персональных данных.

5. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные частью 4 Политики, в случаях, если:

1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

3) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

5) предоставление субъекту персональных данных сведений, предусмотренных частью 4 Политики, нарушает права и законные интересы третьих лиц.

6. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Закона о персональных данных;

7. сообщать в уполномоченный орган по защите субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или его территориальное управление) по запросу этого органа необходимую информацию в течение 30 дней с момента получения такого запроса.

1.8. Основные права субъекта персональных данных. Субъект персональных данных имеет право:

1) получать информацию, касающуюся обработки его персональных данных и предусмотренную частью 7 статьи 14 Закона о персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;

2) требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

3) выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения на рынке товаров, работ и услуг;

4) обжаловать в установленном законом порядке неправомерные действия или бездействие Оператора при обработке его персональных данных.

1.9. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.

1.10. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов ООО «ЭкоСтройРесурс» в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

2. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.2. Обработке подлежит только персональные данные, которые отвечают целям их обработки.

2.3. Обработка Оператором персональных данных осуществляется в следующих целях:

— заключения и исполнения договоров (контрактов) на оказание услуг по обращению с твердыми коммунальными отходами и других договоров (контрактов), заключаемых с физическими лицами;

— выполнения функций по обращению с твердыми коммунальными отходами на территории Самарской области, возложенных на ООО «ЭкоСтройРесурс» в порядке, предусмотренном Соглашением от 01.11.2018 г.., заключенным между Министерством энергетики и жилищно-коммунального хозяйства Самарской области и ООО «ЭкоСтройРесурс», действующим законодательством Российской Федерации;

— рассмотрения в установленном порядке обращений, заявлений, претензий физических лиц по вопросам деятельности ООО «ЭкоСтройРесурс»;

— ведения финансовых лицевых счетов собственников и пользователей помещений, зданий, сооружений, жилых домов, земельных участков, расположенных в зоне деятельности ООО «ЭкоСтройРесурс», связанного с начислением и взиманием платы за коммунальные услуги по обращению с твердыми коммунальными отходами;

— взыскания образовавшейся задолженности в связи с неоплатой коммунальной услуги по обращению с твердыми коммунальными отходами;

— осуществления и выполнения иных функций, полномочий и обязанностей, возложенных действующим законодательством Российской Федерации на ООО «ЭкоСтройРесурс».

3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Правовым основанием обработки персональных данных является совокупность нормативных актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:

Конституция Российской Федерации;

Жилищный кодекс Российской Федерации;

Федеральный закон от 24.06.1998 № 89-ФЗ «Об отходах производства и потребления»;

Постановление Правительства Российской Федерации от 12.11.2016 № 1156 «Об обращении с твердыми коммунальными отходами и внесении изменения в постановление Правительства Российской Федерации от 25.08.2008 № 641»;

Постановление Правительства Российской Федерации от 06.05.2011 № 354 «О предоставлении коммунальных услуг собственникам и пользователям помещений в многоквартирных домах и жилых домов»;

Постановление Правительства Самарской области от 18.07.2018 № 407 «Об утверждении Правил осуществлении деятельности регионального оператора по обращению с твердыми коммунальными отходами на территории Самарской области, содержания и порядка заключения соглашения между уполномоченным органом исполнительной власти Самарской области и региональным оператором по обращению с твердыми коммунальными отходами на территории Самарской области и условий проведения региональным оператором по обращению с твердыми коммунальными отходами на территории Самарской области на территории Самарской области торгов на осуществление транспортирования твердых коммунальных отходов на территории Самарской области»;

иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.

3.2. Правовым основаниями обработки персональных данных также являются:

договоры (контракты), заключаемые между Оператором и субъектами персональных данных;

согласие субъектов персональных данных на обработку их персональных данных.

4. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разделе 2 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

4.2. Оператор может обрабатывать персональные данные следующих категорий субъектов персональных данных.

4.2.1. Собственники и пользователи жилых и (или) нежилых помещений многоквартирных домов, зданий, сооружений, жилых домов и их части, помещений жилого дома, земельных участков, осуществляющие накопление твердых коммунальных отходов:

фамилия, имя, отчество;

дата и место рождения;

паспортные данные;

адрес регистрации по месту жительства;

адрес фактического проживания;

контактные данные;

сведения о праве собственности или ином законном основании возникновения прав владения и (или) пользования жилым и (или) нежилым помещений многоквартирного дома, здания, сооружений, жилого дома и его части, помещения жилого дома, земельного участка;

сведения о назначении и об общей площади жилого дома или части жилого дома, здания, сооружения, нежилого помещения, жилого помещения, о площади и виде разрешенного использования земельного участка;

сведения о количестве проживающих в жилом помещении многоквартирного дома, жилом доме или части жилого дома.

иные персональные данные, предоставляемые собственниками и пользователями жилых и (или) нежилых помещений многоквартирных домов, зданий, сооружений, жилых домов и их части, помещений жилого дома, земельных участков для осуществления деятельности ООО «ЭкоСтройРесурс» по обращению с твердыми коммунальными отходами.

4.2.2. Представители (работники) клиентов и контрагентов Оператора (юридических лиц):

фамилия, имя, отчество;

паспортные данные;

контактные данные;

замещаемая должность;

иные персональные данные, предоставляемые представителями (работниками) клиентов и контрагентов.

4.2.3. Клиенты и контрагенты Оператора (физические лица):

фамилия, имя, отчество;

дата и место рождения;

паспортные данные;

контактные данные;

индивидуальный номер налогоплательщика;

номер расчетного счета;

иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.

4.3. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством Российской Федерации.

5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.

5.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации, в том числе:

для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;

в связи с участием в конституционном, гражданском, административном, уголовном, арбитражном судопроизводстве;

для исполнения судебного акта, акта другого органа или должностного лица;

для исполнения договора (контракта), стороной которого является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

5.3. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных и недостаточных данных.

5.4. Оператор осуществляет как автоматизированную, так и не автоматизированную обработку персональных данных.

5.5. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.

5.6. Обработка персональных данных осуществляется путем:

получения персональных данных в устной и письменной форме непосредственно от субъекта персональных данных;

получения персональных данных из общедоступных источников;

внесения персональных данных в журналы, реестры и информационные системы Оператора;

использование иных способов обработки персональных данных.

5.7. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами.

5.8. Передача персональных данных органам дознания и следствия, иным уполномоченным органам власти и организациям осуществляется в соответствии с требованиями законодательства Российской Федерации.

6. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

6.1. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;

10) назначением лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;

11) организацией учета документов, содержащих персональные данные;

13) организацией работы с информационными системами, в которых обрабатываются персональные данные;

14) хранением персональных данных в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;

15) организацией обучения работников Оператора, осуществляющих обработку персональных данных.

6.2. Оператор осуществляет хранение персональных данных в форме, позволяющих определить субъекта персональных данных, не дольше, чем это требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральными законами, договорами.

6.3. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.

7. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

7.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в части 7 статьи 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.

В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

Запрос должен содержать:

номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором, либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;

подпись субъекта персональных данных или его представителя.

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Срок ответа на указанный запрос Оператором составляет тридцать календарных дней с момента получения такого запроса.

Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

7.2. В случае, если сведения, указанные в части 7 статьи 14 Закона о персональных данных, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения указанных сведений не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативно-правовым актом или договором, стороной которого либо выгодоприобреталем или поручителем по которому является субъект персональных данных.

В случае, если по результатам рассмотрения первоначального обращения такие сведения и (или) обрабатываемые персональные данные не были представлены для ознакомления в полном объеме, субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос для получения указанных сведений до истечения тридцати дневного срока с указанием обоснования направления повторного запроса или обращения.

Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего вышеуказанным условиям. Такой отказ должен быть мотивированным.

7.3. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные из общедоступных источников в течение семи рабочих дней со дня представления таких сведений и после уточнения снимает блокирование персональных данных.

7.4. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.

В случае выявления неправомерной обработки персональных данных Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя, а в случаях, предусмотренных Законом о персональных данных, и Роскомнадзор.

7.5. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Оператор прекращает их обработку, а персональные данные подлежат уничтожению в тридцатидневный срок , если:

иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;

иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.

В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пункте 6.5. настоящей Политики, Оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен законодательством Российской Федерации.