Политика в отношении обработки персональных данных Владимирского городского ипотечного фонда

1.1. Настоящий документ определяет политику «Владимирского городского ипотечного фонда» (далее – ВГИФ, Фонд) в отношении обработки персональных данных (далее – ПДн). Действующая редакция Политики в отношении обработки персональных данных ВГИФ (далее — Политика) размещена для ознакомления субъектами с процессами обработки ПДн в месте нахождения исполнительного органа «Владимирского городского ипотечного фонда» и на официальном сайте ВГИФ https://ipoteka-vladimir.ru/.

1.2. Все мероприятия по обработке и защите ПДн проводятся в соответствии с:

- Конституцией Российской Федерации;

- Гражданским кодексом Российской Федерации;

- Трудовым Кодексом Российской Федерации;

- Налоговым кодексом Российской Федерации;

- Федеральным законом от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;

- Федеральным законом от 15.12.2001 г. № 167- ФЗ «Об обязательном пенсионом страховании в Российской федерации»;

- Федеральным законом от 16.07.1999 N 165-ФЗ "Об основах обязательного социального страхования»,

- Федеральным законом "Об обязательном медицинском страховании в Российской Федерации" от 29.11.2010 N 326-ФЗ;

- Федеральным законом от 27.07.2006 года № 149- ФЗ «Об информации, информационных технологиях и о защите информации»;

- Федеральным законом от 27.07.2006 года № 152- ФЗ «О персональных данных» (далее - Федеральный закон);

- Положением об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», утвержденное Постановлением Правительства РФ от 15.09.2008 года № 687;

- Требованиями к защите персональных данных при их обработке в информационных системах персональных данных», утвержденные Постановлением Правительства РФ от 01.11.2012 года № 1119;

- Федеральным законом от 06.04.2011 N 63-ФЗ "Об электронной подписи";

- Федеральным законом от 16.07.1998 N 102-ФЗ "Об ипотеке (залоге недвижимости)";

- Федеральным законом от 30.12.2004 N 214-ФЗ "Об участии в долевом строительстве многоквартирных домов и иных объектов недвижимости и о внесении изменений в некоторые законодательные акты Российской Федерации";

- Уставом «Владимирского городского ипотечного фонда», утвержденным решением Совета Фонда (в действующей редакции);

- Договорами с клиентами, контрагентами и т.п. на оказание услуг/выполнение работ;

- Согласием на обработку персональных данных работников Оператора/клиентов/контрагентов/соискателей на вакантные должности/членов Попечительского совета и Совета Фонда/Пользователей Сайта;

- иными нормативно-правовыми актами и внутренними документами ВГИФ.

1.3. Цель Политики:

- обеспечение соблюдения норм законодательства Российской Федерации и выполнения требований Правительства Российской Федерации в области обработки и защиты ПДн в полном объеме.

- обеспечение прав граждан при обработке их ПДн, и принятие мер от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн субъектов.

1.4. ПДн могут обрабатываться только для целей, непосредственно связанных с деятельностью ВГИФ.

1.5. Передача третьим лицам, ПДн без письменного согласия не допускаются.

1.6. Режим конфиденциальности ПДн снимается в случаях обезличивания или включения их в общедоступные источники ПДн, если иное не определено законом.

1.7. Ответственный за организацию обработки ПДн обязан обеспечить каждому возможность ознакомления с документами затрагивающие его право и свободу, если иное не предусмотрено законом, а также настоящей Политикой.

1.8. ПДн не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, религиозной и партийной принадлежности в соответствии с законодательством.

1.9. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

1.10. В соответствии с п. 2 ст. 18.1 ФЗ «О персональных данных»: доступ к настоящему документу не может быть ограничен.

1.11. Настоящая политика утверждается Генеральным директором ВГИФ и действует бессрочно либо до замены ее новой редакцией Политики, а также является обязательным документом для исполнения всеми работниками «ВГИФ», имеющими доступ к ПДн субъекта.

2. Основные понятия и термины

2.1. Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.2. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

2.3. Оператор – юридическое лицо («Владимирский городской ипотечный фонд»), самостоятельно или совместно с другими лицами организующее и/или осуществляющее обработку ПДн, а также определяющее цели обработки ПДн, состав Пдн, подлежащих обработке, действия (операции), совершаемые с ПДн;

2.4. Автоматизированная обработка персональных данных – обработка ПДн с помощью средств вычислительной техники.

2.5. Распространение персональных данных - действия, направленные на раскрытие ПДн неопределенному кругу лиц.

2.6. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.7. Блокирование персональных данных - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.8. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн. Подтверждение уничтожения персональных данных осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПДн.

2.9. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.

2.10. Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

3. Обрабатываемые персональные данные

3.1. Обрабатываемые Оператором ПДн принадлежат следующим субъектам ПДн:

- работникам Оператора, членам семьи работника;

- клиентам/контрагентам Оператора;

- Членам Попечительского совета и Совета Фонда;

- соискателям на вакантные должности Оператора

- Пользователи Сайтов, владельцем которых является Оператор.

3.2. Оператором обрабатываются следующие категории ПДн:

3.2.1. ПДн работников Оператора, членов семьи работников Оператора.

Эти данные не являются общедоступными, за исключением, если работники сам даст согласие на их общедоступность.

- Фамилия Имя Отчество;

- Пол;

- Возраст;

- Дата и место рождения;

- Гражданство;

- Данные документа, удостоверяющего личность (наименование, серия, номер, кем и когда выдан, код подразделения (при наличии));

- Семейное положение, сведения о составе семьи;

- Степень родства членов семьи;

- Адрес места жительства (регистрации/места пребывания);

- Контактная информация (телефон и адрес электронной почты);

- Данные документов об образовании, классификации, профессиональной подготовке, сведения о повышении квалификации;

- Отношение к воинской обязанности;

- Сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы;

- СНИЛС;

- ИНН;

- Информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности;

- Сведения о доходах;

- Сведения о принадлежности к некоторой категории лиц;

- Сведения о деловых и иных личных качествах, носящий оценочный характер;

- Степень родства;

- Сведения о заработной плате;

- Данные номера счета в коммерческом банке.

Перечень действий с ПДн работников Оператора, членов семьи работников Оператора: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обработка вышеуказанных персональных данных – смешанная (автоматизированная, не автоматизированная); с передачей по внутренней сети ВГИФ; с передачей по сети Интернет, осуществление трансграничной передачи персональных данных: не осуществляется.

Обработка ПДн работника осуществляется во время действия трудового договора. Хранение ПДн работников Оператора, членов семьи работников Оператора - 75 лет (согласно номенклатуре дел).

Согласие на обработку ПДн может быть отозвано субъектом ПДн в любое время путем подачи Оператору заявления о прекращении обработки его персональных данных в простой письменной форме. Оператор обязан прекратить обработку ПДн субъекта в течение 3 (трех) рабочих дней, о чем будет направлено письменное уведомление субъекту персональных данных в течение 10 (десяти) рабочих дней.

ПДн работников Оператора, членов семьи работников Оператора уничтожаются:

- по достижению целей обработки персональных данных;

- при ликвидации или реорганизации оператора;

- на основании письменного обращения субъекта персональных данных с требованием о прекращении обработки его персональных данных (оператор прекратит обработку таких персональных данных в течение 3 (трех) рабочих дней, о чем будет направлено письменное уведомление субъекту персональных данных в течение 10 (десяти) рабочих дней.

3.2.2. ПДн клиентов/контрагентов.

Эти данные не являются общедоступными, за исключением, если клиент сам даст согласие на их общедоступность.

- Фамилия Имя Отчество;

- Дата и место рождения;

- Адрес места жительства (регистрации/места пребывания);

- Контактная информация (телефон и адрес электронной почты);

- Сведения о месте работы и занимаемой должности и сроке, на который заключен трудовой договор/контракт (данные предоставляются некоторыми категориями клиентов);

- ИНН;

- СНИЛС;

- Номер расчетного счета;

- Сведения о доходах (размер, источник) (данные предоставляются некоторыми категориями клиентов);

- Сведения о принадлежности к некоторой категории лиц;

- Данные (в т.ч. выписки) по номеру текущего счета в коммерческом банке;

- Семейное положение, в том числе сведения о детях;

- Сведения, содержащиеся в договоре приобретения (строительства) недвижимости и сведения, содержащиеся в выписках из Единого государственного реестра недвижимости, об объектах недвижимости, находящихся в собственности и/или о регистрации договоров (данные предоставляются некоторыми категориями клиентов);

- Сведения, содержащиеся в кредитном договоре, закладной, договоре обеспечения обязательств по кредитному договору (данные предоставляются некоторыми категориями клиентов);

- Данные о возбужденных, прекращенных/оконченных исполнительных производствах.

Перечень действий с ПДн клиентов/контрагентов Оператора: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требует цели обработки ПДн.

ПДн клиентов/контрагентов уничтожаются:

- по достижению целей обработки персональных данных;

- при ликвидации или реорганизации оператора;

3.2.3. ПДн соискателей на вакантные должности.

Эти данные не являются общедоступными. Исключение составляют случаи, когда от имени соискателя действует кадровое агентство, с которым данное лицо заключил соответствующий договор, а также при самостоятельном размещении соискателем своего резюме в сети Интернет, доступного неограниченному кругу лиц.

- Фамилия Имя Отчество;

- Пол;

- Возраст;

- Дата и место рождения;

- Контактная информация (телефон и адрес электронной почты);

- Семейное положение;

- Сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы;

- Сведения о деловых и иных личных качествах, носящий оценочный характер.

Перечень действий с ПДн соискателей на вакантные должности Оператора: сбор (непосредственно от соискателя, из общедоступных информационных ресурсов, из архивов), запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

Согласие на обработку ПДн соискателей на вакантные должности действует с момента его представления Оператору и до достижении цели обработки ПДн (до заключения трудового договора с ВГИФ).

ПДн соискателей на вакантные должности уничтожаются:

- по достижению целей обработки персональных данных;

- при ликвидации или реорганизации оператора;

- на основании письменного обращения субъекта ПДн с требованием о прекращении обработки его персональных данных (Оператор обязан прекратить обработку таких ПДн в течение 3 (трех) рабочих дней, о чем будет обязан направить письменное уведомление субъекту ПДн в течение 10 (десяти) рабочих дней.

В случае отказа в приеме на работу сведения, предоставленные соискателем на вакантные должности, должны быть уничтожены в течение 30 дней.

3.2.4. ПДн членов Попечительского совета и Совета Фонда:

- Фамилия, Имя, Отчество,

- Дата и место рождения,

- Адрес места жительства (регистрации/места пребывания);

- Гражданство.

Эти данные не являются общедоступными, за исключением, если члены Попечительского совета и Совета Фонда сами дают согласие на их общедоступность.

Перечень действий с ПДн членов Попечительского совета и Совета Фонда: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обработка ПДн членов Попечительского совета и Совета Фонда осуществляется в период их членства в Попечительском совете и Совете Фонда.

ПДн членов Попечительского совета и Совета Фонда уничтожаются:

- по достижению целей обработки персональных данных (прекращение членства в Попечительском совете и Совете Фонда);

- при ликвидации или реорганизации Оператора;

3.2.5. ПДн Пользователей Сайтов Оператора, владельцем которых является «Владимирский городской ипотечный фонд».

Эти данные не являются общедоступными, за исключением, если клиент сам даст согласие на их общедоступность.

- Имя

- Контактный телефон

- E-mail

Перечень действий с ПДн Пользователей Сайтов Оператора: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

ПДн Пользователей Сайтов Оператора уничтожаются:

- по достижению целей обработки персональных данных;

- при ликвидации или реорганизации оператора;

На Сайтах, владельцем которых является ВГИФ установлена система сбора статистики "Яндекс.Метрика". Она собирает обезличенную информацию о визитах Пользователей сайта. "Яндекс.Метрика" учитывает посетителей по анонимным идентификаторам браузеров, которые сохраняются в cookie. Отчет "Яндекс.Метрика" содержит список посетителей, которые заходили на Сайты, историю их визитов и действий на Сайтах.

3.2.6 Биометрические ПДн, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Оператором для установления личности субъекта ПДн, могут обрабатываться только при наличии согласия субъекта ПДн в письменной форме. Предоставление биометрических ПДн не может быть обязательным. Оператор не вправе отказывать в трудоустройстве/обслуживании в случае отказа субъекта ПДн предоставить биометрические ПДн и/или дать согласие на обработку ПДн, если в соответствии с Федеральным законом получение Оператором согласия на обработку ПДн не является обязательным.

4. Обработка персональных данных

4.1. Цели обработки ПДн.

Оператор осуществляет обработку ПДн субъектов в целях:

- исполнения положений нормативных актов, указанных в п. 1.2 настоящей Политики;

- заключения и выполнения обязательств по трудовым договорам, а также наиболее полное исполнение обязательств и компетенций в соответствии с Трудовым Кодексом РФ, и другими нормативно-правовыми актами в сфере трудовых отношений;

- ведения кадрового делопроизводства и бухгалтерского учета, расчета, начисления и выплаты заработной платы, осуществления отчислений в пенсионные фонды, федеральную налоговую службу, фонды социального страхования, на основании трудового и налогового законодательства РФ;

- идентификации Контрагента/Клиента в рамках заключения договоров с ВГИФ;

- осуществление связи с Контрагентом/Клиентом в случае необходимости, в том числе направление уведомлений, информации и запросов, связанных с оказанием услуг, а также обработка заявлений Контрагента /Клиента;

- улучшение работы Сайтов и качества услуг, оказываемых ВГИФ;

- продвижения услуг на рынке жилья и ипотеки путем осуществления прямых контактов с Контрагентом /Клиентом;

- проведение статистических, аналитических и иных исследований на основе обезличенных данных, подбор релевантной рекламы

- выполнение требований законодательства Российской Федерации.

4.2. Принципы обработки ПДн:

- законность целей и способов обработки ПДн и добросовестность;

- соответствие целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям Оператора;

- соответствия объема и характера обрабатываемых ПДн, способов обработки ПДн целям обработки ПДн;

- достоверность ПДн, их достаточность для целей обработки, недопустимость обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;

- недопустимости объединения созданных для несовместимых между собой целей баз данных ИСПДн;

- уничтожения ПДн после достижения целей обработки или в случае утраты необходимости в их достижении;

- личная ответственность Оператора за сохранность и конфиденциальность ПДн, а также носителей этой информации;

- обработка ПДн по общему правилу происходит до утраты правовых оснований;

- сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни (специальные категории ПДн) Оператором обрабатываются;

- обработка Оператором ПДн субъектов ПДн осуществляется смешанным образом, т.е. как с использованием средств вычислительной техники (автоматизированная обработка), так и без использования таких средств (неавтоматизированная обработка), с передачей по внутренней сети Оператора и по сети Интернет.

4.3. Обработка ПДн осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления и уничтожения ПДн.

Сбор ПДн - ПДн субъектов Оператор получает напрямую от субъектов ПДн:

- в случае возникновения необходимости получения ПДн субъекта ПДн от третьей стороны, Оператор извещает об этом субъекта ПДн заранее и сообщает ему о целях, предполагаемых источниках и способах получения;

- для получения ПДн субъекта от третьей стороны Оператор сначала получает его письменное согласие.

Хранение ПДн - оператор хранит ПДн и их материальные носители в порядке, исключающем их утрату, неправомерное использование или несанкционированный доступ к ним.

Оператор хранит ПДн субъектов и их материальные носители не дольше, чем этого требуют цели их обработки и требования действующего законодательства Российской Федерации, и уничтожает их по истечению установленных сроков хранения.

Передача ПДн в целях соблюдения законодательства Российской Федерации, для достижения указанных в п. 4.1. настоящей Политики целей обработки, осуществляется в интересах и с согласия субъектов ПДн.

Оператор в ходе своей деятельности предоставляет ПДн субъектов организациям (только с письменного разрешения субъекта) и в соответствии с требованиями законодательства в рамках установленной процедуры.

Трансграничная передача ПДн - передача ПДн на территорию иностранных государств, органам власти иностранных государств, иностранным физическим или юридическим лицам (трансграничная передача ПДн) Оператором не осуществляется.

4.4. Общедоступные источники ПДн – Оператор не ведет формирование общедоступных источников ПДн (справочников, адресных книг).

4.5. Поручение обработки ПДн - Оператор вправе поручить обработку ПДн другому лицу (далее – Обработчик) с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта. Обработчик обязан соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом, соблюдать конфиденциальность Пдн, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом. В поручении Оператора должны быть определены перечень ПДн, перечень действий (операций) с ПДн, которые будут Обработчиком, цели их обработки, должна быть установлена обязанность Обработчика соблюдать конфиденциальность ПДн, требования, предусмотренные ч. 5 ст. 18 и ст. 18.1 Федерального закона, обязанность по запросу Оператора в течение срока действия его поручения, в том числе до обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Оператора установленных требований, обязанность обеспечивать безопасность ПДн при их обработке, а также должны быть учтены требования к защите обрабатываемых ПДн в соответствии со статьей 19 Федерального закона, в том числе требование об уведомлении Оператора о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона.

В случае, если Оператор поручает обработку ПДн иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом ПДн за действия указанных лиц несет и Оператор, и Обработчик.

4.6. Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено Федеральным законом. Согласие на обработку ПДн должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект ПДн. В случае получения согласия на обработку ПДн от представителя субъекта ПДн полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются Оператором.

4.7. Если в соответствии с федеральным законом предоставление ПДн и (или) получение Оператором согласия на обработку ПДн являются обязательными, Оператор обязан разъяснить субъекту ПДн юридические последствия отказа предоставить его ПДн и (или) дать согласие на их обработку.

При этом ВГИФ не может отказать клиенту/контрагенту в заключении, исполнении, изменении или расторжении договора из-за отказа Субъекта ПДн предоставить ПДН, за исключением случаев, когда ПДн требуются для исполнения договора и предоставить ПДн требует закон.

При обращении субъекта ПДн к Оператору с целью пояснения причин отказа в заключении, исполнении, изменении или расторжении договора Оператор обязан ответить на письменный запрос необходимо в течение 7 (Семи) дней, при устном запросе – незамедлительно.

4.8. Если с Субъектом ПДн заключается договор, для исполнения которого нужны ПДн, то данный договор не может содержать положения, ограничивающие права и свободы субъекта ПДн, устанавливающие случаи обработки ПДн несовершеннолетних, если иное не предусмотрено законодательством РФ, а также положения, допускающие в качестве условия заключения договора бездействие субъекта ПДн.

5. Права субъектов персональных данных

5.1. Субъект ПДн имеет право на получение сведений об обработке его ПДн Оператором.

5.2. Субъект ПДн вправе требовать от Оператора уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

5.3. Субъекты ПДн имеют право запрашивать у Оператора следующие сведения:

- подтверждение факта обработки ПДн Оператором;

- правовые основания и цели обработки ПДн;

- цели и применяемые оператором способы обработки персональных данных;

- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором, или на основании федерального законодательства;

- обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки ПДн, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;

- информацию о способах исполнения оператором обязанностей, установленных ст. 18.1 Федерального закона;

- иные сведения, предусмотренные законодательством Российской Федерации.

5.4. Для реализации своих прав и защиты законных интересов, субъект ПДн имеет право обратиться к Оператору. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Оператором, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью. Оператор предоставляет субъекту ПДн или его представителю сведения в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

5.5. Оператор рассматривает любые обращения и жалобы со стороны субъектов ПДн, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного их устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

5.6. Возможность ознакомления с ПДн предоставляется ВГИФ субъекту ПДн или его представителю безвозмездно, относящимися к этому субъекту ПДн. В срок, не превышающий 7 (Семи) рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, ВГИФ обязан внести в них необходимые изменения. В срок, не превышающий 7 (Семи) рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие ПДн. Оператор обязан уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.

5.7. ВГИФ может отказать субъекту ПДн или его представителю в предоставлении информации о наличии персональных данных о соответствующем субъекте ПДн при их обращении либо при получении запроса субъекта ПДн или его представителя. Оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение ч. 8 ст. 14 Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 10 (Десяти) рабочих дней со дня обращения субъекта ПДн или его представителя либо с даты получения запроса субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более чем на 5 (Пять) рабочих дней в случае направления Оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

5.8. Субъект ПДн вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов ПДн (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Управление по защите прав субъектов ПДн) или в судебном порядке.

5.9. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

5.10. Субъект ПДн имеет право в любое время отозвать свое согласие на обработку ПДн, обратившись к Оператору. В случае обращения субъекта ПДн к Оператору с требованием о прекращении обработки ПДн оператор обязан в срок, не превышающий 10 (Десяти) рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку ПДн), за исключением случаев, предусмотренных п. 2 - 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона. Указанный срок может быть продлен, но не более чем на 5 (Пять) рабочих дней в случае направления Оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. В случае отсутствия возможности уничтожения персональных данных в указанного срока Оператор осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен федеральным законодательством.

6. Защита персональных данных

6.1. Оператор гарантирует конфиденциальность ПДн и предоставляет доступ к ним только уполномоченным работникам, подписавшим обязательство о неразглашении ПДн.

6.2. Все работники Оператора, имеющие доступ к ПДн, соблюдают правила их обработки и исполняют требования по их защите.

6.3. Оператор принимает все необходимые правовые, организационные и инженерно- технические меры, достаточные для защиты ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ними со стороны третьих лиц.

6.4. К обеспечению защиты ПДн, в частности, относятся:

1) назначение во ВГИФ ответственных за организацию обработки и защиты ПДн;

2) разработка документов, определяющих политику ВГИФ в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, определяющих для каждой цели обработки ПДн категории и перечень обрабатываемых ПДн, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.

3) применение правовых, организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн;

4) осуществление внутреннего контроля соответствия обработки ПДн Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, локальным актам;

5)оценка вреда, в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам ПДн в случае нарушения Оператором Федерального закона, соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей;

6)ознакомление сотрудников ВГИФ, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ о ПДн, в том числе требованиями к защите ПДн, локальными актами в отношении обработки ПДн, и обучение указанных работников;

7) обеспечение неограниченного доступа к документу, определяющему политику ВГИФ в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн (в месте нахождения исполнительного органа «Владимирского городского ипотечного фонда» (стенд) и на официальном сайте ВГИФ https://ipoteka-vladimir.ru/.

8) определением угроз безопасности ПДн при их обработке в ИСПДн;

9) оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;

10) учет машинных носителей ПДн;

11) обнаружение фактов несанкционированного доступа к ПДн и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы ПДн и по реагированию на компьютерные инциденты в них;

12) применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;

12.1) применение для уничтожения персональных данных, прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации;

13) восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

14) установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;

15) физическая охрана здания и помещений;

16) регулярное обновление системы безопасности и антивирусной защиты;

17) использование защищенных соединений (SSL-сертификат);

18) использование сейфов и запирающихся шкафов для хранения носителей ПДн;

19)установка и поддержание в рабочем состоянии пожарной сигнализации.

6.5. Допуск к ПДн субъекта имеют только те работники ВГИФ, которым ПДн необходимы в связи с исполнением ими своих служебных (трудовых) обязанностей.

6.6. Оператор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных. Эта информация (за исключением информации, составляющей государственную тайну) передается федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, в уполномоченный орган по защите прав субъектов персональных данных. Порядок передачи этой информации устанавливается совместно федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и уполномоченным органом по защите прав субъектов персональных данных.

6.7. Уполномоченный орган по защите прав субъектов персональных данных устанавливает требования к обезличиванию персональных данных и методы обезличивания персональных данных, за исключением случаев, указанных в пункте 9.1 части 1 статьи 6 настоящего Федерального закона.

6.8. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, Оператор обязан с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов ПДн или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов ПДн:

1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов ПДн, по вопросам, связанным с выявленным инцидентом;

2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

7. Заключительные положения

7.1. ВГИФ закрепляет персональную ответственность сотрудников за соблюдением, установленных в организации принципов уважения приватности.

7.2. Каждый сотрудник ВГИФ, получающий для работы доступ к материальным носителям ПДн, несет ответственность за сохранность носителя и конфиденциальность информации.

7.3. ВГИФ обязуется поддерживать систему приема, регистрации и контроля рассмотрения жалоб субъектов ПДн, доступную как посредством использования Интернета, так и с помощью телефонной или почтовой связи.

7.4. Субъект ПДн может обратиться к ВГИФ с жалобой на нарушение данной Политики, а также с жалобами и заявлениями по поводу соблюдения требований обработки ПДн. Данные обращения рассматриваются ВГИФ в течение десяти рабочих дней с даты получения запроса субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

8. Обратная связь.

8.1. Контактное лицо, ответственное за рассмотрение заявлений, жалоб, вопросов, предложений – заместитель Генерального директора Деомидько Ольга Николаевна.

8.2. Контактный телефон: (4922) 42-31-40, 44-77-00 (вн. 212)

8.3. Адрес электронной почты: vgif@ipoteka-vladimir.ru

8.4. Почтовый адрес: 600000, г. Владимир, пр-кт Ленина, д. 21А

8.5. Анонимные обращения не рассматриваются.