УТВЕРЖДЕНО

 Решением Совета
Ассоциации Саморегулируемой организации
«Региональное объединение
строителей Приморского края»
Протокол № 327/C от «06» июня 2019 года

ПОЛОЖЕНИЕ

об обработке и обеспечении безопасности персональных данных

Ассоциацией Саморегулируемой организацией «Региональное объединение строителей Приморского края»

1.    Общие положения

 1.1. Настоящее Положение разработано в соответствии с Трудовым кодексом Российской Федерации, Градостроительным кодексом Российской Федерации, Федеральным законом от 01.12.2007 № 315-ФЗ «О саморегулируемых организациях», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлением Правительства РФ от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», Регламентом Ассоциации «Национальное объединение строителей» «О порядке ведения Национального реестра специалистов в области строительства, включения в него сведений о физических лицах, их изменения или исключения», Уставом Ассоциации Саморегулируемой организации «Региональное объединение строителей Приморского края» (далее – Ассоциация).

1.2. Настоящее Положение разработано в целях обеспечения защиты прав и свобод физических лиц при обработке Ассоциацией их персональных данных; определения порядка обработки персональных данных физических лиц; установления ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

1.3. Настоящее Положение является документом, определяющим политику Ассоциации в отношении обработки персональных данных.

1.4. Все работники Ассоциации, в чью трудовую функцию входят должностные обязанности, связанные с реализацией норм Положения, должны быть ознакомлены с Положением под роспись.

2.    Термины и определения

 В настоящем Положении используются понятия (термины, определения и сокращения), указанные в настоящем разделе. Понятия (термины, определения и сокращения), не указанные в настоящем разделе, применяются в соответствии с их определениями и (или) толкованием, установленными законодательством Российской Федерации и внутренними документами Ассоциации.

Понятия (термины, определения и сокращения), применяемые в настоящем Положении:

2.1. Положение – настоящее Положение об обработке и обеспечении безопасности персональных данных Ассоциацией;

2.2. Ассоциация – Ассоциация Саморегулируемая организация «Региональное объединение строителей Приморского края» (АСРО «РОС ПК»);

2.3. член Ассоциации – индивидуальный предприниматель или юридическое лицо, в отношении которого принято решение о приёме в Ассоциацию и сведения о котором внесены в реестр членов Ассоциации;

2.4. источник персональных данных – электронный или бумажный носитель, а также сайт в сети «Интернет» и базы данных, в которых зафиксированы персональные данные;

2.5. Оператор ПДн – лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором персональных данных в отношениях, регулируемых Положением, является Ассоциация;

2.6. специалист по организации строительства (Субъект ПДн) – физическое лицо, которое имеет право осуществлять по трудовому договору, заключенному с индивидуальным предпринимателем или юридическим лицом, трудовые функции по организации выполнения работ по строительству, реконструкции, капитальному ремонту объекта капитального строительства в должности главного инженера проекта и сведения о котором включены в национальный реестр в области строительства, а также кандидат на включение в национальный реестр специалистов в области строительства, подавший соответствующее заявление;

2.7. персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2.8. общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

2.9. обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

2.10. автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

2.11. обработка персональных данных без использования средств автоматизации (неавтоматизированная) – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, при которой такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека;

2.12. сбор персональных данных – целенаправленный процесс получения персональных данных непосредственно от субъекта персональных данных либо через специально привлеченных для этого третьих лиц;

2.13. запись персональных данных – процесс фиксации персональных данных на материальном носителе (в том числе ручным, механическим, магнитным, оптическим, фотографическим и электростатическим методами);

2.14. накопление персональных данных – процесс формирования исходного, несистематизированного массива персональных данных;

2.15.систематизация персональных данных – процесс расположения элементов персональных данных в соответствии с некоторой заранее заданной закономерностью (упорядочивание, группировка, структурирование, типологизация, классификация);

2.16. хранение персональных данных – процесс поддержания персональных данных в исходном виде, в том числе для дальнейшего использования и передачи персональных данных в целях, определенных Положением и законодательством Российской Федерации;

2.17.  распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

2.18. предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

2.19. блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

2.20.  уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных (необратимое удаление);

2.21. обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

2.22. информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

2.23. база данных - представленная в объективной форме совокупность самостоятельных сведений, систематизированных таким образом, чтобы эти сведения могли быть найдены и обработаны с помощью электронной вычислительной машины;

2.24. конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

3.    Цели обработки персональных данных и категории субъектов,

персональные данные которых обрабатываются

 3.1.  Ассоциация является Оператором ПДн в связи с обработкой персональных данных следующих категорий субъектов в рамках отношений, регулируемых Положением:

3.1.1. лицо, вступившее в трудовые отношения с Ассоциацией (прекратившее трудовые отношения, претендующее на трудоустройство);

3.1.2.  лицо, осуществляющее функции единоличного исполнительного органа Ассоциации;

3.1.3. лицо, являющееся членом коллегиального органа Ассоциации;

3.1.4.  лицо, являющееся членом специализированного органа Ассоциации;

3.1.5.  индивидуальный предприниматель - член Ассоциации (исключенный член Ассоциации);

3.1.6. лицо, состоящее в трудовых отношениях с членом Ассоциации;

3.1.7. специалист по организации строительства;

3.1.8. лицо, осуществляющее функции единоличного исполнительного органа члена Ассоциации и (или) руководитель коллегиального исполнительного органа члена Ассоциации;

3.1.9.  лицо, обращающееся с жалобой или иными обращениями;

3.1.10. представители лиц, с которыми Ассоциация вступает в гражданско-правовые отношения.

3.2. Ассоциация обрабатывает персональные данные в отношении лиц, указанных в пункте 3.1.1 Положения, в следующих целях в соответствии с задачами, определенными Трудовым кодексом Российской Федерации:

3.2.1.  обеспечения соблюдения законов и иных нормативных правовых актов;

3.2.2.  содействия работникам в трудоустройстве, получении образования и продвижении по службе;

3.2.3.  обеспечения личной безопасности работников;

3.2.4. контроля количества и качества выполняемой работы;

3.2.5. обеспечения сохранности имущества.

3.3. Ассоциация обрабатывает персональные данные в отношении лиц, указанных в пункте 3.1.2 Положения, в следующих целях в соответствии с задачами, определенными Градостроительным кодексом Российской Федерации и Трудовым кодексом Российской Федерации:

3.3.1.  обеспечения соблюдения законов и иных нормативных правовых актов;

3.3.2.  в соответствии с целями и содержанием деятельности Ассоциации;

3.3.3. предоставления сведений в уполномоченный государственный орган для внесения сведений в государственный реестр саморегулируемых организаций;

3.3.4. размещения сведений в информационно-телекоммуникационной сети «Интернет» на сайте Ассоциации;

3.3.5. представления в Минюст России документов, содержащих отчет о своей деятельности, о персональном составе руководящих органов, о целях расходования денежных средств и использования иного имущества;

3.3.6. формирования отчетов о деятельности некоммерческих организаций для публичного доступа на информационном портале Минюста России для некоммерческих организаций «Портал НКО» (http://unro.minjust.ru);

3.3.7. предоставления сведений и документов при прохождении процедур государственного и муниципального контроля (надзора), или по запросам государственных и муниципальных органов по иным основаниям;

3.3.8. в целях, изложенных в пункте 3.2 Положения.

3.4.  Ассоциация обрабатывает персональные данные в отношении лиц, указанных в пункте 3.1.3 Положения, в следующих целях в соответствии с задачами, определенными Градостроительным кодексом Российской Федерации:

3.4.1.  обеспечения соблюдения законов и иных нормативных правовых актов;

3.4.2. в соответствии с целями и содержанием деятельности Ассоциации;

3.4.3. избрания кандидатов в коллегиальный орган управления Ассоциации;

3.4.4. предоставления сведений в уполномоченный государственный орган для внесения сведений в государственный реестр саморегулируемых организаций;

3.4.5. размещения информации в информационно-телекоммуникационной сети «Интернет» на сайте Ассоциации;

3.4.6.  представления в Минюст России документов, содержащих отчет о своей деятельности, о персональном составе руководящих органов, о целях расходования денежных средств и использования иного имущества;

3.4.7.  формирования отчетов о деятельности некоммерческих организаций для публичного доступа на информационном портале Минюста России для некоммерческих организаций «Портал НКО» (http://unro.minjust.ru);

3.4.8.  предоставления сведений и документов при прохождении процедур государственного и муниципального контроля (надзора), или по запросам государственных и муниципальных органов по иным основаниям.

3.5.  Ассоциация обрабатывает персональные данные в отношении лиц, указанных в пункте 3.1.4 Положения, в следующих целях в соответствии с задачами, определенными Градостроительным кодексом Российской Федерации:

3.5.1.  обеспечения соблюдения законов и иных нормативных правовых актов;

3.5.2.  в соответствии с целями и содержанием деятельности Ассоциации;

3.5.3.  избрания кандидатов в специализированный орган Ассоциации;

3.5.4.  предоставления сведений в уполномоченный государственный орган для внесения сведений в государственный реестр саморегулируемых организаций;

3.5.5.  предоставления сведений и документов при прохождении процедур государственного и муниципального контроля (надзора), или по запросам государственных и муниципальных органов по иным основаниям.

3.6.   Ассоциация обрабатывает персональные данные в отношении лиц, указанных в пункте 3.1.5 Положения, в следующих целях в соответствии с задачами, определенными Градостроительным кодексом Российской Федерации:

3.6.1.  обеспечения соблюдения законов и иных нормативных правовых актов;

3.6.2.  в соответствии с целями и содержанием деятельности Ассоциации;

3.6.3.  приема индивидуального предпринимателя в члены Ассоциации;

3.6.4.  предоставления сведений в уполномоченный государственный орган для внесения сведений в государственный реестр саморегулируемых организаций;

3.6.5.  предоставления сведений в Ассоциацию «Национальное объединение строителей»;

3.6.6. ведения реестра членов саморегулируемой организации;

3.6.7. выдачи выписок из реестра членов саморегулируемой;

3.6.8. размещения информации в информационно-телекоммуникационной сети «Интернет» на сайте Ассоциации (www.ros-pk.ru);

3.6.9.  осуществления Ассоциацией контроля за деятельностью своих членов;

3.6.10. рассмотрения Ассоциацией жалоб на действия своих членов и обращений;

3.6.11.  применения Ассоциацией мер дисциплинарного воздействия в отношении членов Ассоциации;

3.6.12. проведения общего собрания членов Ассоциации;

3.6.13. предоставления сведений и документов при прохождении процедур государственного и муниципального контроля (надзора), или по запросам государственных и муниципальных органов по иным основаниям.

3.7.  Ассоциация обрабатывает персональные данные в отношении лиц, указанных в пункте 3.1.6 Положения, в следующих целях в соответствии с задачами, определенными Градостроительным кодексом Российской Федерации:

3.7.1.  обеспечения соблюдения законов и иных нормативных правовых актов;

3.7.2.  в соответствии с целями и содержанием деятельности Ассоциации;

3.7.3.  приема индивидуального предпринимателя или юридического лица, работником которого является субъект персональных данных, в члены Ассоциации;

3.7.4.  осуществления Ассоциацией контроля за деятельностью своих членов;

3.7.5. применения Ассоциацией мер дисциплинарного воздействия в отношении членов Ассоциации;

3.7.6.  предоставления сведений и документов при прохождении процедур государственного и муниципального контроля (надзора), или по запросам государственных и муниципальных органов по иным основаниям.

3.8. Ассоциация обрабатывает персональные данные в отношении лиц, указанных в пункте 3.1.7 Положения, в следующих целях в соответствии с задачами, определенными Градостроительным кодексом Российской Федерации:

3.8.1.  обеспечения соблюдения законов и иных нормативных правовых актов;

3.8.2. в соответствии с целями и содержанием деятельности Ассоциации;

3.8.3.  передачи сведений и документов о физическом лице в Ассоциацию «Национальное объединение строителей» посредством информационно-телекоммуникационной сети и непосредственно на бумажном носителе;

3.8.4. первичной проверки соответствия заявления и прилагаемых документов субъекта персональных данных требованиям, установленным законодательством, иными нормативными правовыми актами и Регламентом «О порядке ведения Национального реестра специалистов в области строительства, включения в него сведений о физических лицах, их изменения или исключения» Ассоциации «Национальное объединение строителей»;

3.8.5.  приема юридического лица или индивидуального предпринимателя, работником которых является субъект персональных данных, в члены Ассоциации;

3.8.6. осуществления Ассоциацией контроля за деятельностью своих членов;

3.8.7.  применения Ассоциацией мер дисциплинарного воздействия в отношении членов Ассоциации;

3.8.8.  предоставления сведений и документов при прохождении процедур государственного и муниципального контроля (надзора), или по запросам государственных и муниципальных органов по иным основаниям.

3.9.  Ассоциация обрабатывает персональные данные в отношении лиц, указанных в пункте 3.1.8 Положения, в следующих целях в соответствии с задачами, определенными Градостроительным кодексом Российской Федерации:

3.9.1. обеспечения соблюдения законов и иных нормативных правовых актов;

3.9.2.  в соответствии с целями и содержанием деятельности Ассоциации;

3.9.3.  приема индивидуального предпринимателя или юридического лица, работником которого является субъект персональных данных, в члены Ассоциации;

3.9.4.  предоставления сведений в уполномоченный государственный орган для внесения сведений в государственный реестр саморегулируемых организаций;

3.9.5.  предоставления сведений в Ассоциацию «Национальное объединение строителей»;

3.9.6. ведения реестра членов саморегулируемой организации;

3.9.7. размещения информации в информационно-телекоммуникационной сети «Интернет» на сайте Ассоциации (www.ros-pk.ru);

3.9.8.  проведения общего собрания членов Ассоциации;

3.9.9.  предоставления сведений и документов при прохождении процедур государственного и муниципального контроля (надзора), или по запросам государственных и муниципальных органов по иным основаниям.

3.10.  Ассоциация обрабатывает персональные данные в отношении лиц, указанных в пункте 3.1.9 Положения, в следующих целях в соответствии с задачами, определенными Градостроительным кодексом Российской Федерации:

3.10.1.  в соответствии с целями и содержанием деятельности Ассоциации;

3.10.2.  рассмотрения обращений, ходатайств, жалоб в отношении членов Ассоциации;

3.10.3.   предоставления сведений и документов при прохождении процедур государственного и муниципального контроля (надзора), или по запросам государственных и муниципальных органов по иным основаниям.

3.11.   Ассоциация обрабатывает персональные данные в отношении лиц, указанных в пункте 3.1.10 Положения, в следующих целях в соответствии с задачами, определенными законодательством Российской Федерации:

3.11.1.  в соответствии с целями и содержанием деятельности Ассоциации;

3.11.2.  идентификации и проверки полномочий представителя лица, с которым Ассоциация вступает в гражданско-правовые отношения;

3.11.3.  предоставления сведений и документов при прохождении процедур государственного и муниципального контроля (надзора), или по запросам государственных и муниципальных органов по иным основаниям.

4.    Принципы обработки персональных данных

 4.1.  Ассоциация обрабатывает персональные данные на законной и справедливой основе.

4.2. Ассоциация обрабатывает персональные данные лишь в целях, для которых они сообщены и обеспечивает конфиденциальность полученных персональных данных, за исключением случаев, когда обеспечения конфиденциальности персональных данных не требуется: в случае обезличивания персональных данных и в отношении общедоступных персональных данных.

4.3.   Ассоциация не допускает объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4.4.   Ассоциация в рамках отношений, регулируемых настоящим Положением, обрабатывает только персональные данные, предоставленные в целях, определенных Положением.

4.5.   Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

4.6.  При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Ассоциация должна принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

4.7.   Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

5.    Категории обрабатываемых персональных данных

 5.1.   Ассоциация обрабатывает следующие категории персональных данных в отношении лиц, указанных в пункте 3.1.1 Положения, в соответствии с задачами и целями, определенными Положением и Трудовым кодексом Российской Федерации:

5.1.1. табельный номер;

5.1.2.  фамилия, имя, отчество;

5.1.3.  дата рождения (день рождения, месяц рождения и год рождения);

5.1.4.  паспортные данные (данные иного документа, удостоверяющего личность);

5.1.5.  пол;

5.1.6.  гражданство;

5.1.7.  состав семьи (в том числе количество детей);

5.1.8.  состояние в браке;

5.1.9.  идентификационный номер налогоплательщика;

5.1.10. страховой номер индивидуального лицевого счёта;

5.1.11.  адрес места жительства (по паспорту и фактический) и его код;

5.1.12.  дата регистрации по месту жительства;

5.1.13.  номер телефона;

5.1.14.  сведения о воинском учете;

5.1.15.  сведения об образовании и квалификации (в том числе сведения о повышении квалификации, профессиональной переподготовке, аттестации, сведения о знании иностранного языка);

5.1.16.  сведения о трудовой функции (должности, профессии, специальности, квалификации);

5.1.17.  условия и расчет оплаты труда (в том числе отпуска и иных выплат);

5.1.18.  сведения о работе (в том числе стаж работы, прежнее место работы, новое место работы, сведения о приеме на работу, сведения об увольнении с работы, сведения о переводе на другую работу);

5.1.19.  сведения об учете рабочего времени;

5.1.20. сведения о награждении, почетных званиях и поощрении работника;

5.1.21. сведения о социальных льготах;

5.1.22. сведения о периоде отпуска;

5.1.23. сведения о структурном подразделении;

5.1.24. место назначения и период командировки;

5.1.25.  номер лицевого счета;

5.1.26. иные сведения, в случае если такие сведения предоставлены субъектами персональных данных в целях, определенных в разделе 3 Положения, и если такие цели не могут быть достигнуты без обработки указанных персональных данных.

5.2.  Ассоциация обрабатывает следующие категории персональных данных в отношении лиц, указанных в пункте 3.1.2 Положения, в соответствии с задачами и целями, определенными Положением, Трудовым кодексом Российской Федерации и Градостроительным кодексом Российской Федерации:

5.2.1.  категории персональных данных, указанные в пункте 5.1 Положения.

5.3.  Ассоциация обрабатывает следующие категории персональных данных в отношении лиц, указанных в пункте 3.1.3 Положения, в соответствии с задачами и целями, определенными Положением и Градостроительным кодексом Российской Федерации:

5.3.1.  фамилия, имя, отчество;

5.3.2.  дата рождения;

5.3.3.  гражданство;

5.3.4.  данные документа, удостоверяющего личность;

5.3.5. сведения о штатной должности по основному месту работы;

5.3.6.   сведения об образовании;

5.3.7.  сведения о стаже;

5.3.8.  адрес (место жительства);

5.3.9.  адрес электронной почты;

5.3.10.  контактный телефон;

5.3.11.  иные сведения, в случае если такие сведения предоставлены субъектами персональных данных в целях, определенных в разделе 3 Положения и если такие цели не могут быть достигнуты без обработки указанных персональных данных.

5.4.   Ассоциация обрабатывает следующие категории персональных данных в отношении лиц, указанных в пункте 3.1.4 Положения, в соответствии с задачами и целями, определенными Положением и Градостроительным кодексом Российской Федерации:

5.4.1.  фамилия, имя, отчество;

5.4.2.  данные документа, удостоверяющего личность;

5.4.3.  сведения об образовании;

5.4.4.  сведения о стаже;

5.4.5.  адрес электронной почты;

5.4.6.  контактный телефон;

5.4.7.  иные сведения, в случае если такие сведения предоставлены субъектами персональных данных в целях, определенных в разделе 3 Положения и если такие цели не могут быть достигнуты без обработки указанных персональных данных.

5.5.   Ассоциация обрабатывает следующие категории персональных данных в отношении лиц, указанных в пункте 3.1.5 Положения, в соответствии с задачами и целями, определенными Положением и Градостроительным кодексом Российской Федерации:

5.5.1. фамилия, имя, отчество;

5.5.2. место жительства;

5.5.3. дата рождения;

5.5.4. место рождения;

5.5.5. паспортные данные;

5.5.6. номера контактных телефонов;

5.5.7. идентификационный номер налогоплательщика;

5.5.8. дата государственной регистрации физического лица в качестве индивидуального предпринимателя;

5.5.9. регистрационный номер записи о государственной регистрации индивидуального предпринимателя;

5.5.10. место фактического осуществления деятельности;

5.5.11. регистрационный номер члена саморегулируемой организации, дата его регистрации в реестре Ассоциации;

5.5.12. сведения о соответствии члена саморегулируемой организации условиям членства;

5.5.13. сведения об обеспечении имущественной ответственности;

5.5.14. сведения об образовании и квалификации (в том числе о дополнительном профессиональном образовании и аттестации);

5.5.15. сведения о стаже;

5.5.16. сведения об имуществе индивидуального предпринимателя;

5.5.17.банковские реквизиты;

5.5.18. иные сведения, в случае если такие сведения предоставлены субъектами персональных данных в целях, определенных в разделе 3 Положения, и если такие цели не могут быть достигнуты без обработки указанных персональных данных.

5.6. Ассоциация обрабатывает следующие категории персональных данных в отношении лиц, указанных в пункте 3.1.6 Положения, в соответствии с задачами и целями, определенными Положением и Градостроительным кодексом Российской Федерации:

5.6.1. фамилия, имя, отчество;

5.6.2. сведения об образовании и квалификации (в том числе о дополнительном профессиональном образовании и аттестации);

5.6.3.  сведения о стаже;

5.6.4.  сведения о трудовой функции (должности);

5.6.5. иные сведения, в случае если такие сведения предоставлены субъектами персональных данных в целях, определенных в разделе 3 Положения и если такие цели не могут быть достигнуты без обработки указанных персональных данных.

5.7. Ассоциация обрабатывает следующие категории персональных данных в отношении лиц, указанных в пункте 3.1.7 Положения, в соответствии с задачами и целями, определенными Положением и Градостроительным кодексом Российской Федерации:

5.7.1. фамилия, имя, отчество;

5.7.2. дата рождения (день рождения, месяц рождения и год рождения);

5.7.3.  место рождения;

5.7.4.  адрес;

5.7.5. сведения об образовании;

5.7.6.  сведения о профессии;

5.7.7.  сведения о стаже;

5.7.8.  страховой номер индивидуального лицевого счёта;

5.7.9. паспортные данные;

5.7.10. адрес электронной почты;

5.7.11. контактный телефон;

5.7.12. сведения о разрешении на работу;

5.7.13. сведения об отсутствии непогашенной или неснятой судимости за совершение умышленного преступления;

5.7.14. иные сведения, в случае если такие сведения предоставлены субъектами персональных данных в целях, определенных в разделе 3 Положения, и если такие цели не могут быть достигнуты без обработки указанных персональных данных.

5.8.  Ассоциация обрабатывает следующие категории персональных данных в отношении лиц, указанных в пункте 3.1.8 Положения, в соответствии с задачами и целями, определенными Положением и Градостроительным кодексом Российской Федерации:

5.8.1.  фамилия, имя, отчество;

5.8.2.  номера контактных телефонов;

5.8.3.  идентификационный номер налогоплательщика;

5.8.4. иные сведения, в случае если такие сведения предоставлены субъектами персональных данных в целях, определенных в разделе 3 Положения, и если такие цели не могут быть достигнуты без обработки указанных персональных данных.

5.9. Ассоциация обрабатывает следующие категории персональных данных в отношении лиц, указанных в пункте 3.1.9 Положения, в соответствии с задачами и целями, определенными Положением и Градостроительным кодексом Российской Федерации:

5.9.1.  фамилия, имя, отчество;

5.9.2.  почтовый адрес;

5.9.3. адрес электронной почты;

5.9.4. контактный телефон;

5.9.5.  иные сведения, в случае если такие сведения предоставлены субъектами персональных данных в целях, определенных в разделе 3 Положения, и если такие цели не могут быть достигнуты без обработки указанных персональных данных.

5.10.  Ассоциация обрабатывает следующие категории персональных данных в отношении лиц, указанных в пункте 3.1.10 Положения, в соответствии с задачами и целями, определенными Положением и Градостроительным кодексом Российской Федерации:

5.10.1. фамилия, имя, отчество;

5.10.2.  адрес электронной почты;

5.10.3. контактный телефон;

5.10.4. иные сведения, в случае если такие сведения предоставлены субъектами персональных данных в целях, определенных в разделе 3 Положения, и если такие цели не могут быть достигнуты без обработки указанных персональных данных.

6.    Источники персональных данных

 6.1.  К источникам персональных данных, содержащих персональные данные в отношении лиц, указанных в пункте 3.1.1 Положения, относятся:

6.1.1.  трудовая книжка;

6.1.2.  трудовой договор;

6.1.3.  формы первичной учетной документации по учету труда и его оплаты: № Т-1 «Приказ (распоряжение) о приеме работника на работу»; № Т-2 «Личная карточка работника»; № Т-5 «Приказ (распоряжение) о переводе работника на другую работу»; № Т-6 «Приказ (распоряжение) о предоставлении отпуска работнику»; № Т-7 «График отпусков»; № Т-8 «Приказ (распоряжение) о прекращении (расторжении) трудового договора с работником (увольнении)»; № Т-9 «Приказ (распоряжение) о направлении работника в командировку»; № Т-11 «Приказ (распоряжение) о поощрении работника»; № Т-12 «Табель учета рабочего времени и расчета оплаты труда»; № Т-13 «Табель учета рабочего времени»; № Т-51 «Расчетная ведомость»; № Т-54 «Лицевой счет»; № Т-60 «Записка-расчет о предоставлении отпуска работнику»; № Т-61 «Записка-расчет при прекращении (расторжении) трудового договора с работником (увольнении)»;

6.1.4.  согласие на обработку персональных данных.

6.2.  К источникам персональных данных, содержащих персональные данные в отношении лиц, указанных в пункте 3.1.2 Положения, относятся:

6.2.1.  источники персональных данных, указанные в пункте 6.1 Положения;

6.2.2.  сайт Ассоциации в сети «Интернет» (www.ros-pk.ru);

6.2.3.  заявление о включении (изменении) сведений в государственный реестр саморегулируемых организаций;

6.2.4.  отчет о деятельности некоммерческой организации и о персональном составе ее руководящих органов (форма № ОН0001);

6.2.5.  согласие на обработку персональных данных.

6.3.   К источникам персональных данных, содержащих персональные данные в отношении лиц, указанных в пункте 3.1.3 Положения, относятся:

6.3.1. анкета кандидата для избрания в члены коллегиального органа;

6.3.2.  сайт Ассоциации в сети «Интернет» (www.ros-pk.ru);

6.3.3. заявление о включении (изменении) сведений в государственный реестр саморегулируемых организаций;

6.3.4. отчет о деятельности некоммерческой организации и о персональном составе ее руководящих органов (форма № ОН0001);

6.3.5.  согласие на обработку персональных данных.

6.4.  К источникам персональных данных, содержащих персональные данные в отношении лиц, указанных в пункте 3.1.4 Положения, относятся:

6.4.1.  анкета кандидата для избрания в члены специализированного органа;

6.4.2.  заявление о включении (изменении) сведений в государственный реестр саморегулируемых организаций;

6.4.3.  согласие на обработку персональных данных.

6.5. К источникам персональных данных, содержащих персональные данные в отношении лиц, указанных в пункте 3.1.5 Положения, относятся:

6.5.1.  реестр членов Ассоциации;

6.5.2.  сайт Ассоциации в сети «Интернет» (www.ros-pk.ru);

6.5.3.  электронный документ в формате Microsoft Access;

6.5.4.  свидетельство о допуске к работам, которые оказывают влияние на безопасность объектов капитального строительства;

6.5.5.  документы, формирующие дело члена Ассоциации:

· заявления и анкеты;

· копия свидетельства о государственной регистрации физического лица в качестве индивидуального предпринимателя;

· копия свидетельства о постановке на учет физического лица в налоговом органе на территории Российской Федерации;

· выписка из ЕГРИП;

· договор страхования;

· копии документов, подтверждающих право нахождения индивидуального предпринимателя по адресу места жительства и места фактического осуществления деятельности;

· копии документов об образовании и квалификации, в том числе удостоверений о повышении квалификации и документов об аттестации;

· копии документов, подтверждающих стаж индивидуального предпринимателя;

· иные документы, формирующие дело члена Ассоциации в соответствии с законодательством, внутренними документами Ассоциации.

6.5.6.  заявление о включении сведений в государственный реестр саморегулируемых организаций;

6.5.7.  протоколы коллегиального и специализированных органов Ассоциации;

6.5.8. материалы плановых и внеплановых проверок;

6.5.9.  согласие на обработку персональных данных.

6.6.  К источникам персональных данных, содержащих персональные данные в отношении лиц, указанных в пункте 3.1.6 Положения, относятся:

6.6.1. копии документов об образовании и квалификации, в том числе удостоверений о повышении квалификации и документов об аттестации;

6.6.2.  копии документов, подтверждающих стаж;

6.6.3.  согласие на обработку персональных данных;

6.6.4.  иные документы в соответствии с законодательством, внутренними документами Ассоциации.

6.7.  К источникам персональных данных, содержащих персональные данные в отношении лиц, указанных в пункте 3.1.7 Положения, относятся:

6.7.1. модуль доступа к Автоматизированной информационной системе Национального реестра специалистов (далее – АИС НРС) или, в случае прекращения функционирования АИС НРС, иное программное средство, позволяющее обеспечивать исполнение целей, определенных Положением, для передачи сведений о субъекте персональных данных в Ассоциацию «Национальное объединение строителей» посредством информационно-телекоммуникационной сети «Интернет»;

6.7.2. электронный документ в формате Microsoft Access;

6.7.3. заявление о включении сведений в Национальный реестр специалистов в области строительства;

6.7.4. заявление о внесении изменений в сведения, включенные в Национальный реестр специалистов в области строительства;

6.7.5. заявление об исключении сведений из Национального реестра специалистов в области строительства;

6.7.6.  доверенность (оригинал или копия);

6.7.7.  копия страхового свидетельства государственного пенсионного страхования;

6.7.8.  копия документа об образовании (документ о высшем образовании, документ о среднем профессиональном образовании, документ о профессиональной переподготовке, документ о повышении квалификации и иной документ об образовании в соответствии с Федеральным законом от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»);

6.7.9. документ, подтверждающий трудовой стаж (копия трудовой книжки, выписка из трудовой книжки, выписка из личного дела, копия должностной инструкции, выписка из должностной инструкции);

6.7.10. копия свидетельства о квалификации в соответствии с Федеральным законом от 03.07.2016 № 238-ФЗ «О независимой оценке квалификации»;

6.7.11. копия документа, подтверждающего право на работу на территории Российской Федерации (разрешение на работу и иной документ, позволяющий иностранному гражданину работать на территории Российской Федерации в соответствии с Федеральным законом от 25.07.2002 № 115-ФЗ «О правовом положении иностранных граждан в Российской Федерации»);

6.7.12.  справка о наличии (отсутствии) судимости и (или) факта его уголовного преследования либо о прекращении уголовного преследования;

6.7.13.  копия документа, подтверждающего изменение фамилии;

6.7.14.  согласие на обработку персональных данных.

6.8.   К источникам персональных данных, содержащих персональные данные в отношении лиц, указанных в пункте 3.1.8 Положения, относятся:

6.8.1.  реестр членов Ассоциации;

6.8.2.  сайт Ассоциации в сети «Интернет» (www.ros-pk.ru);

6.8.3.  электронный документ в формате Microsoft Access;

6.8.4.  заявление о включении (изменении) сведений в государственный реестр саморегулируемых организаций;

6.8.5.  согласие на обработку персональных данных.

6.9.  К источникам персональных данных, содержащих персональные данные в отношении лиц, указанных в пункте 3.1.9 Положения, относятся:

6.9.1.  жалобы, обращения, ходатайства и материалы проверки по фактам, изложенным в жалобах, обращениях, ходатайствах;

6.9.2.  согласие на обработку персональных данных.

6.10.  К источникам персональных данных, содержащих персональные данные в отношении лиц, указанных в пункте 3.1.10 Положения, относятся:

6.10.1.  гражданско-правовые договоры и иные документы, обеспечивающие должное исполнение обязательств по гражданско-правовым сделкам;

6.10.2.  согласие на обработку персональных данных.

6.11. К источникам персональных данных лиц, указанных в разделе 3 Положения, также относятся иные источники информации, содержащие сведения о персональных данных физического лица, в случае если такие документы предоставлены субъектами персональных данных в целях, определенных в разделе 3 Положения, и если такие цели не могут быть достигнуты без использования (обработки) указанных документов.

7.    Обработка персональных данных

 7.1.   Обработка персональных данных осуществляется Ассоциацией как с использованием средств автоматизации, так и без использования таких средств (смешанная обработка), с учетом требований Постановления Правительства РФ от 01 ноября 2012 г.         № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и Постановления Правительства РФ от     15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

7.2.  Право на обработку конкретных категорий персональных данных предоставляется по занимаемой должности работникам Ассоциации согласно Списку должностей работников Ассоциации, уполномоченных на обработку персональных данных, и несущих персональную ответственность в соответствии с законодательством РФ за нарушение режима защиты персональных данных, утверждаемому директором.

7.3.   Право на обработку персональных данных предоставляется работникам Ассоциации в соответствии с пунктом 7.2 настоящего Положения, при соблюдении следующих условий:

7.3.1. ознакомление лица, получающего право на обработку персональных данных, под роспись с Положением;

7.3.2.  ознакомление лица, получающего право на обработку персональных данных, под роспись с Перечнем сведений конфиденциального характера;

7.3.3.  представление лицом, получающим право на обработку персональных данных, обязательства о неразглашении персональных данных, по форме, прилагаемой к Положению.

7.4.   Обработка персональных данных осуществляется Ассоциацией с согласия субъектов персональных данных, за исключением следующих случаев:

7.4.1.  обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия Оператора ПДн;

7.4.2.  обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

7.4.3.  осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами;

7.4.4.  в иных случаях, предусмотренных законодательством Российской Федерации.

7.5.  Согласие субъекта персональных данных, даваемое Ассоциации на обработку его персональных данных, может быть представлено либо по утвержденной форме, либо в произвольной письменной форме, но с обязательным включением в такое согласие всех сведений, обязательных для такого согласия в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».

7.6. Сбор персональных данных осуществляется Ассоциацией в соответствии с Градостроительным кодексом Российской Федерации, Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Регламентом «О порядке ведения Национального реестра специалистов в области строительства, включения в него сведений о физических лицах, их изменения или исключения» Ассоциации «Национальное объединение строителей», Уставом Ассоциации, иными документами Ассоциации.

7.7. В случае когда персональные данные субъекта персональных данных могут быть получены только у третьей стороны, за исключением случаев, если персональные данные были предоставлены на основании федерального закона, Положения, они являются общедоступными или были предоставлены представителем субъекта персональных данных, то субъект персональных данных должен быть уведомлен Ассоциацией до обработки его персональных данных о целях, предполагаемых источниках, способах получения персональных данных, о характере подлежащих получению персональных данных, последствиях отказа субъекта персональных данных дать письменное согласие на их получение и от него должно быть получено письменное согласие.

7.8. Ассоциация не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

7.9. Персональные данные собираются, записываются, систематизируются, накапливаются, хранятся, уточняются, извлекаются, используются, передаются, обезличиваются, удаляются, уничтожаются в соответствии с внутренними регламентирующими документами Ассоциации, в том числе в соответствии с Уставом Ассоциации, Инструкцией по делопроизводству Ассоциации, иными документами Ассоциации, законодательством Российской Федерации.

7.10. Обеспечение сохранности и невозможности несанкционированного доступа к персональным данным, содержащимся на бумажных носителях, осуществляется Ассоциацией в соответствии с требованиями Постановлением Правительства РФ от 15 сентября 2008 г.       № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и в соответствии с разделом 8 Положения.

7.11.  Обработка персональных данных, содержащихся на электронных носителях в информационных системах Ассоциации, осуществляется в соответствии с Постановлением Правительства РФ от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и в соответствии с разделом 9 Положения.

8.    Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации.

 8.1. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

8.2. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в целях настоящего Положения с иными персональными данными.

8.3. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

9.    Организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

 В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных Ассоциации с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологиях, входят:

9.1.  организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

9.2.  обеспечение сохранности носителей персональных данных;

9.3.   утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

9.4.    использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;

9.5.  идентификация и аутентификация пользователей, являющихся работниками оператора; управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов; управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации; защита обратной связи при вводе аутентификационной информации; идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей);

9.6.   управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей; реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа; управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами; разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы; назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы; ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе); реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети; регламентация и контроль использования в информационной системе технологий беспроводного доступа; регламентация и контроль использования в информационной системе мобильных технических средств; управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы);

9.7.  определение событий безопасности, подлежащих регистрации, и сроков их хранения; определение состава и содержания информации о событиях безопасности, подлежащих регистрации; сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения; защита информации о событиях безопасности;

9.8.  реализация антивирусной защиты; обновление базы данных признаков вредоносных компьютерных программ (вирусов);

9.9.  контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации;

9.10.  идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации; управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин;

9.11.  контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены; размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр;

9.12.  обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи.

10.    Права субъекта персональных данных

 10.1.  Субъект персональных данных, чьи персональные данные обрабатываются Ассоциацией, имеет право на доступ к своим персональным данным путем: получения сведений об Ассоциации, месте ее нахождения, о наличии у Ассоциации персональных данных, относящихся к соответствующему субъекту персональных данных, ознакомления со своими персональными данными, обрабатываемыми Ассоциацией, за исключением случаев, предусмотренных Федеральным законом «О персональных данных» от 27 июля 2006 года № 152-ФЗ, требования от Ассоциации уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, принятия предусмотренных законом мер по защите своих прав.

10.2.  Сведения о наличии персональных данных в связи с реализацией субъектом персональных данных права на доступ к таковым предоставляются ему Ассоциацией в доступной форме, при этом, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

10.3.   Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю Ассоциацией при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством РФ.

10.4.   Субъект персональных данных имеет право на получение при обращении информации, касающейся обработки его персональных данных, в том числе содержащей:

10.4.1.  подтверждение факта обработки персональных данных Ассоциацией, а также правовые основания и цели такой обработки;

10.4.2. способы обработки персональных данных, применяемые Ассоциацией;

10.4.3. наименование и место нахождения Ассоциации, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Ассоциацией или на основании федерального закона;

10.4.4. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законом;

10.4.5. сроки обработки персональных данных, в том числе сроки их хранения;

10.4.6. порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных» от 27 июля 2006 года № 152-ФЗ;

10.4.7. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Ассоциации, если обработка поручена или будет поручена такому лицу;

10.4.8. сведения о том, каков порядок принятия решения на основании исключительно автоматизированной обработки персональных данных субъекта персональных данных, а также возможные юридические последствия такого решения, порядок защиты своих прав и законных интересов в случае возможности принятия решений на основании исключительно автоматизированной обработки персональных данных;

10.4.9.  иные сведения, если это предусмотрено законодательством Российской Федерации.

10.5.  Ассоциация в порядке, утверждаемом Исполнительным директором, может вести Журнал регистрации обращений, запросов субъектов персональных данных об ознакомлении с персональными данными. Ассоциация обязана вести Журнал регистрации обращений, запросов субъектов персональных данных об ознакомлении с персональными данными только в случае, если такая обязанность предусмотрена законом.

10.6.  Субъект персональных данных имеет право обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке действия или бездействия Ассоциации, если считает, что Ассоциация осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» от 27 июля 2006 года № 152-ФЗ или иным образом нарушает его права и свободы.

11.    Обязанности Ассоциации при обработке персональных данных

 11.1.  Ассоциация при сборе персональных данных обязана предоставить субъекту персональных данных по его просьбе информацию, предусмотренную разделом 10 настоящего Положения.

11.2.  Если обязанность предоставления персональных данных установлена федеральным законом, Ассоциация обязана разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.

11.3.  Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены на основании федерального закона, Положения, они являются общедоступными или были предоставлены представителем субъекта персональных данных, Ассоциация до начала обработки таких персональных данных обязана предоставить субъекту персональных данных следующую информацию:

11.3.1. наименование и адрес Ассоциации или его представителя;

11.3.2. цель обработки персональных данных и ее правовое основание;

11.3.3.  предполагаемые пользователи персональных данных;

11.3.4.  права субъекта персональных данных, установленные Федеральным законом «О персональных данных» от 27 июля 2006 года № 152-ФЗ;

11.3.5. источник получения персональных данных.

11.4.  Ассоциация освобождается об обязанности предоставить субъекту персональных данных информацию, предусмотренную пунктом 11.3 Положения, в случаях, если:

11.4.1.  субъект персональных данных уведомлён об обработке его персональных данных Ассоциацией;

11.4.2.  персональные данные получены Ассоциацией на основании закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

11.4.3. персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

11.4.4.  предоставление субъекту персональных данных информации, предусмотренной пунктом 11.3 Положения, нарушает права и законные интересы третьих лиц.

11.5.  Ассоциация при обработке персональных данных принимает необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий, с учетом требований устанавливаемых Правительством Российской Федерации к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

11.6.  При обращении либо при получении запроса субъекта персональных данных или его законного представителя, Ассоциация обязана сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его законного представителя. В случае отказа в предоставлении вышеуказанной информации данному субъекту персональных данных или его законному представителю при обращении либо при получении от него или его законного представителя запроса Ассоциация обязана дать в письменной форме мотивированный ответ, содержащий ссылку на основание отказа в соответствии с Федеральным законом «О персональных данных» от 27 июля 2006 года № 152-ФЗ или иным федеральным законом, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.

11.7.   Ассоциация обязана безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет Ассоциация, являются неполными, неточными, неактуальными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах Ассоциация обязана уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.

11.8.  Ассоциация обязана сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в сроки, установленные соответствующим нормативным правовым актом.

11.9.  В случае выявления неточных персональных данных или неправомерных действий с ними при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных Ассоциация обязана осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.

11.10. В случае подтверждения факта неточности персональных данных Ассоциация на основании сведений, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов, обязана уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять их блокирование.

11.11.  В случае выявления неправомерных действий с персональными данными Ассоциация в срок, не превышающий трех рабочих дней с даты такого выявления, обязана устранить допущенные нарушения.

11.12. В случае невозможности устранения допущенных нарушений Ассоциация в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязана уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Ассоциация обязана уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

12.    Передача и хранение персональных данных, доступ к персональным данным

 12.1.  При передаче персональных данных Ассоциация должна соблюдать следующие требования:

12.1.1. не сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом, Положением и Регламентом Ассоциации «Национальное объединение строителей» «О порядке ведения Национального реестра специалистов в области строительства, включения в него сведений о физических лицах, их изменения или исключения»;

12.1.2. предупредить лиц, получивших персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные, обязаны соблюдать режим секретности (конфиденциальности).

12.1.3.  осуществлять передачу персональных данных в пределах Ассоциации в соответствии с Положением;

12.1.4. разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции и цели.

12.1.5. передавать персональные данные представителям субъекта персональных данных в порядке, установленном законодательством Российской Федерации, и ограничивать эту информацию только теми персональными данными, которые необходимы для осуществления указанными представителями их полномочий.

12.2.  Хранение и использование персональных данных осуществляется в соответствии со следующими требованиями и условиями:

12.2.1.  персональные данные обрабатываются и хранятся в помещениях Ассоциации;

12.2.2. персональные данные могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде – локальной компьютерной сети и компьютерной программе;

12.2.3.  персональные данные передаются иным лицам в соответствии с целями, установленными Положением.

12.3.   Право доступа к персональным данным имеют работники Ассоциации, согласно Списку должностей работников Ассоциации, уполномоченных на обработку персональных данных, и несущих персональную ответственность в соответствии с законодательством РФ за нарушение режима защиты персональных данных, утверждаемому директором Ассоциации.

13.    Иные меры, применяемые Ассоциацией в целях защиты персональных данных

 13.1.  Ассоциация самостоятельно или с привлечением на договорной основе третьих лиц, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации, проводит оценку эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных. Указанная оценка проводится не реже, чем один раз в 3 года.

13.2.  Ассоциация назначает лицо, ответственное за организацию обработки персональных данных. Указанное лицо получает указания непосредственно от Исполнительного директора Ассоциации и подотчётно ему.

13.3.  Лицо, ответственное за организацию обработки персональных данных обязано:

13.3.1.  осуществлять внутренний контроль за соблюдением Ассоциацией и работниками Ассоциации законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

13.3.2. доводить до сведения работников Ассоциации положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

13.3.3.  организовать приём и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приёмом и обработкой таких обращений и запросов.

14.    Ответственность за нарушение норм, регулирующих обработку персональных данных

 14.1.  Лица, виновные в нарушении требований Федерального закона «О персональных данных» от 27 июля 2006 года № 152-ФЗ, несут предусмотренную законодательством РФ ответственность.

14.2. Работники Ассоциации, виновные в нарушении настоящего Положения, несут дисциплинарную ответственность независимо от фактов привлечения их к гражданской, уголовной, административной и иной, предусмотренной законодательством РФ ответственности.

15.    Заключительные положения

15.1.   Настоящее Положение вступает в силу с момента его утверждения и действует бессрочно, до внесения соответствующих изменений или признания Положения утратившим силу.

15.2.   Положение, все изменения, внесённые в Положение, решение о признании Положения утратившим силу подлежат размещению на сайте Ассоциации в сети «Интернет».

Приложение № 1

к Положению «об обработке и обеспечении безопасности 

персональных данныхАссоциацией Саморегулируемой 

организацией «Региональное объединение строителей 

Приморского края»

_________________________________________

(фамилия, имя, отчество)

_________________________________________

(адрес регистрации с почтовым индексом)

_________________________________________

(паспортные данные, орган выдавший паспорт)

СОГЛАСИЕ

на обработку персональных данных

Я,______________________________________________________________________________

                                                           (фамилия, имя, отчество)

в соответствии с требованиями статьи 9 и на основании пункта 2 части 1 статьи 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» для достижения следующих целей, предусмотренных Градостроительным кодексом Российской Федерации, Уставом Ассоциации Саморегулируемой организации «Региональное объединение строителей Приморского края» (далее – Ассоциация):

[цели в соответствии с разделом 3 Положения «об обработке и обеспечении безопасности персональных данных Ассоциацией Саморегулируемой организацией «Региональное объединение строителей Приморского края»]

даю свое согласие на обработку Ассоциацией (690003, Приморский край, г. Владивосток, ул. Станюковича, д. 3, оф. 33, ИНН 2540148118) моих персональных данных и совершения с ними соответствующих действий, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), запись, извлечение, использование, обезличивание, распространение любым, не запрещенным законом способом (в том числе передачу, опубликования на официальном интернет сайте Ассоциации), удаление и уничтожение моих персональных данных:

[категории персональных данных в соответствии с разделом 6 Положения «Об обработке и обеспечении безопасности персональных данных Ассоциацией Саморегулируемой организацией «Региональное объединение строителей Приморского края»].

Содержащее в данном заявлении согласие действует со дня подписания настоящего заявления до дня отзыва указанного согласия, которое может быть совершено путем направления письменного заявления в адрес Ассоциации. Отзыв начинает действовать с момента его получения Ассоциацией и обратной силы не имеет.

Подписывая настоящее заявление, я также заверяю, что сведения, изложенные в данном заявлении, а также прилагаемые к нему документы являются достоверными.

    «___»________ 20__ года                    ________________                  _______________________

                                                                                 (подпись)                               (расшифровка подписи)

Приложение № 2

к Положению «об обработке и обеспечении безопасности 

персональных данныхАссоциацией Саморегулируемой 

организацией «Региональное объединение 

строителей Приморского края»

ОБЯЗАТЕЛЬСТВО

о неразглашении персональных данных

Я, __________________________________________________________________________

                   (фамилия, имя, отчество, место работы, должность)

__________________________________________________________________________________________________________________________________________________________

понимаю, что получаю доступ к персональным данным, настоящим беру на себя обязательство не разглашать персональные данные, обработку которых осуществляет Ассоциация Саморегулируемая организация «Региональное объединение строителей Приморского края» (далее – Ассоциация), известные мне в настоящее время, и те, которые мне станут известны в дальнейшем в процессе деятельности.

Одновременно подтверждаю, что я под роспись ознакомлен(а) со следующими локальными актами Ассоциации:

1. Положение «Об обработке и обеспечении безопасности персональных данных Ассоциацией Саморегулируемой организацией «Региональное объединение строителей Приморского края»».

2. Перечень сведений конфиденциального характера.

3. Список должностей работников Ассоциации, уполномоченных на обработку персональных данных, и несущих персональную ответственность в соответствии с законодательством РФ за нарушение режима защиты персональных данных.

         «___»________ 20__ года               ________________                _________________

                                                                       ( подпись)                               (расшифровка подписи)