ПОЛОЖЕНИЕ Оператора национального реестра специалистов в области строительства об обработке и защите персональных данных
«УТВЕРЖДЕНО»
решением Совета Ассоциации «ОСОКО»
протокол № 12/2020 от 19.11.2020г. вопрос № 1
ПОЛОЖЕНИЕ
Оператора национального реестра
специалистов в области строительства
об обработке и защите персональных данных
город Кемерово
2020г.
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение устанавливает политику Ассоциации «ОСОКО» (далее – Оператор) на основании договора поручения, заключенного с Ассоциацией «Общероссийская негосударственная некоммерческая организация – общероссийское отраслевое объединение работодателей «Национальное объединение саморегулируемых организаций, основанных на членстве лиц, осуществляющих строительство» (далее – Ассоциация) осуществлять часть функций Ассоциации по ведению Реестра специалистов в отношении приема, обработки, хранения и защиты информации, касающейся персональных данных физических лиц, подавших заявление о включении сведений в национальный реестр специалистов в области строительства, порядок их обработки до передачи Оператором в Ассоциацию, а так же информацию об исключении из данного реестра.
1.2 Политика обработки персональных данных Оператором определяет основные принципы, цели, условия и способы обработки персональных данных, перечни обрабатываемых персональных данных, функции Оператора при обработке персональных данных, права субъектов персональных данных, а также реализуемые Оператором требования к защите персональных данных.
1.2.1 Обработка персональных данных у Оператора осуществляется на основе следующих принципов:
-обработка персональных данных осуществляется на законной и справедливой основе;
-обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей, не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
-обработке подлежат только персональные данные, которые отвечают целям их обработки;
-содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки;
- обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
-при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
-Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных, или неточных данных;
-хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных;
-обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
1.3 Положение разработано с учетом требований Конституции РФ, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных:
- Федеральный закон РФ «О персональных данных» № 152-ФЗ от 27.07.2006 г.
- Закон «Об информации, информационных технологиях и о защите информации» № 149-ФЗ от 27.07.2006 г.
- Федеральный закон от 22.10.2004 N 125-ФЗ «Об архивном деле в Российской Федерации».
- Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
1.4. Лица, связанные с реализацией норм Положения, должны быть ознакомлены с Положением под роспись в листе ознакомления (Приложение №1).
1.5. Оператор ведет свою деятельность по адресу: 650070, г. Кемерово, пр. Молодежный, дом 17.
1.6 Оператор осуществляет взаимодействие с Ассоциации, а также с органами государственной власти и иными лицами по вопросам, связанным с ведением Реестра специалистов.
2. ОСНОВНЫЕ ПОНЯТИЯ
2.1. Персональные данные — информация, сохраненная в любом формате, относящаяся к определенному физическому лицу (субъекту персональных данных), которая сама по себе или в сочетании с другой информацией, имеющейся в распоряжении Оператора, позволяет идентифицировать личность субъекта персональных данных.
2.2. Субъект персональных данных (заявитель) – физическое лицо, к которому относятся соответствующие персональные данные.
2.3. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.4 Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
2.5. Оператор — юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.6. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.7. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.8. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.9 Защита персональных данных — деятельность Оператора по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер конфиденциальности информации.
2.10 Конфиденциальность персональных данных — обязательное для соблюдения лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
2.11 Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
3. СОСТАВ, ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1 К персональным данным, сбор и обработку которых осуществляет Оператор, относятся: - анкетные данные (фамилия, имя, отчество, дата и место рождения); - паспортные данные; - адрес регистрации; - адрес места жительства; - номер контактного телефона; сведения об образовании, повышении квалификации, месте работы и иные данные, которые относятся к образованию и профессиональной деятельности физического лица.
3.2 Оператор осуществляет обработку персональных данных заявителя по поручению Ассоциации на основании заключенного с Ассоциацией договора в соответствии с частью 3 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Обработка персональных данных заключается в получении, систематизации, накоплении, хранении, использовании, распространении, обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа персональных данных.
3.3 Согласие на обработку персональных данных не требуется в случаях, установленных Законом.
3.4 Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных (Приложение №2) может быть дано субъектом персональных данных или его представителем в любом виде, позволяющем подтвердить факт его получения.
3.5 Обработка полученных персональных данных ведется методом смешанной обработки.
3.6 К обработке персональных данных могут иметь доступ только лица, назначенные Оператором и допущенные к работе с персональными данными субъектов персональных данных.
3.7 Перечень ответственных лиц Оператора, имеющих доступ к персональным данным, определяется Приказом уполномоченного лица Оператора.
4. ПОРЯДОК ПРИЕМА ЗАЯВЛЕНИЯ О ВКЛЮЧЕНИИ СВЕДЕНИЙ В РЕЕСТР СПЕЦИАЛИСТОВ
4.1 Подача заявления и документов о включении сведений в Реестр специалистов осуществляется Заявителем или его представителем, уполномоченным соответствующим образом в соответствии с нормами Гражданского Кодекса РФ, в письменной форме или в форме электронных документов через Оператора.
4.2 При поступлении заявления о включении сведений в Реестр специалистов Оператор:
- устанавливает личность заявителя или его представителя по предъявляемому им документу, удостоверяющему личность;
- принимает заявление о включении сведений в Реестр специалистов и приложенные к нему документы;
- проводит формальную экспертизу, включающую в себя проверку соблюдения требований к подписанию заявления о включении сведений в Реестр специалистов, наличия документов позволяющих их идентифицировать и должного заверения копий предоставляемых документов;
- возвращает заявление о включении сведений в Реестр специалистов, если в результате формальной экспертизы будет установлено несоответствие такого заявления и приложенных к нему документов.
Уведомление о возвращении в течение 5 рабочих дней со дня поступления заявления и документов должно быть направлено заявителю или его представителю на указанный в заявлении адрес электронной почты с указанием причин возврата, а также указанием на возможность получить оригиналы заявления и приложенных к нему документов по месту нахождения Оператора.
Возвращение заявления о включении сведений в Реестр специалистов не препятствует повторному обращению с таким заявлением после устранения причин возврата;
- при установлении соответствия заявления о включении сведений в Реестр специалистов направляет с использованием специального программного обеспечения (далее – СПО) в Ассоциацию электронные копии заявления о включении сведений в Реестр специалистов и приложенных к заявлению документов в течение 4 рабочих дней со дня их поступления Оператору;
- в течение 10 рабочих дней с момента направления документов в Ассоциацию с использованием СПО, направляет соответствующее заявление и приложенные к нему документы на бумажных носителях в Ассоциацию по почте или курьером с условием подтверждения доставки корреспонденции адресату.
- Ассоциация не позднее дня, следующего за днем поступления от Оператора через СПО заявления о включении сведений в Реестр специалистов, вносит в Автоматизированную информационную систему ведения Национального реестра специалистов (далее – АИС НРС) сведения о Заявителе, заявлении о включении сведений в Реестр специалистов и предоставленных документах.
4.3 Моментом подачи заявления о включении сведений в Реестр специалистов считается момент поступления заявления Оператору.
4.4 При направлении заявления и документов в форме электронных документов, последние должны быть заверены усиленной квалифицированной электронной подписью лиц, заверяющих документы.
4.5 Ассоциация не проводит формальную экспертизу заявления о включении сведений в Реестр специалистов и приложенных к нему документов при их поступлении в Ассоциацию через Оператора.
5. ИСПОЛЬЗОВАНИЕ, ПЕРЕДАЧА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1 Использование персональных данных осуществляется Ассоциацией, исключительно для достижения целей реализации функций Оператора в области строительства.
5.2. При передаче персональных данных субъектов персональных данных Оператор должен соблюдать следующие требования:
- оказание заявителям консультативной помощи по порядку подачи и оформления заявлений, для внесении сведений в Реестр специалистов;
- прием заявления о включении сведений в Реестр специалистов и приложенных к нему документов; об изменении или исключении сведений, содержащихся в Реестре специалистов;
- проведение формальной экспертизы заявления о включении сведений в Реестр специалистов и приложенных к нему документов;
-внесение сведений из документов, в СПО и их передача на рассмотрение в Ассоциацию;
- направление оригиналов заявления и приложенных к нему документов в адрес Ассоциации в соответствии с Разделом 4 настоящего Положения.
- предупредить лиц, получающих персональные данные субъектов персональных данных о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
5.3 Персональные данные субъектов, обратившихся к Оператору с заявлением о включении по ним сведений в Реестр специалистов в области строительства, хранятся в электронном виде в локальной компьютерной сети Ассоциации, а так же на бумажных носителях в подлинных экземплярах.
Оператор передает в Ассоциацию электронные копии заявления о включении сведений в Реестр специалистов и приложенных к нему документов через СПО, а так же почтой России.
5.4 Персональные данные на бумажных носителях хранятся по месту нахождения Ассоциации, в соответствии с РЕГЛАМЕНТОМ о порядке ведения национального реестра специалистов в области строительства, включения в него сведений о физических лицах, их изменения или исключения (далее - РЕГЛАМЕНТ).
5.5 Документы, принятые Операторами, связанные с ведением Реестра специалистов, подлежат направлению в Ассоциацию в течение пяти рабочих дней со дня их принятия за исключением случаев, предусмотренных РЕГЛАМЕНТОМ.
5.6 Разрешать доступ к персональным данным субъектов персональных данных только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций.
5.7. Не допускается отвечать на вопросы, связанные с передачей информации, содержащей персональные данные, по телефону, факсу или иным способом.
5.8 Ассоциация вправе предоставлять или передавать персональные данные субъектов персональных данных третьим лицам в следующих случаях:
- если раскрытие этой информации требуется для соблюдения закона, выполнения судебного акта;
- для оказания содействия в проведении расследований, осуществляемых правоохранительными или иными государственными органами;
- для защиты законных прав субъектов персональных данных и Ассоциации.
Оператор передает в Ассоциацию электронные копии заявления о включении сведений в Реестр специалистов и приложенных к нему документов через СПО.
6. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА
6.1. Оператор обязан при обработке персональных данных принимать необходимые организационные и технические меры для защиты персональных данных от несанкционированного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения персональных данных, а также от иных неправомерных действий.
В частности:
- назначить лиц, ответственных за организацию и обеспечение безопасности персональных данных;
- разработать Положение Оператора национального реестра специалистов в области строительства об обработке и защите персональных данных;
- проинструктировать лиц, ведущих обработку персональных данных с нормативными правовыми актами, регламентирующими порядок работы и защиты персональных данных.
- разграничить права доступа к обрабатываемым персональным данным;
- в целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям проводить периодические проверки условий обработки персональных данных;
6.2. Документы, содержащие персональные данные субъектов персональных данных, хранятся по месту нахождения Оператора, с обеспечением защиты от несанкционированного доступа.
6.3. Защита доступа к электронным базам данных, содержащим персональные данные обеспечивается:
- использованием лицензионных программных продуктов, предотвращающих несанкционированный доступ третьих лиц к персональным данным клиентов;
- системой паролей. Пароли устанавливаются и сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным.
7. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Сведения о персональных данных, являются конфиденциальными.
7.2. Оператор обеспечивает конфиденциальность персональных данных и обязан не допускать их распространения третьими лицами без согласия субъектов персональных данных либо наличия иного законного основания.
7.3. Лица, имеющие доступ к персональным данным, обязаны соблюдать режим конфиденциальности, а так же предусматривать соответствующие меры безопасности для защиты данных от случайного или несанкционированного уничтожения, от случайной утраты, доступа к ним, изменения или распространения.
7.4. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъектов персональных данных распространяются на все носители информации, как на бумажные, так и на автоматизированные с установлением пароля на вход для пользователя.
7.4.1 Доступ к журналу регистрации субъекта персональных данных, в отношении которого ведется сбор, обработка и хранение персональных данных, осуществляется в электронном табличном виде в формате Excel, через пароль.
7.4.2 Документы в отношении субъекта персональных данных хранятся в отдельном кабинете (№404), доступ в который осуществляется только уполномоченными на то лицами.
7.5. Режим конфиденциальности персональных данных снимается в случаях обезличивания или включения их в общедоступные источники персональных данных.
8. ОТВЕТСТВЕННОСТЬ ОПЕРАТОРА ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Оператор несет ответственность за персональную информацию, которая находится в ее распоряжении и закрепляет персональную ответственность лиц, осуществляющих обработку персональных данных, за соблюдением установленного режима конфиденциальности.
8.2. Каждое ответственное лицо, получающий для работы документы, содержащие персональные данные субъектов персональных данных, несет единоличную ответственность за сохранность носителя конфиденциальной информации.
8.3. Субъекты персональных данных могут обратиться к Оператору с жалобой на нарушение данного Положения. Жалобы и заявления по поводу соблюдения требований обработки данных рассматриваются в трехдневный срок со дня поступления.
8.4. Уполномоченное лицо Оператора обязано на должном уровне обеспечивать рассмотрение запросов, заявлений и жалоб субъектов персональных данных, а также содействовать исполнению требований компетентных органов.
8.5 Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъектов персональных данных, несут дисциплинарную, административную ответственность в соответствии с Федеральным законом.
9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
9.1. Настоящее Положение утверждается Оператором самостоятельно.
9.2. Настоящее Положение вступает в силу с момента его утверждения.
9.3. В срок не позднее, чем через три рабочих дня со дня принятия настоящего Положения, оно подлежит размещению на сайте Оператора в сети «Интернет».
9.4. В случае, если законами и иными нормативными актами Российской Федерации, а также Уставом Оператора установлены иные правила, чем предусмотрены настоящим Положением, применяются правила, установленные законами и иными нормативными актами Российской Федерации, а также Уставом Оператора.
Приложение №1
К ПОЛОЖЕНИЮ Оператора национального реестра специалистов
в области строительства
об обработке и защите персональных данных
ЛИСТ ОЗНАКОМЛЕНИЯ
|
Ф.И.О.
|
Личная подпись |
Дата ознакомления |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Приложение №2
К ПОЛОЖЕНИЮ Оператора национального реестра специалистов
в области строительства
об обработке и защите персональных данных
ФОРМА ОЗНАКОМЛЕНИЯ
с условиями обработки персональных данных заявителя на включение в Национальный реестр специалистов
Я, _____________________________________________________________________________
(фамилия, имя, отчество)
(далее – «Субъект») подтверждаю, что ознакомлен с обработкой моих персональных данных (далее – «ПД») Ассоциацией, ОГРН: 1097799041482, расположенной по адресу: Российская Федерация, 123242, г. Москва, ул. Малая Грузинская, д. 3. на условиях, указанных далее.
Цель обработки ПД: рассмотрение заявительной документации, предоставленной Субъектом, и ведение Ассоциацией Национального реестра специалистов во исполнение требований Градостроительного кодекса РФ от 29.12.2004 № 190-ФЗ и Регламента о порядке ведения национального реестра специалистов в области строительства, включения в него сведений о физических лицах (далее – «Регламент НРС»).
Категории обрабатываемых ПД:
ФИО, дата и место рождения
Страховой номер индивидуального лицевого счета (СНИЛС)
Сведения об образовании, сведения о профессии, сведения о трудовом и общем стаже, вид осуществляемых работ
Сведения о разрешении на работу (для иностранных граждан)
Адрес регистрации по месту проживания, адрес фактического проживания
Сведения о документе, удостоверяющем личность
Адрес электронной почты, номер контактного телефона
Идентификационный номер в «АИС НРС»
Сведения о судимости
Дата внесения в реестр, дата исключения
Иные данные, которые Субъект предоставляет по собственной инициативе:
_______________________________________________________________________
(укажите категории ПД)
Перечень действий с ПД: получение, сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение.
В соответствии с требованиями Градостроительного кодекса РФ от 29.12.2004 № 190-ФЗ Ассоциация вправе включать в общедоступный источник (Национальный реестр специалистов, размещенный на сайте Ассоциации) следующие ПД Субъекта: идентификационный номер, ФИО, дата внесения, дата исключения, вид осуществляемых Субъектом работ, статус.
Способы обработки ПД: обработка с использованием средств автоматизации и без использования средств автоматизации, а также смешанная обработка.
Третьи лица, которым Ассоциация может передавать ПД: если Субъект направляет заявительные документы через СРО - операторов Национального реестра специалистов, такие СРО вправе осуществлять обработку ПД Субъекта по поручению Ассоциации (в т.ч. осуществлять получение ПД у субъекта, их передачу в Ассоциацию, отслеживание статуса заявления и иные действия, предусмотренные Регламентом НРС). Перечень СРО-операторов Национального реестра специалистов указан на сайте Ассоциации.
Ассоциация вправе передавать ПД Субъекта государственным органам в соответствии с их запросами, а также образовательным учреждениям и правоохранительным органам для проверки в соответствии с Регламентом НРС.
Источники ПД: Ассоциация вправе получать ПД от Субъекта, представителя Субъекта, а также от третьих лиц – образовательных учреждений и правоохранительных органов в соответствии с Регламентом НРС.
Срок обработки ПД: в течение срока рассмотрения заявления и 2 лет после окончания года, в котором принято решение. В случае включения Субъекта в Национальный реестр специалистов Ассоциация осуществляет обработку ПД в течение всего срока ведения Национального реестра специалистов.
«___» _______________ 20___ г. Подпись ___________________________
Положение ОПЕРАТОРА о защите инф.pdf: Загрузить