УТВЕРЖДЕНО

Решением

Общего Собрания

 членов Ассоциации

№ 02 от 02 февраля 2025 г.

ПОЛОЖЕНИЕ

Некоммерческой корпоративной организации “Ассоциация участников рынка малоэтажного и индивидуального жилищного строительства” об обработке, защите и хранении персональных данных

г. Москва

2025 г.

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение об обработке, защите и хранении персональных данных (далее - Положение) НКО «Ассоциация участников рынка малоэтажного и индивидуального жилищного строительства»  (далее - Ассоциация) разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27.07.2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», Федеральным законом от 07.08.2001 N 115-ФЗ (ред. от 19.10.2023) «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»,  иными нормативно-правовыми актами, действующими на территории Российской Федерации.
1.2. Цель разработки Положения - определение порядка обработки и предоставления персональных данных в  Ассоциации; обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований, регулирующих обработку и защиту персональных данных.
1.3. Режим конфиденциальности персональных данных снимается в случаях их обезличивания или по истечении 75-летнего срока их хранения, если иное не определено законом.

2. ОСНОВНЫЕ ПОНЯТИЯ, ИСПОЛЬЗУЕМЫЕ В ПРИЛОЖЕНИИ

2.1. В целях применения настоящего Положения используются следующие основные понятия и определения с учетом особенностей отношений в Ассоциации:
- «персональные данные» - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, в соответствии с действующим законодательством РФ;
- «оператор персональных данных» - Некоммерческая корпоративная организация «Ассоциация участников рынка малоэтажного и индивидуального жилищного строительства», которая собирает, хранит и обрабатывает персональные данные;
- «субъект персональных данных» - любое физическое лицо, обладающее соответствующими персональными данными;
- «обработка персональных данных» - совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение персональных данных;
- «распространение персональных данных» - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- «предоставление персональных данных» - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц, путем предоставления копий документов оператором персональных данных;
- «использование персональных данных» - действия (операции) с персональными данными, совершаемые должностным лицом  Ассоциации в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
- «документы содержащие персональные данные» - любые документы и их копии, содержащие персональные данные.
- «блокирование персональных данных» - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- «уничтожение персональных данных» - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- «обезличивание персональных данных» - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
- «информационная система персональных данных» - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- «конфиденциальность персональных данных» - обязательное требование надлежаще соблюдать правила обработки персональных данных, хранения персональных данных, не допускать их распространения без согласия субъекта или иного законного основания, а также обеспечение оператором необходимого режима;
- «общедоступные персональные данные» - персональные данные, доступ неограниченного круга лиц к которым, предоставлен с согласия субъекта персональных данных, или на которые, в соответствии с федеральными законами, не распространяется требование соблюдения конфиденциальности;
- «информация» - сведения (сообщения, данные) независимо от формы их представления;
- «доступ к информации» - возможность получения информации о персональных данных и ее использования;
- «документированная информация» - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель,

3. ЦЕЛИ И ЗАДАЧИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Оператором, организующим и осуществляющим обработку персональных данных, является Ассоциация.
3.2. Целями обработки персональных данных в  Ассоциации являются:
3.2.1. Установление личности гражданина Российской Федерации или лица, не имеющего гражданства Российской Федерации (идентификация), в целях выяснения:
- личности гражданина Российской Федерации или лица, не имеющего гражданства Российской Федерации, с которым заключаются трудовые или гражданско-правовые отношения, подготовка и предоставление в соответствующие органы отчетности в том числе: налоговой, бухгалтерской в Фонд пенсионного и социального страхования РФ, Федеральный фонд обязательного медицинского страхования РФ и исполнения договорных обязательств.
3.2.2. В целях обращения в суд или прочие государственные органы, организации и учреждения за защитой нарушенных прав;
3.3. В  Ассоциации к персональным данным относятся:
- для лиц, с которым заключаются или заключены трудовые или гражданско-правовые отношения.
3.3.1. Сведения, содержащиеся в документах, удостоверяющих личность;
3.3.2. Информация, содержащаяся в страховом свидетельстве пенсионного страхования (СНИЛС);
3.3.3. Информация, содержащаяся в свидетельстве о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации (ИНН);
3.3.4. Информация о состоянии здоровья в случаях, предусмотренных действующим законодательством;
3.3.5. Сведения о месте жительства, месте временного пребывания и месте регистрации субъекта;
3.3.6. Информация, содержащаяся в трудовой книжке;
3.3.7. Сведения об образовании, квалификации и/или наличии специальной подготовки;
3.3.8. Сведения о заработной плате работников  Ассоциации;
3.3.9. Сведения о номере действующего телефона, а также адресе электронной почты (e-mail).

4. СУБЪЕКТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. К субъектам персональных данных применительно к Ассоциации относятся следующие категории физических лиц:
4.1.1. Кандидаты для приема на работу;
4.1.2. Работники  Ассоциации (их ближайшие родственники);
4.1.3. Контрагенты;
4.1.4. Члены Ассоциации.
4.1.5. Представители, чьи полномочия оформлены в соответствии с требованиями закона или действующего Устава  Ассоциации.
4.1.6. Посетители WEB сайта  Ассоциации изъявившие желание заполнить форму заявки с целью:
- вступления в члены Ассоциации;
- получения консультации по возможностям вступления.
4.2. Все персональные данные субъекта оператору следует получать у него самого. Если персональные данные возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие на передачу и обработку персональных данных. Должностное лицо Ассоциации должно сообщать субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа дать письменное согласие на их получение.
4.3. Субъект персональных данных самостоятельно принимает решение о предоставлении своих персональных данных и дает согласие на их обработку. Обработка указанных персональных данных возможна только с согласия субъектов персональных данных.
4.4. Субъекты персональных данных не должны отказываться от своих прав на сохранение и защиту конфиденциальной информации.
4.5. Согласие на обработку персональных данных оформляется в письменном виде по форме, установленной в настоящем положении  Ассоциации.
4.6. Письменное согласие не требуется, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.
4.7. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных по письменному требованию на имя председателя  Ассоциации с условием надлежащей регистрации входящей и исходящей корреспонденции, предусмотренной в  Ассоциации.
4.8. Субъект персональных данных имеет право на получение следующей информации:
- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
- перечень обрабатываемых персональных данных;
- сроки обработки персональных данных, в том числе сроки их хранения;
4.9. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
4.10. Сведения о персональных данных должны быть предоставлены субъекту персональных данных Ассоциацией в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
4.11. Доступ к своим персональным данным предоставляется субъекту персональных данных оператором при получении письменного запроса субъекта персональных данных или его законного представителя, опекуна, попечителя. Письменный запрос должен быть адресован на имя председателя Ассоциации.

5. ПОРЯДОК СБОРА, ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Установленная в Ассоциации форма согласия на обработку персональных данных указывает конкретную цель их обработки и состав, достаточный для достижения указанных целей.
5.2. В случае принятия субъектом решения об отказе в предоставлении согласия на обработку персональных данных и вследствие этого не предоставление таких данных, такой субъект несет риск отнесения на него расходов Ассоциации, связанных с получением персональных данных для их обработки в целях осуществления возможного участия лица в гражданском судопроизводстве а также для последующего исполнения судебного акта (в соответствие с п. 3, 3.1 ч. 1 ст. 6 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»).
5.3. Персональные данные могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
5.4. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

6. ПРЕДОСТАВЛЕНИЕ ДОСТУПА К ПЕРСОНАЛЬНЫМ ДАННЫМ

6.1. Право доступа к персональным данным субъектов имеют:
- Генеральный директор Ассоциации;
- главный бухгалтер;
6.2. Доступ работников Ассоциации к персональным данным субъектов в случаях необходимости их трудовой деятельности осуществляется после ознакомления с настоящим положением и оформления письменного обязательства о соблюдении конфиденциальности по установленной в Ассоциации форме.
6.3. В случае предоставления доступа к документам, содержащим персональные данные, конкретным лицам, не являющимся работниками Ассоциации и не осуществляющим функции государственных или муниципальных органов, такой доступ предоставляется после подписания письменного обязательства о соблюдении конфиденциальности персональных данных по установленной в Ассоциации форме.

7. ПОРЯДОК ПРЕДОСТАВЛЕНИЯ ИНФОРМАЦИИ/ДОКУМЕНТОВ, СОДЕРЖАЩИХ ПЕРСОНАЛЬНЫЕ ДАННЫЕ

7.1. В соответствии с действующим законодательством Российской Федерации персональные данные Ассоциации могут быть предоставлены без согласия субъекта персональных данных правоохранительным, судебным и иным государственным органам и другим учреждениям в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, а также в случаях, установленных федеральным законом по письменному запросу в Ассоциацию.
7.2. Распространение информации или документов, содержащих персональные данные, третьей стороне, то есть неопределенному кругу лиц, в Ассоциации не осуществляется вследствие чего отдельного согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в Ассоциации не оформляется.

8. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ДАННЫХ

8.1. В случае раскрытия предоставления, распространения персональных данных, полученных от Ассоциации, на основании обязательства о соблюдении конфиденциальности членом Ассоциации или собственником участка, не являющегося членом Ассоциации, ответственность за возможный вред, причиненный субъектам персональных данных, несут лица, осуществившие их передачу или иную обработку.
8.2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных либо обработка персональных данных с нарушением установленных действующим законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, влечет наложение административного штрафа на должностных лиц в размере предусмотренном ч. 2 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях Российской Федерации.
8.3. Обработка персональных данных несовместимая с целями сбора персональных данных влечет наложение административного штрафа на должностных лиц в размере, предусмотренном ч.1 ст. 13.11 КоАП РФ.
8.4. За прочие нарушения, допущенные в области защиты персональных данных, предусмотрена соответствующая ответственность, предусмотренная ст. 13.11 КоАП РФ в зависимости от состава административного правонарушения.
8.5. Генеральный директор, Главный бухгалтер  Ассоциации, ответственные за обработку персональных данных, не несут ответственность за утерю, несанкционированный доступ и распространение персональных данных, в случае, если вышеуказанные последствия произошли вследствие аварии, стихийного бедствия, экстремальной ситуации, противоправных действий третьих лиц и другой непреодолимой силы, приведшей к таким последствиям.
8.6. Субъект, предоставивший Ассоциации заведомо подложные документы, либо сообщил заведомо ложные сведения о себе, несет ответственность в соответствии с законодательством Российской Федерации, при этом Ассоциация может обратиться в правоохранительные и иные контролирующие органы для привлечения данного лица к ответственности.
          8.7. Риск угрозы утери или получения несанкционированного доступа посторонних лиц к персональным данным субъекта персональных данных создают стихийные бедствия, экстремальные ситуации, аварии технических средств и линий связи, другие объективные обстоятельства, а также халатное отношение к обработке персональных данных лицами, ответственными за их сохранность.
         8.8. В качестве мер по обеспечению безопасности персональных данных при их обработке, предусмотренных ст. 19 ФЗ-152, необходимо соблюдать:
- ограничение круга лиц, имеющих доступ к персональным данным;
- наличие необходимых условий в помещении для работы с документами.

9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

9.1. Настоящее Положение вступает в силу с даты его утверждения Решением единственного участника НКО «Ассоциация участников рынка малоэтажного и индивидуального жилищного строительства».
9.2. Внесение изменений и дополнений в настоящее Положение осуществляется по решению единственного участника НКО «Ассоциация участников рынка малоэтажного и индивидуального жилищного строительства».
9.3. В случае изменения законодательства Российской Федерации, регулирующего деятельность оператора, Положение применяется в части, не противоречащей действующему на момент его применения законодательству Российской Федерации.
9.4. Положение подлежит пересмотру в случае принятия новых, либо внесения изменений и дополнений в действующие законодательные акты Российской Федерации