Ассоциация СФПП | Инновации для здоровья нации
Ассоциация «Союз разработчиков
производителей и дистрибьюторов
специализированных и функциональных
пищевых продуктов»
Стать членом Ассоциации

Политика обработки персональных данных

1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее по тексту — Политика) Ассоциации «Союз разработчиков, производителей и дистрибьюторов специализированных и функциональных пищевых продуктов» (Ассоциация «СФПП»), юридический адрес: 129515, г. Москва, ул. Академика Королева, дом 13, стр. 1, ИНН 9717188070, ОКПО 86880111, (далее – Ассоциация, Ассоциация «СФПП») разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Трудовым кодексом Российской Федерации, Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Правилами внутреннего трудового распорядка Ассоциации и иными федеральными законами и нормативно-правовыми актами в области персональных данных.

1.2. Настоящая «Политика обработки персональных данных в Ассоциации «СФПП» разработана с целью обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных.

1.3. Настоящая Политика определяет политику Ассоциации в отношении обработки персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных, а также включает в себя перечень мер, применяемых Ассоциацией в целях обеспечения безопасности персональных данных при их обработке.

Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящей Политикой, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.

1.4. Действие настоящей Политики не распространяется на отношения, возникающие при:

  • организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных фондов;
  • обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;
  • предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22.12.2008 N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».

1.5. Порядок ввода в действие и изменения Политики:

1.5.1. Настоящая Политика вступает в силу с момента её утверждения Президентом Ассоциации и действует бессрочно, до замены его новой Политикой.

1.5.2. Все изменения в Политику вносятся Президентом Ассоциации.

1.6. Все работники Ассоциации должны быть ознакомлены с настоящей Политикой под роспись.

1.7. Настоящая Политика размещается на общедоступном ресурсе – на сайте Ассоциации https://sfpp.ru/

2. Цель настоящей «Политики обработки персональных данных в Ассоциации «СФПП»

2.1. Целью настоящей Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

3. Основные понятия и состав персональных данных

3.1. Для целей настоящей Политики используются следующие основные понятия:

  • кандидат – физическое лицо, претендующее на вступление в Ассоциацию, персональные данные которого приняты в работу;
  • персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных); в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
  • Ассоциация — юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
  • документы по личному составу, которые подлежат хранению в Ассоциации – архивные документы, отражающие трудовые отношения работника с работодателем;
  • автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
  • информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
  • распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
  • предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • использование персональных данных — действия (операции) с персональными данными, совершаемые должностным лицом Ассоциации в целях принятия решений или совершения иных действий, порождающих юридические последствия либо иным образом затрагивающих права и свободы субъектов персональных данных или права и свободы других лиц;
  • блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
  • обезличивание персональных данных — обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
  • персональные данные, разрешенные субъектом персональных данных для распространения — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом № 519-ФЗ от 30.12.2020 г.;
  • информация — сведения (сообщения, данные) независимо от формы их представления;
  • документированная информация — зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

3.2. В состав персональных данных входят:

  • персональные данные работников Ассоциации (действующих, бывших);
  • персональные данные кандидатов Ассоциации;
  • персональные данные субъектов, обработка которых предусмотрена договорными отношениями субъекта или его представителя с Ассоциацией.

3.2.1. Персональные данные кандидата на вступление в Ассоциацию и участника включают в себя: Ф.И.О., сведения о дате и месте рождения, информацию о паспортных данных, информация о трудовой деятельности, месте регистрации и фактического проживания, контактный телефон, фото и видеоматериалы с изображением работников.

3.2.2. Персональные данные субъекта, обработка которых предусмотрена договорными отношениями субъекта или его представителя с Ассоциацией включает в себя: Ф.И.О и паспортные данные, контактный телефон, адрес регистрации/местонахождения.

3.3. Информация, представляемая кандидатом при вступлении в Ассоциацию, должна иметь документальную форму. При заключении трудового договора в соответствии со статьей 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:

  • паспорт или иной документ, удостоверяющий личность;
  • трудовую книжку и (или) сведения о трудовой деятельности, в том числе в электронном виде, за исключением случаев, когда трудовой договор заключается впервые или Работник поступает на работу на условиях совместительства;
  • страховое свидетельство государственного пенсионного страхования;
  • ИНН;
  • документы воинского учета — для военнообязанных и лиц, подлежащих воинскому учету;
  • документ об образовании, о квалификации или наличии специальных знаний — при поступлении на работу, требующую специальных знаний или специальной подготовки;
  • заключения предварительного медицинского осмотра перед приемом на работу.

3.4. При оформлении работника в Ассоциацию работниками, имеющими доступ к персональным данным работников, уполномоченные приказом руководителя, заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:

  • общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, состав семьи и даты рождения членов семьи, паспортные данные, контактный телефон);
  • сведения о воинском учете;
  • данные о приеме на работу (табельный номер, дата приема, наименование структурного подразделения, должность/профессия, размер должностного оклада, дата и номер приказа о приеме на работу).

В дальнейшем в личную карточку вносятся:

  • сведения о переводах на другую работу;
  • сведения об аттестации;
  • сведения о повышении квалификации;
  • сведения о профессиональной переподготовке;
  • сведения о наградах (поощрениях), почетных званиях;
  • сведения об отпусках;
  • сведения о социальных гарантиях и льготах;
  • сведения об изменении места жительства, паспортных данных и контактных телефонах,
  • сведения об увольнении (основание прекращения трудового договора, дата расторжения договора, дата и номер приказа об увольнении).

3.5. Работники Ассоциации, уполномоченные приказом руководителя и имеющие доступ к персональным данным, создаются и хранятся следующие группы документов, содержащие данные в единичном или сводном виде:

  • резюме для проведения собеседований с кандидатом на должность;
  • документы, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;
  • подлинники и копии приказов по личному составу;
  • трудовые книжки работников;
  • дела, содержащие основания к приказам по личному составу;
  • дела, содержащие материалы аттестации работников;
  • дела, содержащие материалы служебных расследований;
  • справочно-информационный банк данных по персоналу (картотеки, журналы);
  • подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Общества, руководителям структурных подразделений;
  • копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения;
  • документация по организации работы структурных подразделений (должностные инструкции работников);
  • документы по планированию, учету, анализу и отчетности в части работы с персоналом Общества;
  • заключения предварительного медицинского осмотра перед приемом на работу.

4. Принципы обработки персональных данных в Ассоциации

4.1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

4.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

4.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

4.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

4.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Ассоциация должна принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

4.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.8. Срок хранения персональных данных в электронном и бумажном виде соответственно:

  • делопроизводством после 1 января 2003 года, хранятся 50 лет;
  • персональные данные кандидатов на вступление в Ассоциацию — в случае отказа — уничтожаются в течение 30 дней после принятия вышеуказанного решения;
  • персональные данные субъектов, обработка которых предусмотрена договорными отношениями, хранятся до истечения срока, предусмотренного Соглашением об обработке персональных данных или до достижения целей обработки.

5. Условия обработки персональных данных в Ассоциации

5.1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» в действующей редакции и настоящей Политикой. Обработка персональных данных допускается в следующих случаях:

  • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
  • обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Ассоциацию функций, полномочий и обязанностей;
  • обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
  • обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
  • обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном федеральным законодательством в действующей редакции;
  • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

6. Конфиденциальность персональных данных

6.1. Ассоциация и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом или соглашением (согласием) об обработке персональных данных.

7. Общедоступные источники персональных данных

7.1. В целях информационного обеспечения в Ассоциации могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото- и видеоизображения, а также иные персональные данные, сообщаемые субъектом персональных данных.

7.2. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Ассоциацией неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ Ассоциации в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.

7.3. Ассоциация обязана в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

7.4. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только Оператором, которому оно направлено.

8. Согласие субъекта персональных данных на обработку его персональных данных

8.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

8.2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в действующей редакции.

8.3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в действующей редакции, возлагается на Оператора.

8.4. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

  • фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес Ассоциации, получающего согласие субъекта персональных данных;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Ассоциацией способов обработки персональных данных;
  • срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
  • подпись субъекта персональных данных.

8.5. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

8.6. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

8.7. Согласие не требуется в следующих случаях:

  • обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия работодателя;
  • обработка персональных данных осуществляется в целях исполнения трудового договора;
  • обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно;
  • обработка персональных данных осуществляется в соответствии с договорными отношениями с субъектом персональных данных.

8.8. Ассоциация не имеет права получать и обрабатывать персональные данные субъекта о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьёй 24 Конституции Российской Федерации, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

9. Цели обработки персональных данных, категории (перечни) обрабатываемых персональных данных

9.1. Персональные данные обрабатываются с целью применения и исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ними отношений, в том числе:

  • при содействии в трудоустройстве;
  • ведении кадрового и бухгалтерского учета;
  • содействии работникам в получении образования и продвижении по службе;
  • оформлении награждений и поощрений;
  • предоставлении со стороны Ассоциации установленных законодательством условий труда, гарантий и компенсаций;
  • заполнении и передаче в уполномоченные органы требуемых форм отчетности;
  • обеспечении личной безопасности работников и сохранности имущества;
  • осуществлении контроля за количеством и качеством выполняемой работы.

9.2. В соответствии с целью, указанной в п. 9.1 Политики, в Ассоциации обрабатываются следующие персональные данные:

  • фамилия, имя, отчество (при наличии), а также прежние фамилия, имя, отчество (при наличии), дата и место их изменения (в случае изменения);
  • пол;
  • дата (число, месяц, год) и место рождения;
  • фотографическое изображение;
  • сведения о гражданстве;
  • вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
  • страховой номер индивидуального лицевого счета (СНИЛС);
  • идентификационный номер налогоплательщика (ИНН);
  • адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
  • номер контактного телефона, адрес электронной почты и (или) сведения о других способах связи;
  • реквизиты свидетельств о государственной регистрации актов гражданского состояния и содержащиеся в них сведения;
  • сведения о семейном положении, составе семьи (степень родства, фамилии, имена, отчества (при наличии), даты (число, месяц, год) и места рождения);
  • сведения об образовании и (или) квалификации или наличии специальных знаний (в том числе наименование образовательной и (или) иной организации, год окончания, уровень образования, квалификация, реквизиты документа об образовании, обучении);
  • информация о владении иностранными языками;
  • сведения об отношении к воинской обязанности, о воинском учете и реквизиты документов воинского учета (серия, номер, дата выдачи документа, наименование органа, выдавшего его);
  • сведения о трудовой деятельности, а также информация о предыдущих местах работы, периодах и стаже работы;
  • сведения, содержащиеся в документах, дающих право на пребывание и трудовую деятельность на территории РФ (для иностранных граждан, пребывающих в РФ);
  • сведения, содержащиеся в разрешении на временное проживание, разрешении на временное проживание в целях получения образования (для иностранных граждан, временно проживающих в РФ), виде на жительство (для иностранных граждан, постоянно проживающих в РФ);
  • сведения о доходах, обязательствах по исполнительным документам;
  • номера расчетного счета, банковской карты;
  • сведения о состоянии здоровья (для отдельных категорий работников);
  • сведения о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям (для отдельных категорий работников);
  • иные персональные данные, содержащиеся в документах, представление которых предусмотрено законодательством, если обработка этих данных соответствует цели обработки, предусмотренной п. 9.1. Политики в отношении обработки персональных данных Ассоциации «СФПП»
  • иные персональные данные, которые вступивший в Ассоциацию пожелал сообщить о себе и обработка которых соответствует цели обработки, предусмотренной п. 9.1. Политики в отношении обработки персональных данных Ассоциации «СФПП».

10. Право субъекта персональных данных на доступ к его персональным данным

10.1. Субъект персональных данных имеет право на получение сведений, указанных в пункте 9.3. настоящей Политики, за исключением случаев, предусмотренных пунктом 9.4. настоящей Политики. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

10.2. Сведения, указанные в пункте 9.3. настоящей Политики, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

10.3. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

  • подтверждение факта обработки персональных данных Ассоциацией;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые Ассоциацией способы обработки персональных данных;
  • наименование и место нахождения Ассоциации, сведения о лицах (за исключением работников Ассоциации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Ассоциацией или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

10.4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

11. Право на обжалование действий или бездействия оператора

11.1. Если субъект персональных данных считает, что Ассоциация осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Ассоциации в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

11.2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

12. >Обязанности оператора при сборе персональных данных

12.1. При сборе персональных данных Ассоциация обязана предоставить субъекту персональных данных по его просьбе информацию, предусмотренную пунктом 9.3. настоящей Политики.

12.2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Ассоциация обязана разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

12.3. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Ассоциация обязана обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

12.4. Меры, направленные на обеспечение выполнения Ассоциацией обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»

12.4.1. Ассоциация обязана принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» в действующей редакции и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам относятся:

  • назначение Ассоциацией лица, ответственного за организацию обработки персональных данных;
  • издание Ассоциацией документов, определяющих политику Ассоциации в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
  • применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в действующей редакции;
  • осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» в действующей редакции и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Ассоциации в отношении обработки персональных данных, локальным актам Ассоциации;
  • оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в действующей редакции, соотношение указанного вреда и принимаемых Ассоциацией мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;
  • ознакомление участников Ассоциации, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Ассоциации в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

12.4.2. Ассоциация обязана обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных. Ассоциация «СФПП» с целью обеспечения неограниченного доступа размещает настоящее «Политику об обработке персональных данных» на общедоступном ресурсе – на сайте Ассоциации, https://sfpp.ru/.

12.4.3. Ассоциация не несет ответственности за конфиденциальность персональных данных при их получении на официальные адреса Ассоциации по открытым каналам связи.

12.4.4. При направлении в Ассоциацию заявления, жалобы, иного обращения на электронные адреса работников Ассоциации, субъект персональных данных должен осознавать, что направленные сведения могут стать известными неограниченному кругу лиц и что Ассоциация объективно не может обеспечить безопасность персональных данных, посылаемых субъектами по открытым каналам связи.

13. Меры по обеспечению безопасности персональных данных при их обработке

13.1. Ассоциация при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

13.2. Обеспечение безопасности персональных данных достигается, в частности:

  • определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
  • применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • учетом машинных носителей персональных данных;
  • обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
  • восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  • контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

13.3. Ассоциация не осуществляет обработку биометрических персональных данных.

13.4. Ассоциация не производит трансграничную передачу персональных данных на территорию иностранных государств органам власти иностранных государств, иностранным физическим лицам или иностранным юридическим лицам.

14. Обязанности Ассоциации по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению персональных данных

14.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных Ассоциация обязана осуществить блокирование неправомерно обрабатываемых персональных данных.

14.2. В случае подтверждения факта неточности персональных данных Ассоциация на основании сведений, представленных субъектом персональных данных, обязан уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

14.3. В случае выявления неправомерной обработки персональных данных, осуществляемой Ассоциацией, Ассоциация в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных. Об устранении допущенных нарушений Ассоциация обязана уведомить субъекта персональных данных.

15. Обязанности Ассоциации по блокированию и уничтожению

15.1. Ассоциация блокирует персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.

15.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматривать федеральный закон.

15.3. Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение семи рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений.

15.4. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 рабочих дней с даты выявления факта неправомерной обработки.

15.5. Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иным соглашением между ним и Ассоциацией либо если Ассоциация не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

15.6. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 дней.

15.7. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Иное может предусматривать договор, стороной которого (выгодоприобретателем или поручителем, по которому) является субъект персональных данных, иное соглашение между ним и Ассоциацией. Кроме того, персональные данные уничтожаются в указанный срок, если Ассоциация не вправе обрабатывать их без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

15.8. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляются в Ассоциации.

15.9. Уничтожение персональных данных осуществляет комиссия, созданная Президиумом Ассоциации.

15.9.1. Комиссия составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.

15.9.2. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.

15.8.3. Комиссия подтверждает уничтожение персональных данных, указанных в п. п. 15.4, 15.5, 15.6 Политики в отношении обработки персональных данных Ассоциации «СФПП», согласно Требованиям к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 N 179, а именно:

  • актом об уничтожении персональных данных — если данные обрабатываются без использования средств автоматизации;
  • актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных — если данные обрабатываются с использованием средств автоматизации либо одновременно с использованием и без использования таких средств.

Акт может составляться на бумажном носителе или в электронной форме, подписанной электронными подписями. Формы акта и выгрузки из журнала с учетом сведений, которые должны содержаться в указанных документах, утверждаются приказом генерального директора.

15.8.4. После составления акта об уничтожении персональных данных и выгрузки из журнала регистрации событий в информационной системе персональных данных комиссия передает их в общий отдел для последующего хранения. Акты и выгрузки из журнала хранятся в течение трех лет с момента уничтожения персональных данных.

15.8.5. Уничтожение персональных данных, не указанных в п. 15.8.3 Политики в отношении обработки персональных данных Ассоциации «СФПП», подтверждается актом, который оформляется непосредственно после уничтожения таких данных. Форма акта утверждается приказом генерального директора.

16. Лица, ответственные за организацию обработки персональных данных в Ассоциации

16.1. Ассоциация, являющаяся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.

16.2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа Ассоциации.

16.3. По Ассоциации «СФПП» лицом, ответственным за организацию обработки персональных данных, является ответственное лицо, назначенное приказом Президента. Ответственное лицо, в частности, обязано:

  • осуществлять внутренний контроль за соблюдением Ассоциацией и ее участниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
  • доводить до сведения участников Ассоциации законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
  • организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

17. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

17.1. Участники Ассоциации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут ответственность в соответствии с действующим законодательством.

Обратная связь