Положение об обработке персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение об обработке персональных данных (далее — Положение) разработано в соответствии с требованиями Конституции Российской Федерации, Трудового кодекса Российской Федерации, Гражданского кодекса Российской Федерации, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (с учетом изменений, вступивших в силу в 2025 году), Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 01.12.2007 № 315-ФЗ «О саморегулируемых организациях», постановлений Правительства Российской Федерации от 15.09.2008 № 687 и от 01.11.2012 № 1119, а также иных нормативных правовых актов Российской Федерации.
1.2. Настоящее Положение определяет политику Ассоциации Управления Жильем Ленинградской области (ОГРН 1214700016101, ИНН 4706042881, далее — Ассоциация, Оператор) в области обработки и защиты персональных данных, устанавливает цели, принципы, правовые основания, условия и порядок обработки персональных данных, а также меры по обеспечению их безопасности.
1.3. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.4. Настоящее Положение применяется ко всей информации, которую Ассоциация может получить о субъектах персональных данных, включая посетителей веб-сайта организации, работников Ассоциации, членов Ассоциации (юридических лиц и индивидуальных предпринимателей), их уполномоченных представителей, контрагентов и иных физических лиц.
1.5. Ассоциация обязана опубликовать настоящее Положение или иным образом обеспечить неограниченный доступ к нему, в том числе путем размещения на официальном сайте Ассоциации.
1.6. Положение действует бессрочно до замены его новой версией.
1.7. Настоящее Положение распространяется на персональные данные, полученные как до, так и после ввода в действие настоящего Положения.

2. ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ

2.1. Для целей настоящего Положения используются следующие основные понятия:
2.1.1. Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
2.1.2. Субъект персональных данных — физическое лицо, к которому относятся персональные данные.
2.1.3. Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В целях настоящего Положения Оператором является Ассоциация Управления Жильем Ленинградской области.
2.1.4. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.1.5. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
2.1.6. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.1.7. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.1.8. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.1.9. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.1.10. Конфиденциальность персональных данных — обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
2.1.11. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.1.12. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.1.13. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Ассоциация осуществляет обработку персональных данных в следующих целях:
3.1.1. Осуществление функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на саморегулируемые организации в области жилищно-коммунального хозяйства и управления многоквартирными домами.
3.1.2. Исполнение обязательств по договорам с членами Ассоциации, а также контрагентами и партнерами.
3.1.3. Ведение и актуализация реестра членов Ассоциации.
3.1.4. Предоставление сведений в государственные органы для внесения в государственный реестр саморегулируемых организаций.
3.1.5. Осуществление контроля за деятельностью членов Ассоциации.
3.1.6. Применение мер дисциплинарного воздействия в отношении членов Ассоциации.
3.1.7. Организация и проведение заседаний органов управления Ассоциации.
3.1.8. Исполнение трудовых договоров с работниками Ассоциации, включая ведение кадрового делопроизводства, обеспечение безопасности труда, начисление и выплату заработной платы.
3.1.9. Обеспечение взаимодействия с субъектами персональных данных, включая направление информационных, рекламных и иных сообщений, а также проведение опросов и исследований.
3.1.10. Размещение информации на официальном сайте Ассоциации и в информационно-телекоммуникационной сети Интернет в соответствии с требованиями законодательства.
3.1.11. Защита прав и законных интересов Ассоциации, работников Ассоциации и третьих лиц.
3.1.12. Обеспечение сохранности имущества Ассоциации.
3.1.13. Исполнение договоров оказания услуг, выполнения работ, поставки товаров.
3.1.14. Ведение бухгалтерского и налогового учета.
3.1.15. Рассмотрение обращений субъектов персональных данных.

4. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Оператор осуществляет обработку персональных данных на следующих правовых основаниях:
4.1.1. Согласие субъекта персональных данных на обработку его персональных данных, полученное в соответствии с требованиями законодательства Российской Федерации. С 1 сентября 2025 года согласие на обработку персональных данных оформляется исключительно как отдельный документ, не объединенный с иными документами.
4.1.2. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей.
4.1.3. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
4.1.4. Обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
4.1.5. Обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления.
4.1.6. Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
4.1.7. Обработка персональных данных осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных.
4.1.8. Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.
4.1.9. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

5. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Категории субъектов персональных данных:
5.1.1. Работники Ассоциации (в том числе бывшие работники).
5.1.2. Кандидаты на замещение вакантных должностей в Ассоциации.
5.1.3. Руководители, уполномоченные представители и работники организаций — членов Ассоциации (юридических лиц).
5.1.4. Индивидуальные предприниматели — члены Ассоциации, а также их работники и уполномоченные представители.
5.1.5. Представители контрагентов, партнеров и клиентов Ассоциации.
5.1.6. Члены органов управления Ассоциации.
5.1.7. Члены специализированных органов Ассоциации.
5.1.8. Посетители официального сайта Ассоциации.
5.1.9. Физические лица, направляющие обращения в Ассоциацию.
5.2. Категории и состав обрабатываемых персональных данных:
5.2.1. Общие персональные данные:
– фамилия, имя, отчество (при наличии);
– дата и место рождения;
– пол;
– гражданство;
– адрес регистрации по месту жительства и (или) по месту пребывания;
– адрес фактического проживания;
– контактные данные (номер телефона, адрес электронной почты);
– данные документа, удостоверяющего личность (серия, номер, дата выдачи, орган, выдавший документ);
– ИНН, СНИЛС;
– данные об образовании (наименование образовательного учреждения, год окончания, специальность, квалификация);
– сведения о трудовой деятельности и стаже работы;
– должность;
– сведения о воинском учете;
– фотографическое изображение.
5.2.2. Специальные категории персональных данных (обрабатываются только при наличии письменного согласия субъекта персональных данных или в случаях, предусмотренных законодательством):
– сведения о состоянии здоровья (при необходимости для исполнения трудового договора или предоставления льгот);
– данные о расовой, национальной принадлежности (в случаях, установленных законодательством);
– сведения о судимости (при необходимости для выполнения требований законодательства).
5.2.3. Биометрические персональные данные (обрабатываются только при наличии письменного согласия субъекта персональных данных):
– изображение физического лица (фотография, видеозапись);
– иные физиологические и биологические характеристики человека, позволяющие установить его личность.
5.2.4. Иные персональные данные:
– банковские реквизиты для перечисления денежных средств;
– сведения о семейном положении, составе семьи;
– информация об имуществе;
– IP-адрес;
– данные файлов cookie.
5.3. Оператор не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, за исключением случаев, прямо предусмотренных законодательством Российской Федерации.
5.4. Обработка биометрических персональных данных осуществляется только при наличии письменного согласия субъекта персональных данных, оформленного в соответствии с требованиями законодательства, действующими с 1 января 2025 года.

6. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Принципы обработки персональных данных:
6.1.1. Оператор при обработке персональных данных руководствуется следующими принципами:
6.1.2. Обработка персональных данных осуществляется на законной и справедливой основе.
6.1.3. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
6.1.4. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
6.1.5. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
6.1.6. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки.
6.1.7. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
6.1.8. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
6.1.9. Персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
6.2. Способы обработки персональных данных:
6.2.1. Оператор осуществляет обработку персональных данных как с использованием средств автоматизации (автоматизированная обработка), так и без использования средств автоматизации (неавтоматизированная обработка).
6.2.2. Обработка персональных данных включает следующие действия (операции): сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
6.2.3. Автоматизированная обработка персональных данных осуществляется с применением компьютерной техники, программного обеспечения и информационных систем.
6.2.4. Неавтоматизированная обработка персональных данных осуществляется при непосредственном участии человека с использованием бумажных носителей.
6.3. Условия обработки персональных данных:
6.3.1. Обработка персональных данных осуществляется при наличии хотя бы одного из правовых оснований, указанных в разделе 4 настоящего Положения.
6.3.2. При сборе персональных данных Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в законодательстве.
6.3.3. При обработке персональных данных Оператор принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.3.4. Оператор не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
6.3.5. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (поручения оператора). Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязуется соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом № 152-ФЗ.
6.3.6. Трансграничная передача персональных данных на территорию иностранного государства осуществляется только в случаях, предусмотренных законодательством, и при обеспечении адекватной защиты прав субъектов персональных данных.
6.4. Сроки обработки и хранения персональных данных:
6.4.1. Сроки обработки персональных данных определяются исходя из целей обработки персональных данных, в соответствии с условиями договора, согласием субъекта персональных данных, а также требованиями законодательства Российской Федерации.
6.4.2. Персональные данные работников Ассоциации хранятся в течение срока действия трудового договора и в течение 75 лет после прекращения трудовых отношений (в соответствии с требованиями архивного законодательства).
6.4.3. Персональные данные членов Ассоциации и их представителей хранятся в течение срока членства в Ассоциации и в течение 5 лет после прекращения членства (если иное не установлено законодательством).
6.4.4. Персональные данные контрагентов хранятся в течение срока действия договора и в течение срока исковой давности (3 года) после прекращения договорных отношений, если иное не установлено законодательством.
6.4.5. Персональные данные кандидатов на вакантные должности хранятся в течение 3 месяцев с момента получения, если иное не согласовано с кандидатом.
6.4.6. По истечении сроков обработки и хранения персональные данные подлежат уничтожению или обезличиванию, если иное не предусмотрено законодательством Российской Федерации.

7. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Субъект персональных данных имеет право:
7.1.1. На получение информации, касающейся обработки его персональных данных, в том числе содержащей:
– подтверждение факта обработки персональных данных Оператором;
– правовые основания и цели обработки персональных данных;
– применяемые Оператором способы обработки персональных данных;
– наименование и местонахождение Оператора;
– сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
– перечень обрабатываемых персональных данных и источник их получения;
– сроки обработки персональных данных, в том числе сроки их хранения;
– порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом № 152-ФЗ;
– иные сведения, предусмотренные законодательством.
7.1.2. На доступ к своим персональным данным и ознакомление с ними бесплатно.
7.1.3. Требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
7.1.4. Отозвать согласие на обработку персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в законодательстве.
7.1.5. На защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
7.1.6. Обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.
7.1.7. Требовать немедленного прекращения обработки персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов.
7.2. Для реализации своих прав субъект персональных данных направляет Оператору письменный запрос (обращение) одним из следующих способов:
– по почтовому адресу: 188692, Ленинградская обл., м.р-н Всеволожский, г.п. Заневское, г. Кудрово, ул. Пражская, д. 3, помещ. 13-Н;
– по адресу электронной почты: info@sroleningrad.ru;
– через официальный сайт Ассоциации.
7.3. Оператор обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его представителя либо в течение 10 рабочих дней с даты получения запроса субъекта персональных данных или его представителя.
7.4. Оператор обязан в срок, не превышающий 7 рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, внести в них необходимые изменения.
7.5. Оператор обязан в срок, не превышающий 7 рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, уничтожить такие персональные данные.
7.6. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях, уничтожении или блокировании персональных данных.

8. ОБЯЗАННОСТИ ОПЕРАТОРА

8.1. Оператор обязан:
8.2. Организовывать обработку персональных данных в соответствии с требованиями законодательства Российской Федерации.
8.3. Отвечать на обращения и запросы субъектов персональных данных и их представителей в соответствии с требованиями Федерального закона № 152-ФЗ.
8.4. Сообщать в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса.
8.5. Уведомлять уполномоченный орган по защите прав субъектов персональных данных об обработке персональных данных.
8.6. Публиковать или иным образом обеспечивать неограниченный доступ к настоящему Положению об обработке персональных данных.
8.7. Принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
8.8. Назначать лицо, ответственное за организацию обработки персональных данных.
8.9. Разрабатывать и утверждать локальные акты по вопросам обработки персональных данных.
8.10. Применять средства защиты информации, прошедшие процедуру оценки соответствия.
8.11. Оценивать вред, который может быть причинен субъектам персональных данных в случае нарушения требований законодательства, и соотносить указанный вред с принимаемыми мерами по обеспечению выполнения обязанностей.
8.12. Знакомить работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, настоящим Положением и локальными актами по вопросам обработки персональных данных.
8.13. Немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в целях продвижения товаров, работ, услуг на рынке.
8.14. При сборе персональных данных предоставлять субъекту персональных данных информацию об Операторе, о целях и правовых основаниях обработки персональных данных, а также разъяснять юридические последствия отказа предоставить персональные данные, если предоставление персональных данных является обязательным.
8.15. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя или уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных с момента такого обращения или получения запроса на период проверки.
8.16. Уведомлять уполномоченный орган по защите прав субъектов персональных данных и субъектов персональных данных о любом факте несанкционированного доступа к персональным данным, ставшим известным Оператору, в течение 24 часов с момента обнаружения инцидента.
8.17. Обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
8.18. По требованию уполномоченного органа (Минцифры России) передавать обезличенные персональные данные в Государственную информационную систему в порядке и сроки, установленные законодательством (требование вступило в силу с 1 сентября 2025 года).

9. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
9.2. Правовые меры защиты:
9.2.1. Разработка и утверждение настоящего Положения об обработке персональных данных.
9.2.2. Разработка и утверждение иных локальных нормативных актов, регламентирующих обработку и защиту персональных данных.
9.2.3. Назначение лица, ответственного за организацию обработки персональных данных.
9.2.4. Определение перечня лиц, имеющих доступ к персональным данным.
9.2.5. Заключение договоров (соглашений) о конфиденциальности с работниками, имеющими доступ к персональным данным.
9.2.6. Получение согласий субъектов персональных данных на обработку их персональных данных в соответствии с требованиями законодательства.
9.3. Организационные меры защиты:
9.3.1. Организация режима обеспечения безопасности помещений, в которых размещены информационные системы персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения.
9.3.2. Организация пропускного режима на территорию Ассоциации и в помещения, где осуществляется обработка персональных данных.
9.3.3. Учет машинных носителей персональных данных и мест их хранения.
9.3.4. Организация учета, хранения и использования документов на бумажных носителях, содержащих персональные данные.
9.3.5. Обучение работников Оператора, осуществляющих обработку персональных данных, правилам работы с персональными данными, включая требования по их защите.
9.3.6. Проведение внутреннего контроля (аудита) соответствия обработки персональных данных требованиям законодательства и локальных актов Оператора.
9.3.7. Обеспечение сохранности носителей персональных данных.
9.3.8. Определение угроз безопасности персональных данных при их обработке и формирование на их основе моделей угроз.
9.3.9. Разработка системы защиты персональных данных.
9.3.10. Проверка готовности и эффективности использования средств защиты информации.
9.3.11. Разграничение доступа работников к персональным данным в зависимости от их должностных (функциональных) обязанностей.
9.3.12. Учет случаев доступа к персональным данным и их носителям.
9.3.13. Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
9.4. Технические меры защиты:
9.4.1. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
9.4.2. Использование средств антивирусной защиты.
9.4.3. Использование межсетевых экранов (файрволов).
9.4.4. Использование средств обнаружения вторжений.
9.4.5. Использование систем управления доступом к персональным данным.
9.4.6. Использование средств криптографической защиты информации при передаче персональных данных по открытым каналам связи.
9.4.7. Резервное копирование персональных данных.
9.4.8. Обеспечение регистрации и учета действий пользователей информационных систем персональных данных.
9.4.9. Обеспечение возможности восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
9.4.10. Установка систем обнаружения фактов несанкционированного доступа к персональным данным и принятия мер.
9.4.11. Контроль за соблюдением условий использования средств защиты информации.
9.4.12. Регулярное обновление программного обеспечения, используемого для обработки персональных данных.
9.4.13. Физическая защита серверного оборудования и носителей информации.
9.5. При обработке персональных данных в информационных системах персональных данных Оператор обеспечивает уровень защищенности персональных данных в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 № 1119.
9.6. Конкретный перечень и порядок применения мер по обеспечению безопасности персональных данных определяется в соответствующих локальных актах Оператора с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий.

10. ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. Уничтожение персональных данных осуществляется в следующих случаях:
10.1.1. По достижении целей обработки персональных данных.
10.1.2. В случае утраты необходимости в достижении целей обработки персональных данных.
10.1.3. По истечении установленных сроков обработки и хранения персональных данных.
10.1.4. По требованию субъекта персональных данных в случаях, предусмотренных законодательством.
10.1.5. В случае выявления неправомерной обработки персональных данных.
10.1.6. По решению уполномоченного органа по защите прав субъектов персональных данных или суда.
10.2. Уничтожение персональных данных на бумажных носителях осуществляется путем сжигания, измельчения (шредирования) или иными способами, исключающими возможность восстановления содержания персональных данных.
10.3. Уничтожение персональных данных на электронных носителях осуществляется путем стирания или форматирования носителей, использования специализированных программных средств гарантированного уничтожения данных.
10.4. При уничтожении персональных данных составляется акт об уничтожении персональных данных, который подписывается лицом, ответственным за организацию обработки персональных данных, и работником, осуществившим уничтожение.
10.5. Информация о факте уничтожения персональных данных вносится в соответствующий журнал учета.

11. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА О ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Лица, виновные в нарушении требований законодательства Российской Федерации в области персональных данных, несут гражданско-правовую, административную, дисциплинарную, уголовную и иную предусмотренную законодательством Российской Федерации ответственность.
11.2. Привлечение к ответственности не освобождает от обязанности устранить допущенное нарушение и возместить причиненный ущерб.
11.3. С 30 мая 2025 года действуют повышенные размеры административных штрафов за нарушения в области персональных данных:
11.3.1. За обработку персональных данных без согласия субъекта или без иного законного основания:
– на должностных лиц — от 100 000 до 300 000 рублей;
– на юридических лиц — от 500 000 до 1 000 000 рублей.
11.3.2. За непредставление или несвоевременное представление уведомления о намерении осуществлять обработку персональных данных:
– на должностных лиц — от 30 000 до 50 000 рублей;
– на юридических лиц — от 150 000 до 300 000 рублей.
11.3.3. За несоблюдение требований к локализации персональных данных:
– на должностных лиц — от 50 000 до 100 000 рублей;
– на юридических лиц — от 300 000 до 500 000 рублей.
11.3.4. За несвоевременное уведомление об утечке персональных данных:
– на должностных лиц — от 50 000 до 100 000 рублей;
– на юридических лиц — от 300 000 до 700 000 рублей.
11.3.5. За действия или бездействие, повлекшие утечку персональных данных:
на должностных лиц — от 100 000 до 300 000 рублей;
на юридических лиц — от 500 000 до 1 000 000 рублей.
11.4. Уголовная ответственность предусмотрена за незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации (статья 137 УК РФ), а также за незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну (статья 183 УК РФ).
11.5. Работники Оператора, допустившие нарушение требований законодательства о персональных данных или локальных актов Оператора, могут быть привлечены к дисциплинарной ответственности в соответствии с трудовым законодательством Российской Федерации.

12. ОБРАБОТКА ОБРАЩЕНИЙ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

12.1. Субъект персональных данных имеет право направить Оператору обращение (запрос) по вопросам обработки его персональных данных.
12.2. Обращение должно содержать:
– фамилию, имя, отчество (при наличии) субъекта персональных данных;
– контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) для направления ответа;
– существо обращения (запроса);
– подпись субъекта персональных данных (при направлении обращения на бумажном носителе).
12.3. Оператор обязан рассмотреть обращение субъекта персональных данных и направить ответ в срок, не превышающий 30 дней с даты получения обращения, если иной срок не установлен федеральным законом.
12.4. Вся информация, касающаяся обработки персональных данных конкретного субъекта персональных данных, должна быть предоставлена субъекту персональных данных Оператором в доступной форме, и в ней не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
12.5. Оператор ведет журнал учета обращений субъектов персональных данных, в котором фиксируются запросы субъектов персональных данных на получение персональных данных, а также факты предоставления персональных данных по этим запросам.

13. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

13.1. Настоящее Положение вступает в силу с момента его утверждения и действует бессрочно до замены новой редакцией.
13.2. Настоящее Положение является общедоступным документом и размещается на официальном сайте Ассоциации в информационно-телекоммуникационной сети Интернет.
13.3. Оператор имеет право вносить изменения в настоящее Положение. При внесении изменений в Положение Оператор уведомляет об этом субъектов персональных данных путем размещения новой редакции Положения на официальном сайте Ассоциации не менее чем за 10 дней до вступления изменений в силу.
13.4. Действующая редакция Положения постоянно доступна на официальном сайте Ассоциации по адресу: https://sroleningrad.ru/personaldatapolicy.
13.5. Настоящее Положение распространяется на отношения, возникшие с момента начала обработки персональных данных Оператором.
13.6. Контроль за исполнением требований настоящего Положения осуществляется лицом, ответственным за организацию обработки персональных данных в Ассоциации.
13.7. По всем вопросам, касающимся обработки персональных данных, субъекты персональных данных могут обращаться:
– почтовый адрес: 188692, Ленинградская обл., м.р-н Всеволожский, г.п. Заневское, г. Кудрово, ул. Пражская, д. 3, помещ. 13-Н
– электронная почта: info@sroleningrad.ru
13.8. Настоящее Положение разработано в соответствии с действующим законодательством Российской Федерации о персональных данных.