1.1. Настоящий документ «Положение об обработке персональных данных в целях проведения независимой оценки квалификации в форме профессионального экзамена» (далее – Положение) принят с целью организации в Союзе СРО СК процессов обработки ПДн согласно требованиям законодательства Российской Федерации о ПДн.
1.2. Настоящее Положение определяет:
- принципы, порядок и особенности обработки ПДн как с использованием средств автоматизации, так и без использования таких средств;
- права и обязанности работников Союза СРО СК и иных лиц при обработке ПДн;
- роли работников Союза СРО СК, участвующих в обработке и организации обработки ПДн;
- общие вопросы взаимодействия с субъектами ПДн и с уполномоченным органом по защите прав субъектов ПДн;
- ответственность за нарушения требований действующего законодательства Российской Федерации в сфере ПДн, а также локальных актов Союза СРО СК по вопросам обработки ПДн.
2. Область действия
Действие настоящего Положения распространяется на все операции, совершаемые с ПДн в Союзе СРО СК с использованием средств автоматизации или без использования таких средств.
Действие настоящего Положения распространяется на все ИСПДн Союза СРО СК (при их наличии).
Особенности обработки ПДн в Союзе СРО СК, связанные с обеспечением безопасности ПДн, включая защиту от неправомерного или случайного доступа к ним, несанкционированного уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, и от иных неправомерных действий в отношении ПДн, при создании ИСПДн и СЗПДн, принадлежащих Союзу СРО СК на праве собственности, аренды или на ином законном основании, регламентируются в организационно-распорядительными документами Союза СРО СК по обеспечению безопасности ПДн.
Действие настоящего Положения распространяется на все структурные подразделения Союза СРО СК, осуществляющие обработку ПДн в Союзе СРО СК, а также лиц, участвующих в процессах организации обработки ПДн и обеспечении безопасности ПДн.
Ознакомление работников Союза СРО СК с настоящим Положением, а также контроль исполнения настоящего Положения осуществляет лицо, ответственное за организацию обработки ПДн в соответствии с документом «Инструкция лица, ответственного за организацию обработки персональных данных».
2.1. Нормативно правовая основа
Настоящее Положение разработано на основании и с учетом следующих нормативных правовых актов и локальных актов Союза СРО СК:
- Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Внутренним документом - Политика в отношении обработки персональных данных.
2.2. Ответственный за организацию обработки персональных данных
В Союзе СРО СК назначено лицо, ответственное за организацию обработки ПДн (далее - Ответственный за организацию обработки ПДн), на которое возложено выполнение следующих задач:
- участие совместно с должностными лицами Союза СРО СК в организации обработки ПДн в соответствии с требованиями законодательства Российской Федерации о ПДн (в том числе в применении правовых, организационных и технических мер по обеспечению безопасности ПДн);
- доведение до сведения лиц, допущенных к обработке ПДн в Союзе СРО СК, положений законодательства Российской Федерации о ПДн, а также локальных актов Союза СРО СК по вопросам обработки ПДн;
- контроль за процессами передачи ПДн и поручения обработки ПДн третьим лицам в соответствии с требованиями законодательства Российской Федерации (в том числе участие в процессе согласования договоров с третьими лицами, оформление поручения обработки ПДн, контроль выполнения третьими лицами требований законодательства Российской Федерации о ПДн, взаимодействие с третьими лицами по вопросам обработки ПДн);
- контроль выполнения требований законодательства Российской Федерации о ПДн, а также локальных актов Союза СРО СК по вопросам обработки ПДн (в том числе настоящего Положения), организация и контроль за устранением нарушений требований законодательства Российской Федерации о ПДн и локальных актов Союза СРО СК по вопросам обработки ПДн, допущенных при обработке ПДн;
- осуществление взаимодействия с субъектами ПДн (или их представителями) по вопросам обработки их ПДн;
- осуществление взаимодействия с уполномоченным органом по защите прав субъектов ПДн, с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, а также с федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, по вопросам обработки и обеспечения безопасности ПДн.
Права, обязанности и функции лица, ответственного за организацию обработки ПДн определены во внутреннем документе - Инструкция лица, ответственного за организацию обработки персональных данных».
2.3. Лица, допущенные к обработке персональных данных
Допуск лиц к обработке ПДн осуществляется на основании необходимости такого допуска для выполнения указанными лицами своих функциональных (трудовых) обязанностей.
Лица, допущенные к обработке ПДн проинформированы о факте обработки ими ПДн, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных законодательством Российской Федерации о ПДн, а также локальными актами.
Лица, допущенные к обработке ПДн выполняют следующие задачи при осуществлении обработки ПДн:
- обработка ПДн в рамках своих функциональных (трудовых) обязанностей;
- осуществление взаимодействия с субъектами ПДн (или их представителями) по вопросам:
а) сбора (получения) ПДн субъектов ПДн;
б) получения необходимых согласий на обработку и передачу ПДн субъектов ПДн третьим лицам;
в) уточнения, блокирования или уничтожения ПДн субъектов ПДн;
г) предоставления субъектам ПДн информации до начала обработки их ПДн;
д) предоставления субъектам ПДн информации касающейся обработки их ПДн;
е) разъяснения субъектам ПДн юридических последствий их отказа предоставить ПДн в случае, если предоставление ПДн является обязательным в соответствии с федеральным законом;
- осуществление взаимодействия с лицами, не являющимися субъектами ПДн, а также не являющимися регуляторами (далее – третьими лицами) по вопросам сбора (получения) ПДн;
- осуществление передачи и поручения обработки ПДн третьим лицам в соответствии с требованиями законодательства Российской Федерации..
Лица, допущенные к обработке ПДн обязаны при осуществлении обработки ПДн руководствоваться положениями законодательства Российской Федерации о ПДн, а также локальными актами по вопросам обработки ПДн.
Основные обязанности и функции указанных лиц по обеспечению безопасности ПДн включаются в организационно-распорядительные документы Союза СРО СК по обеспечению безопасности ПДн при создании ИСПДн и СЗПДн, принадлежащих Союза СРО СК на праве собственности, аренды или на ином законном основании.
3. Принципы обработки персональных данных
Обработка ПДн в Союза СРО СК осуществляется на основе следующих принципов:
- обработка ПДн осуществляется на законной и справедливой основе;
- обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
- отрабатываемые ПДн отвечают целям обработки ПДн;
- цели обработки ПДн соответствуют целям сбора ПДн;
- не допускается обработка ПДн, избыточных по отношению к заявленной цели их обработки;
- обеспечивается точность ПДн, их достаточность и актуальность по отношению к целям обработки ПДн;
- обеспечивается принятие мер по удалению или уничтожению неполных или неточных ПДн;
- хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
- обеспечивается уничтожение ПДн после достижения целей обработки или в случае утраты необходимости в их достижении;
- не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
3.1. Цели обработки персональных данных
Союз СРО СК осуществляет обработку ПДн субъектов ПДн с использованием средств автоматизации и без использования таких средств (смешанная обработка) в следующих целях:
- проведение независимой оценки квалификации в форме профессионального экзамена;
- проведение оценки квалификации (аттестации) кандидата в эксперты центра оценки квалификаций и проведение независимой оценки квалификации в форме профессионального экзамена.
3.2. Порядок обработки персональных данных
3.2.1. Проведение независимой оценки квалификации в форме профессионального экзамена
С целью проведения независимой оценки квалификации в форме профессионального экзамена Союзом СРО СК осуществляет обработку ПДн работника или претендующее на осуществление определенного вида трудовой деятельности лицо, обратившиеся, в том числе по направлению работодателя, в центр оценки квалификаций для подтверждения своей квалификации в порядке, установленном Федеральным законом от 03.07.2016 № 238-ФЗ «О независимой оценке квалификации» и иными подзаконными актами (далее – соискатель).
Обработка ПДн необходима для осуществления и выполнения возложенных законодательством Российской Федерации на Союза СРО СК функций, полномочий и обязанностей, для достижения целей, предусмотренных проведением независимой оценки квалификации в форме профессионального экзамена.
Союз СРО СК осуществляет сбор согласий в письменной форме на обработку ПДн субъектов ПДн в интересах СПК ЖКХ и Национального объединения, являющегося базовой организацией Совета по профессиональным квалификациям в области инженерных изысканий, градостроительства, архитектурно-строительного проектирования.
Обработка Союзом СРО СК ПДн субъектов ПДн c целью проведения независимой оценки квалификации в форме профессионального экзамена осуществляется с использованием средств автоматизации и без использования таких средств и включает следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение. Порядок уничтожения ПДн осуществляется в порядке, приведенном в разделе 5 настоящего Положения.
Союз СРО СК осуществляет обработку ПДн субъектов ПДн c целью проведения независимой оценки квалификации в форме профессионального экзамена без использования средств автоматизации в унифицированных формах, установленных в соответствии с федеральными законами Российской Федерации (Приказ Минтруда России от 02.12.2016 № 706н «Об утверждении образца заявления для проведения независимой оценки квалификации и Порядка подачи такого заявления».
Союз СРО СК осуществляет передачу (предоставление, доступ) ПДн субъектов ПДн c целью проведения независимой оценки квалификации в форме профессионального экзамена третьим лицам в соответствии с нормативными правовыми актами Российской Федерации и требованиями, описанными в регламентах СПК.
3.2.2. Проведение оценки квалификации (аттестации) кандидата в эксперты центра оценки квалификаций и проведение независимой оценки квалификации в форме профессионального экзамена
С целью проведения оценки квалификации (аттестации) кандидата в эксперты центра оценки квалификаций и проведения независимой оценки квалификации в форме профессионального экзамена.
Обработка ПДн необходима для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей, для достижения целей, предусмотренных проведением независимой оценки квалификации в форме профессионального экзамена.
3.3. Детальный перечень персональных данных, целей, сроков и правовых оснований обработки персональных данных в целях проведения независимой оценки квалификации в форме профессионального экзамена представлено в Приложении в данному Положению.
Лица, допущенные к обработке ПДн, обрабатывают ПДн непосредственно на своих рабочих местах и только в течение рабочего дня.
В Союзе СРО СК обеспечивается раздельное хранение носителей ПДн, обработка которых осуществляется в различных целях.
Сроки хранения носителей ПДн определяются сроками хранения содержащихся в них ПДн в соответствии с внутренним документом «Перечень персональных данных, целей, сроков и правовых оснований обработки персональных данных в целях проведения независимой оценки квалификации в форме профессионального экзамена».
5. Порядок удаления и уничтожения персональных данных
Обрабатываемые Союза СРО СК ПДн подлежат уничтожению в следующих случаях:
- достижение целей обработки или в случае утраты необходимости в достижении этих целей;
- при истечении установленного срока хранения ПДн;
- по требованию субъекта ПДн, если обрабатываемые в Союза СРО СК ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- в случае выявления неправомерной обработки ПДн, если обеспечить правомерность обработки ПДн невозможно;
- в случае отзыва субъектом ПДн согласия на обработку его ПДн (если ПДн обрабатываются Союза СРО СК на основании согласия субъекта ПДн).
В случае достижения цели обработки ПДн, утраты необходимости в ее достижении или при истечении установленного срока хранения ПДн Союз СРО СК прекращает обработку ПДн и/или обеспечивает ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Союза СРО СК), уничтожает ПДн и/или обеспечивает их уничтожение в срок, не превышающий 30 календарных дней с даты достижения цели обработки, утраты необходимости в ее достижении или истечения установленного срока хранения ПДн.
В случае отзыва субъектом ПДн согласия на обработку его ПДн Союз СРО СК прекращает их обработку и/или обеспечивает ее прекращение. Уничтожает ПДн в срок, не превышающий 30 календарных дней с даты поступления указанного отзыва.
Уничтожение бумажных документов, содержащих ПДн, осуществляется путем шредирования, сжигания или иным способом, исключающим дальнейшую обработку этих ПДн, в присутствии Инициатора уничтожения ПДн, Ответственного за организацию обработки ПДн или иного уполномоченного лица. По окончании процедуры уничтожения составляется Акт об уничтожения ПДн.
6. Заключительные положения
Изменения и дополнения в настоящее Положение вносятся посредством внесения изменений либо утверждения новой редакции настоящего Положения в установленном в порядке.
В случае изменения законодательства Российской Федерации и внутренних документов Союза СРО СК настоящее Положение действует в части, не противоречащей внесенным изменениям.
Изменение наименований структурных подразделений Союза СРО СК, должностей и ролей работников Союза СРО СК, перечисленных в настоящем Положении, без существенного изменения фактического функционала структурных подразделений не влечет необходимости актуализации настоящего Положения.
По вопросам, не урегулированным настоящим Положением, работники руководствуются действующим законодательством Российской Федерации и внутренними документами.
Изменения в настоящую Политику вносятся в следующих случаях:
- по решению руководства Союза СРО СК на основе периодически проводимых Ответственным за организацию обработки персональных данных проверочных мероприятий;
- при изменении законодательных актов Российской Федерации, регулирующих отношения в соответствующей области;
- при изменении нормативных актов регуляторов.
Настоящее Положение вступает в силу со дня его утверждения руководителем Союза СРО СК (или иным уполномоченным лицом) и действует до утверждения его новой редакции.
| Цель обработки | Субъект | Категории и перечень | Способ обработки | Сроки хранения | Правовые основания обработки |
| Проведение независимой оценки квалификации в форме профессионального экзамена | Соискатель | Иные категории ПДн: - фамилия, имя, отчество; - пол; - дата рождения; - контактная информация (номер телефона, адрес электронной почты); - страховой номер индивидуального лицевого счета (СНИЛС); - факт наличия инвалидности; - гражданство; - сведения о документе, удостоверяющем личность (серия, номер, код подразделения, кем и когда выдан); - адрес регистрации по месту жительства; - адрес фактического места проживания (почтовый адрес); - сведения о трудовой деятельности (наименование организации, занимаемая должность, общий стаж работы, стаж работы по оцениваемой специальности); - сведения об образовании (вид, уровень, специальность, квалификация, наименование учреждения, год окончания, номер документа); - дата, время и результаты прохождения профессионального экзамена; - данные свидетельства о квалификации или заключения о прохождении профессионального экзамена. Биометрические категории ПДн: - фотография; - фото- и видеоматериалы профессионального экзамена |
Смешанный | 3 (три) года с даты истечения срока действия свидетельства о квалификации или оформления заключения о прохождении профессионального экзамена |
Федеральный закон от 03.07.2016 № 238-ФЗ «О независимой оценке квалификации» Постановление Правительства Российской Федерации от 16.11.2016 № 1204 «Об утверждении Правил проведения центром оценки квалификаций независимой оценки квалификации в форме профессионального экзамена» Приказ Минтруда России от 02.12.2016 № 706н «Об утверждении образца заявления для проведения независимой оценки квалификации и Порядка подачи такого заявления» Регламенты проведения независимой оценке квалификации утвержденные СПК Иные нормативные правовые акты утвержденные в установленном порядке |
| Проведение оценки квалификации (аттестации) кандидата в эксперты центра оценки квалификаций и проведение независимой оценки квалификации в форме профессионального экзамена | Эксперт | Иные категории ПДн: - фамилия, имя, отчество; - пол; - дата рождения; - контактная информация (номер телефона, адрес электронной почты, факс); - гражданство; - сведения о документе, удостоверяющем личность (серия, номер, код подразделения, кем и когда выдан); - адрес регистрации по месту жительства; - страховой номер индивидуального лицевого счета (СНИЛС); - основное место работы, занимаемая должность; - область деятельности; - сведения об основном профессиональном образовании (наименование образовательной организации, год окончания, специальность, квалификация, номер документа об образовании); - сведения о дополнительном профессиональном образовании по заявляемой области деятельности (наименование образовательной организации, период обучения, наименование программы переподготовки или повышения квалификации и номер документа об образовании); - ученая степень, ученое звание по заявляемой области деятельности (с указанием диссертационного совета, выдавшего документ, даты и номера выдачи документа); - сведения об опыте работы в качестве эксперта в рабочих группах по разработке и (или) актуализации профессиональных стандартов, оценочных средств для проведения независимой оценки квалификации, комиссиях конкурсов профессионального мастерства, комиссиях по техническому расследованию причин аварий, инцидентов и др. (наименование проектов и сроков реализации); - сведения о наличии научных публикаций авторских свидетельств и патентов на объекты интеллектуальной собственности по заявляемой области деятельности; - сведения об опыте работы по соответствующему виду (видам) профессиональной деятельности (период работы, наименование организации, наименование должности, структурного подразделения); - дата, время и результаты прохождения оценки квалификации (аттестации); - данные свидетельства эксперта центра оценки квалификаций (номер, срок действия, область деятельности). Биометрические категории ПДн: - фотография; - фото- и видеоматериалы оценки квалификации (аттестации) |
Смешанный | 3 (три) года с даты прекращения полномочий эксперта центра оценки квалификаций |
Федеральный закон от 03.07.2016 № 238-ФЗ «О независимой оценке квалификации» Постановление Правительства Российской Федерации от 16.11.2016 № 1204 «Об утверждении Правил проведения центром оценки квалификаций независимой оценки квалификации в форме профессионального экзамена» Приказ Минтруда России от 02.12.2016 № 706н «Об утверждении образца заявления для проведения независимой оценки квалификации и Порядка подачи такого заявления» Регламенты проведения независимой оценке квалификации утвержденные СПК Иные нормативные правовые акты утвержденные в установленном порядке |
Термины и определения
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Информация – сведения (сообщения, данные) независимо от формы их представления.
Материальные носители персональных данных – это бумажные носители информации, оптические носители информации (CDs, DVDs, BDs и пр.), магнитные носители информации (жесткие диски, магнитные карты, дискеты, ZIP, магнитные ленты и т.д.), электронные носители информации (Flash, карты памяти, память мобильных устройств и пр.), на которых обрабатываются и хранятся персональные данные.
Неавтоматизированная обработка персональных данных – обработка персональных данных без использования средств вычислительной техники.
Независимая оценка квалификации работников или лиц, претендующих на осуществление определенного вида трудовой деятельности (далее – независимая оценка квалификации) – процедура подтверждения соответствия квалификации соискателя положениям профессионального стандарта или квалификационным требованиям, установленным федеральными законами и иными нормативными правовыми актами Российской Федерации, проведенная центром оценки квалификаций.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Под оператором персональных данных в настоящем документе понимается Союз саморегулируемых организаций строительного комплекса (далее – Союз СРО СК).
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения, – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных».
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Регулятор – уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, Роскомнадзор), федеральный орган исполнительной власти, уполномоченным в области обеспечения безопасности (Федеральная служба безопасности Российской Федерации), федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (Федеральная служба по техническому и экспортному контролю Российской Федерации).
Система защиты персональных данных (СЗПДн) – комплекс организационных и (или) технических мер, определенных с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах персональных данных.
Смешанная обработка персональных данных – совокупность автоматизированного и неавтоматизированного способов обработки персональных данных.
Совет по профессиональным квалификациям – орган управления, наделенный полномочиями по организации проведения независимой оценки квалификации по определенному виду профессиональной деятельности.
Соискатель – работник или претендующее на осуществление определенного вида трудовой деятельности лицо, обратившиеся, в том числе по направлению работодателя, в центр оценки квалификаций для подтверждения своей квалификации в порядке, установленном Федеральным законом от 03.07.2016 № 238-ФЗ «О независимой оценке квалификации» и иными подзаконными актами.
Специальные категории персональных данных – данные, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Центр оценки квалификаций – юридическое лицо, осуществляющее деятельность по проведению независимой оценки квалификации.
СПК – совет по профессиональным квалификациям.
