Санкт-Петербург и Москва

+7 (812) 982-86-69

Регионы РФ

+7 (905) 222-86-69

Электронная почта

info@szexp.ru

задать вопрос эксперту

ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

ПОЛИТИКА
в отношении обработки персональных данных
Автономной некоммерческой организации
«Северо-Западный экспертно-правовой центр»

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных (далее — Политика) разработана Автономной некоммерческой организацией «Северо-Западный экспертно-правовой центр» (далее — Оператор) во исполнение требований пункта 2 части 1 и части 2 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ) и определяет основные принципы, цели, условия, способы и порядок обработки персональных данных субъектов персональных данных, чьи персональные данные обрабатываются Оператором, в том числе посредством сайта в сети «Интернет» по адресу: szexp.ru (далее — Сайт), а также сведения о реализуемых требованиях к защите персональных данных.

1.2. Политика разработана в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Законом № 152-ФЗ, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 31.05.2001 № 73-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации» (в части, применимой к негосударственным судебным экспертам), процессуальным законодательством Российской Федерации, постановлениями Правительства Российской Федерации от 01.11.2012 № 1119 и от 15.09.2008 № 687, приказами ФСТЭК России от 18.02.2013 № 21 и ФСБ России от 10.07.2014 № 378, приказами Роскомнадзора от 28.10.2022 № 179 и от 11.07.2024 № 140, а также иными нормативными правовыми актами Российской Федерации, регулирующими отношения в области обработки и защиты персональных данных.

1.3. Политика подлежит обязательному соблюдению всеми работниками Оператора, имеющими доступ к персональным данным, а также лицами, привлекаемыми Оператором к обработке персональных данных на основании договоров поручения.

1.4. Действие Политики распространяется на все персональные данные субъектов, обрабатываемые Оператором как с использованием средств автоматизации (включая информационно-телекоммуникационные сети), так и без таковой (на бумажных носителях, в журналах учёта, в делах судебных экспертиз).

1.5. Текст настоящей Политики размещён в сети «Интернет» по адресу: szexp.ru/policy и доступен для ознакомления неограниченному кругу лиц без необходимости прохождения процедур аутентификации.

2. Сведения об Операторе

2.1. Полное наименование: Автономная некоммерческая организация «Северо-Западный Экспертно-Правовой центр».

2.2. Сокращённое наименование: АНО «СЗЭПЦ».

2.3. ОГРН: 1227800150600.

2.4. ИНН/КПП: 7840103043 / 784001001.

2.5. Адрес места нахождения: 190000, г. Санкт — Петербург, ул. Некрасова, д. 1/38, лит. А, оф. 18-н1.

2.6. Адрес для направления корреспонденции по вопросам обработки персональных данных: 190000, г. Санкт — Петербург, ул. Некрасова, д. 1/38, лит. А, оф. 18-н1.

2.7. Адрес электронной почты для запросов субъектов персональных данных: info@szexp.ru.

2.8. Телефон: +7 (812) 982-86-69.

2.9. Лицо, ответственное за организацию обработки персональных данных у Оператора, назначено приказом директора в соответствии со статьёй 22.1 Закона № 152-ФЗ; контактные данные ответственного лица доступны по запросу, направленному на адрес info@szexp.ru.

3. Термины и определения

3.1. В настоящей Политике используются следующие основные термины:

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).

Оператор — Автономная некоммерческая организация «Северо-Западный экспертно-правовой центр», самостоятельно либо совместно с другими лицами организующая и (или) осуществляющая обработку персональных данных, а также определяющая цели обработки, состав обрабатываемых данных, действия (операции), совершаемые с персональными данными.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Автоматизированная обработка — обработка персональных данных с помощью средств вычислительной техники.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределённому кругу лиц.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц.

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения данных).

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных, в порядке, установленном Приказом Роскомнадзора от 28.10.2022 № 179.

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту, осуществляемые в порядке, установленном Приказом Роскомнадзора от 11.07.2024 № 140.

Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Согласие субъекта персональных данных — свободное, конкретное, информированное и сознательное волеизъявление, выраженное в форме отдельного документа в соответствии с частью 1 статьи 9 Закона № 152-ФЗ (в редакции, действующей с 01.09.2025).

Cookie-файлы (cookies) — небольшие фрагменты данных, отправляемые веб-сервером и сохраняемые на устройстве пользователя; используются Оператором для обеспечения корректной работы Сайта, аналитических и статистических целей.

4. Правовые основания обработки персональных данных

4.1. Обработка персональных данных Оператором осуществляется на следующих правовых основаниях, предусмотренных статьёй 6 Закона № 152-ФЗ:

  1. согласие субъекта персональных данных, оформленное в виде отдельного документа (пункт 1 части 1 статьи 6);
  2. исполнение договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, в том числе договора возмездного оказания услуг по проведению экспертизы или оценки (пункт 5 части 1 статьи 6);
  3. осуществление прав и законных интересов Оператора или третьих лиц при условии, что не нарушаются права и свободы субъекта (пункт 7 части 1 статьи 6);
  4. исполнение полномочий, возложенных на Оператора федеральными законами, в том числе при производстве экспертизы по определению (постановлению) суда либо органа, ведущего производство по делу (пункт 4 части 1 статьи 6, статья 41 ФЗ № 73-ФЗ);
  5. обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом (пункт 11 части 1 статьи 6);
  6. исполнение требований трудового законодательства Российской Федерации в отношении персональных данных работников (Трудовой кодекс РФ, глава 14).

4.2. Обработка специальных категорий персональных данных (сведения о состоянии здоровья, биометрические данные, сведения о судимости) осуществляется Оператором исключительно при наличии правовых оснований, предусмотренных статьями 10 и 11 Закона № 152-ФЗ, в том числе на основании письменного согласия субъекта либо на основании определения (постановления) о назначении соответствующей экспертизы.

5. Цели обработки персональных данных

5.1. Оператор обрабатывает персональные данные для достижения следующих целей:

  • заключение, исполнение и прекращение гражданско-правовых договоров с заказчиками экспертных услуг (физическими лицами, индивидуальными предпринимателями, юридическими лицами в лице их представителей);
  • производство судебных и внесудебных экспертиз и исследований по поручению судов, органов следствия и дознания, нотариусов, органов государственной власти, а также по обращениям физических и юридических лиц;
  • проведение независимой оценки имущества, оборудования, земельных участков, объектов недвижимости;
  • оказание сопутствующих юридических услуг и представительство в суде;
  • рассмотрение обращений, заявлений, претензий и запросов, поступающих посредством Сайта, электронной почты, форм обратной связи;
  • исполнение обязанностей работодателя в отношении работников Оператора (кадровый учёт, начисление и выплата заработной платы, исполнение обязанностей налогового агента, ведение воинского учёта и т. д.);
  • обеспечение функционирования Сайта, его технической стабильности, безопасности и пользовательского опыта, в том числе посредством сбора и анализа cookie-файлов и обезличенных статистических данных;
  • исполнение требований законодательства Российской Федерации, в том числе налогового, бухгалтерского, антикоррупционного, об архивном деле, о противодействии легализации (отмыванию) доходов, полученных преступным путём;
  • защита прав и законных интересов Оператора, в том числе при возникновении судебных споров.

6. Категории субъектов персональных данных и состав обрабатываемых персональных данных

6.1. Оператор обрабатывает персональные данные следующих категорий субъектов:

6.1.1. Заказчики экспертных и оценочных услуг (физические лица, индивидуальные предприниматели, представители юридических лиц): фамилия, имя, отчество; данные документа, удостоверяющего личность (для подписания актов и договоров — серия, номер, дата выдачи, орган, выдавший документ); адрес регистрации и (или) фактического проживания; контактный телефон; адрес электронной почты; сведения, содержащиеся в направляемых на экспертизу документах и материалах (объём такой информации определяется существом экспертного задания).

6.1.2. Лица, обращающиеся к Оператору посредством Сайта (через формы обратной связи, формы заявок): фамилия, имя (отчество — при добровольном указании); контактный телефон; адрес электронной почты; содержание сообщения (которое может включать персональные данные третьих лиц — в этом случае ответственность за правомерность их предоставления несёт лицо, направившее сообщение); IP-адрес; сведения о браузере и устройстве; cookie-файлы.

6.1.3. Работники Оператора и кандидаты на трудоустройство: персональные данные, обрабатываемые в объёме, необходимом для исполнения требований Трудового кодекса РФ, налогового и пенсионного законодательства. Полный перечень определяется внутренним Положением о персональных данных работников.

6.1.4. Контрагенты Оператора и их представители: фамилия, имя, отчество; должность; контактные данные; реквизиты документов, необходимых для исполнения договорных обязательств.

6.1.5. Посетители Сайта (без идентификации): данные cookie-файлов, IP-адрес (в том числе в усечённой и (или) хэшированной форме), технические сведения о браузере и операционной системе, источник перехода на Сайт, история просмотров страниц Сайта, обезличенные сведения о действиях пользователя на Сайте, собираемые средствами системы веб-аналитики «Яндекс.Метрика» (правообладатель — ООО «ЯНДЕКС», Российская Федерация). Подробное описание состава сведений, собираемых системой «Яндекс.Метрика», и оснований их обработки приведено в разделе 11 настоящей Политики.

6.2. Оператор не обрабатывает биометрические персональные данные субъектов в значении части 1 статьи 11 Закона № 152-ФЗ, за исключением случаев производства экспертиз, в рамках которых исследуются объекты, содержащие биометрические данные (почерковедческие, портретные, фоноскопические экспертизы), на основании определения суда, постановления следователя, договора с заказчиком и (или) согласия субъекта, оформленного в письменной форме.

6.3. Оператор не обрабатывает персональные данные несовершеннолетних, кроме случаев, когда такая обработка необходима в связи с производством экспертизы и осуществляется на основании согласия законного представителя.

7. Принципы и условия обработки персональных данных

7.1. Обработка персональных данных Оператором осуществляется на основе следующих принципов (статья 5 Закона № 152-ФЗ):

  1. обработка осуществляется на законной и справедливой основе;
  2. обработка ограничивается достижением конкретных, заранее определённых и законных целей; не допускается обработка, несовместимая с целями сбора;
  3. не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  4. обработке подлежат только те персональные данные, которые отвечают целям их обработки (принцип минимизации);
  5. содержание и объём обрабатываемых персональных данных соответствуют заявленным целям обработки и не являются избыточными;
  6. при обработке обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях — актуальность;
  7. хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
  8. обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в их достижении.

8. Способы и порядок обработки персональных данных

8.1. Обработка персональных данных Оператором осуществляется следующими способами:

  • с использованием средств автоматизации (в информационных системах персональных данных, в том числе посредством Сайта, корпоративной электронной почты, российских облачных сервисов, систем электронного документооборота, бухгалтерских систем);
  • без использования средств автоматизации (на бумажных носителях, в журналах учёта, в делах экспертиз);
  • смешанным способом.

8.2. Состав действий по обработке: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ) — в том числе по запросам государственных органов, судов и иных уполномоченных лиц, — обезличивание, блокирование, удаление и уничтожение.

8.3. Сбор персональных данных, запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан Российской Федерации осуществляются Оператором с использованием баз данных, находящихся исключительно на территории Российской Федерации, в соответствии с частью 5 статьи 18 Закона № 152-ФЗ.

9. Сроки обработки и порядок уничтожения персональных данных

9.1. Сроки хранения персональных данных определяются:

  • сроком действия согласия субъекта (если обработка осуществляется на основании согласия) — до момента отзыва согласия, если иное не предусмотрено законодательством;
  • сроком действия договора или сроком исковой давности (3 года), исчисляемым после прекращения договорных отношений, — для целей исполнения договора;
  • сроками хранения экспертных заключений, актов оценки и материалов экспертных производств, установленными внутренними регламентами Оператора, но не менее сроков, предусмотренных законодательством об архивном деле и процессуальным законодательством;
  • сроками хранения первичных учётных документов, установленными налоговым законодательством (не менее 5 лет) и Федеральным законом от 06.12.2011 № 402-ФЗ «О бухгалтерском учёте»;
  • сроками хранения кадровых документов, установленными Перечнем типовых управленческих архивных документов (Приказ Росархива от 20.12.2019 № 236).

9.2. По достижении целей обработки и (или) при наступлении оснований, предусмотренных частью 4 статьи 21 Закона № 152-ФЗ, Оператор уничтожает персональные данные либо обеспечивает их обезличивание в порядке, установленном Приказом Роскомнадзора от 28.10.2022 № 179. Факт уничтожения подтверждается актом уничтожения, оформляемым ответственным лицом.

9.3. В случае отзыва согласия субъекта персональных данных Оператор обязан прекратить обработку и уничтожить персональные данные в срок, не превышающий 30 дней с даты поступления отзыва, за исключением случаев, когда обработка может продолжаться без согласия субъекта на основаниях, предусмотренных пунктами 2–11 части 1 статьи 6, частями 2 и 3 статьи 10, частью 2 статьи 11 Закона № 152-ФЗ.

10. Передача персональных данных третьим лицам и трансграничная передача

10.1. Оператор вправе передавать персональные данные третьим лицам исключительно при наличии правового основания, в том числе:

  • судам, органам следствия и дознания, нотариусам, органам прокуратуры, иным государственным органам — на основании их мотивированных запросов в порядке, установленном законодательством;
  • лицам, привлекаемым Оператором к обработке персональных данных по поручению (хостинг-провайдер, оператор корпоративной электронной почты, оператор российской CRM-системы, бухгалтерская организация, оператор сервиса рассылок), — на условиях соблюдения такими лицами требований Закона № 152-ФЗ и заключения соответствующих договоров поручения, отвечающих требованиям части 3 статьи 6;
  • контрагентам, привлекаемым к исполнению договорных обязательств перед заказчиком, — в объёме, необходимом для исполнения договора;
  • профессиональным юридическим консультантам, аудиторам — в случаях, предусмотренных договором либо законом.

10.2. Передача персональных данных третьим лицам в иных случаях осуществляется Оператором исключительно при наличии согласия субъекта персональных данных, оформленного в форме отдельного документа.

10.3. Трансграничная передача персональных данных Оператором не осуществляется. В случае возникновения необходимости в такой передаче Оператор обязуется предварительно уведомить уполномоченный орган по защите прав субъектов персональных данных в порядке, предусмотренном статьёй 12 Закона № 152-ФЗ, и получить разрешение на трансграничную передачу.

10.4. Распространение персональных данных, в том числе размещение их в открытых источниках в сети «Интернет», не осуществляется в соответствии со статьёй 10.1 Закона № 152-ФЗ.

11. Использование cookie-файлов и системы веб-аналитики «Яндекс.Метрика»

11.1. Сайт Оператора использует cookie-файлы — небольшие фрагменты данных, размещаемые на устройстве пользователя при посещении Сайта и считываемые при последующих посещениях. Cookie применяются Оператором для следующих целей:

  • обеспечение корректной работы функциональных элементов Сайта (технические, или строго необходимые, cookie);
  • запоминание пользовательских настроек (предпочтения интерфейса, язык, ранее введённые в формы данные);
  • сбор анонимизированной статистики посещаемости и анализ поведения пользователей средствами системы веб-аналитики «Яндекс.Метрика»;
  • повышение качества предоставляемых услуг и совершенствование пользовательского опыта.

11.2. При первом посещении Сайта пользователю отображается информационный баннер, содержащий уведомление об использовании Сайтом cookie-файлов и системы веб-аналитики «Яндекс.Метрика», а также активную ссылку на настоящую Политику. Пользователю предоставляется возможность выразить согласие на установку необязательных cookie либо отказаться от их установки. Технические (строго необходимые) cookie, без которых функционирование Сайта невозможно, устанавливаются без получения отдельного согласия, что соответствует разъяснениям Роскомнадзора и согласуется с принципом минимизации обработки персональных данных.

11.3. Пользователь вправе самостоятельно ограничить или отключить приём cookie-файлов посредством настроек используемого им браузера; в указанном случае Оператор уведомляет о возможном ограничении функциональности Сайта, что не может рассматриваться как умаление прав пользователя.

11.4. Использование системы веб-аналитики «Яндекс.Метрика»

11.4.1. На Сайте Оператора используется система интернет-статистики «Яндекс.Метрика», правообладателем которой является ООО «ЯНДЕКС» (ОГРН 1027700229193, адрес места нахождения: 119021, г. Москва, ул. Льва Толстого, д. 16). Система установлена в целях получения статистической информации о посетителях Сайта, оценки эффективности работы Сайта, анализа источников трафика и совершенствования содержания Сайта.

11.4.2. В состав сведений, собираемых сервисом «Яндекс.Метрика» при посещении Сайта пользователем, входят:

  • IP-адрес устройства пользователя (в усечённой и (или) хэшированной форме при включённой опции анонимизации);
  • сведения о браузере, его версии, языке интерфейса, разрешении экрана и иных технических характеристиках устройства;
  • сведения об операционной системе устройства;
  • источник перехода пользователя на Сайт (в том числе адрес страницы-источника, поисковый запрос — при наличии);
  • история навигации пользователя по Сайту: посещённые страницы, продолжительность просмотра, последовательность переходов;
  • сведения о действиях пользователя на страницах Сайта (клики, прокрутка, заполнение форм — без сохранения вводимых персональных данных при условии корректной настройки фильтрации);
  • идентификаторы cookie-файлов, устанавливаемых системой «Яндекс.Метрика»;
  • сведения о факте и времени посещения Сайта, географическом регионе посещения (на уровне города и страны), определяемом по IP-адресу.

11.4.3. Оператор уведомляет, что система «Яндекс.Метрика» может применяться, в том числе, в режиме записи действий пользователя на страницах Сайта (технология «Вебвизор»), позволяющем воспроизвести последовательность действий конкретной сессии в обезличенной форме. При использовании указанной технологии Оператор обеспечивает корректную настройку фильтров, исключающую запись данных, вводимых пользователем в поля форм, содержащих персональные данные (фамилия, имя, отчество, контактные данные, паспортные данные, реквизиты документов и т. п.).

11.4.4. Сбор, обработка и хранение сведений, получаемых посредством системы «Яндекс.Метрика», осуществляются на серверах, расположенных на территории Российской Федерации, что соответствует требованиям части 5 статьи 18 Федерального закона № 152-ФЗ о локализации персональных данных граждан Российской Федерации.

11.4.5. Правовое основание использования системы «Яндекс.Метрика» — пункт 7 части 1 статьи 6 Закона № 152-ФЗ (обработка необходима для осуществления прав и законных интересов Оператора при условии, что не нарушаются права и свободы субъекта персональных данных), а также согласие пользователя, выражаемое посредством взаимодействия с информационным баннером о cookie-файлах при первом посещении Сайта.

11.4.6. ООО «ЯНДЕКС» при использовании системы «Яндекс.Метрика» выступает как лицо, осуществляющее обработку персональных данных по поручению Оператора в порядке, предусмотренном частью 3 статьи 6 Закона № 152-ФЗ. Условия обработки персональных данных ООО «ЯНДЕКС» определены пользовательским соглашением «Условия использования сервиса „Яндекс.Метрика“» и Политикой конфиденциальности ООО «ЯНДЕКС», размещёнными по адресам: https://yandex.ru/legal/metrica_termsofuse/ и https://yandex.ru/legal/confidential/.

11.4.7. Пользователь вправе в любой момент отказаться от сбора сведений системой «Яндекс.Метрика» путём:

  • установки специального дополнения для браузера «Блокировщик Яндекс.Метрики», доступного по адресу: https://yandex.ru/support/metrica/general/opt-out.html;
  • отключения хранения cookie-файлов и (или) JavaScript в настройках используемого браузера;
  • использования режима «инкогнито» при посещении Сайта;
  • взаимодействия с информационным cookie-баннером Сайта и отказа от установки необязательных cookie.

11.5. Иные системы веб-аналитики и иностранные сервисы

11.5.1. Оператор не использует на Сайте сервисы веб-аналитики и иные сервисы, осуществляющие сбор и (или) передачу персональных данных пользователей на серверы, находящиеся за пределами территории Российской Федерации (включая, но не ограничиваясь: Google Analytics, Google Tag Manager, Google Forms, Google reCAPTCHA, Facebook Pixel, иные сервисы Meta Platforms Inc., HubSpot, Mixpanel, Hotjar и аналогичные).

11.5.2. В случае внедрения Оператором иных сервисов веб-аналитики или маркетинга в дальнейшем настоящая Политика подлежит соответствующей актуализации с обязательным указанием правообладателя сервиса, состава собираемых сведений, места их обработки и правового основания использования.

12. Права субъекта персональных данных и порядок их реализации

12.1. Субъект персональных данных в соответствии со статьёй 14 Закона № 152-ФЗ имеет право:

  • получать сведения, касающиеся обработки его персональных данных Оператором (подтверждение факта обработки, правовые основания и цели обработки, обрабатываемые данные и источник их получения, сроки обработки и хранения, перечень лиц, которым могут быть раскрыты данные);
  • требовать уточнения своих персональных данных, их блокирования или уничтожения в случаях, когда они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных целей обработки;
  • отзывать согласие на обработку персональных данных в любой момент;
  • требовать прекращения обработки персональных данных, осуществляемой в целях продвижения товаров, работ, услуг на рынке;
  • обжаловать действия (бездействие) Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в суд;
  • требовать возмещения убытков и компенсации морального вреда, причинённого вследствие нарушения его прав на защиту персональных данных.

12.2. Запрос субъекта персональных данных направляется Оператору в письменной форме на адрес: 190000, г. Санкт — Петербург, ул. Некрасова, д. 1/38, лит. А, оф. 18-н1 либо в форме электронного документа на адрес электронной почты: info@szexp.ru. Запрос должен содержать сведения, предусмотренные частью 3 статьи 14 Закона № 152-ФЗ: номер основного документа, удостоверяющего личность субъекта (или его представителя), сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта в отношениях с Оператором (договор, обращение и т. д.), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта (или его представителя).

12.3. Оператор рассматривает запрос субъекта и предоставляет ответ в срок, не превышающий 10 рабочих дней с даты получения запроса (часть 1 статьи 20 Закона № 152-ФЗ); указанный срок может быть продлён, но не более чем на 5 рабочих дней при условии направления субъекту мотивированного уведомления о продлении.

12.4. Отзыв согласия на обработку персональных данных направляется субъектом по адресам, указанным в пункте 12.2; обработка персональных данных, осуществляемая исключительно на основании согласия, прекращается в срок, не превышающий 30 дней с даты получения отзыва.

13. Меры по обеспечению безопасности персональных данных

13.1. Оператор реализует комплекс правовых, организационных и технических мер, направленных на обеспечение безопасности персональных данных при их обработке, в соответствии со статьёй 19 Закона № 152-ФЗ, Постановлением Правительства РФ от 01.11.2012 № 1119, Приказом ФСТЭК России от 18.02.2013 № 21 и Приказом ФСБ России от 10.07.2014 № 378.

13.2. Правовые меры:

  • утверждение настоящей Политики и комплекса локальных нормативных актов в области обработки и защиты персональных данных;
  • включение в трудовые договоры и должностные инструкции работников, имеющих доступ к персональным данным, обязательств по соблюдению режима конфиденциальности;
  • заключение с лицами, привлекаемыми Оператором к обработке персональных данных, договоров поручения, отвечающих требованиям части 3 статьи 6 Закона № 152-ФЗ.

13.3. Организационные меры:

  • назначение лица, ответственного за организацию обработки персональных данных;
  • определение перечня лиц, допущенных к обработке персональных данных, и установление дифференцированного доступа на основании служебной необходимости;
  • периодическое ознакомление работников с положениями законодательства Российской Федерации о персональных данных и локальными актами Оператора;
  • осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям закона и настоящей Политики;
  • ведение журналов учёта обращений субъектов, носителей персональных данных, ознакомления работников;
  • определение для каждой ИСПДн уровня защищённости и применение соответствующего комплекса организационных и технических мер.

13.4. Технические меры:

  • применение сертифицированных средств защиты информации (антивирусное программное обеспечение, средства межсетевого экранирования);
  • использование средств криптографической защиты информации, имеющих сертификат соответствия ФСБ России, при передаче персональных данных по открытым каналам связи;
  • применение протокола HTTPS (SSL/TLS-шифрование) на всех страницах Сайта;
  • защита административной панели Сайта посредством сложных паролей и двухфакторной аутентификации;
  • регулярное резервное копирование данных и хранение резервных копий на серверах в Российской Федерации;
  • регистрация и учёт действий пользователей в информационных системах персональных данных;
  • контроль за съёмными носителями персональных данных и их защита.

14. Локализация персональных данных на территории Российской Федерации

14.1. В соответствии с частью 5 статьи 18 Закона № 152-ФЗ (в редакции, действующей с 01.07.2025) при сборе персональных данных, в том числе посредством информационно-телекоммуникационных сетей, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся исключительно на территории Российской Федерации.

14.2. Хостинг Сайта, серверы корпоративной электронной почты, информационные системы персональных данных, используемые Оператором, а также резервные копии всех баз данных размещаются на территории Российской Федерации.

14.3. Оператор не использует на Сайте и в своей деятельности иностранные сервисы, осуществляющие сбор персональных данных граждан Российской Федерации в базах данных, находящихся за пределами Российской Федерации, за исключением случаев получения соответствующего разрешения уполномоченного органа в порядке, предусмотренном статьёй 12 Закона № 152-ФЗ.

15. Действия Оператора при выявлении неправомерной обработки и инцидентов в сфере безопасности персональных данных

15.1. В случае выявления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлёкшей нарушение прав субъектов, Оператор:

  • в течение 24 часов с момента выявления инцидента уведомляет уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о факте инцидента, предполагаемых причинах и предполагаемом вреде, а также о принятых мерах (часть 3.1 статьи 21 Закона № 152-ФЗ);
  • в течение 72 часов с момента выявления инцидента направляет в Роскомнадзор сведения о результатах внутреннего расследования и об установленных лицах, действия которых стали причиной инцидента;
  • обеспечивает прекращение неправомерной обработки и принимает меры по устранению её последствий;
  • в случаях, предусмотренных законом, уведомляет субъектов персональных данных, чьи права были затронуты.

15.2. В случае подтверждения факта неточности персональных данных Оператор обеспечивает их уточнение в срок, не превышающий 7 рабочих дней с даты предоставления субъектом сведений, подтверждающих такую неточность, либо принимает меры по блокированию данных на период проверки.

16. Локальные нормативные акты Оператора в области обработки персональных данных

16.1. Во исполнение настоящей Политики Оператор разрабатывает и поддерживает в актуальном состоянии комплекс локальных нормативных актов:

  • Положение об обработке и защите персональных данных;
  • Перечень обрабатываемых персональных данных по категориям субъектов;
  • Перечень информационных систем персональных данных;
  • Перечень лиц, допущенных к обработке персональных данных;
  • Регламент действий при инцидентах в сфере безопасности персональных данных;
  • Положение о порядке рассмотрения обращений субъектов персональных данных;
  • Типовые формы согласий субъектов персональных данных, оформляемые в виде отдельных документов;
  • Приказ о назначении лица, ответственного за организацию обработки персональных данных;
  • Договоры поручения обработки персональных данных, заключаемые Оператором с подрядчиками.

16.2. Указанные локальные акты предоставляются по запросу уполномоченного органа в порядке, установленном законодательством, и являются обязательными для всех работников Оператора.

17. Заключительные положения

17.1. Настоящая Политика утверждается приказом директора АНО «СЗЭПЦ» и вступает в силу с момента её размещения на Сайте.

17.2. Оператор вправе вносить изменения и дополнения в настоящую Политику. Новая редакция Политики вступает в силу с момента её размещения на Сайте, если иное не предусмотрено новой редакцией. В заголовке актуальной редакции указывается дата её утверждения.

17.3. Действующая редакция Политики постоянно доступна по адресу: szexp.ru/policy. Предыдущие редакции Политики архивируются и предоставляются по запросу.

17.4. Контроль за исполнением требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных у Оператора.

17.5. По всем вопросам, связанным с обработкой персональных данных, субъект персональных данных вправе обратиться к Оператору по адресу электронной почты: info@szexp.ru, по почтовому адресу, указанному в разделе 2 настоящей Политики, либо по телефону Оператора.

17.6. Действующая редакция настоящей Политики утверждена 02. 07. 2025 г.