Сведения об образовательной организации

ПОЛИТИКА В ОБЛАСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Цель политики

Обеспечение защиты прав и свобод человека при обработке его персональных данных, в том числе защита прав на неприкосновенность частной жизни, личную и семейную тайну в ЧОУ ДПО «РЦПП «Евраз-Сибирь».

Действие Политики распространяется на все процессы Учреждения, в рамках которых осуществляется обработка персональных данных как с использование средств автоматизации, так и без использования таких средств.

2. Основные понятия в области персональных данных

2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.2. Оператор - юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.3. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.4. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

2.5. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.6. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.7. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.8. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.9. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

2.10. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.11. Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2.12. Защита персональных данных - принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

2.13. Субъект персональных данных (субъект) – физическое лицо, к которому относятся соответствующие персональные данные.

2.14. Согласие на обработку персональных данных – выраженное субъектом персональных данных конкретное, предметное, информированное, сознательное и однозначное согласие на обработку персональных данных в любой позволяющей подтвердить факт его получения форме, а в случаях, предусмотренных федеральными законами – в письменной форме или в электронной форме, подписанное электронной подписью.  В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных не следует, что он согласился с распространением персональных данных, такие персональные данные обрабатываются без права распространения. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

2.15. Биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность  и которые используются оператором для установления личности субъекта персональных данных. могут обрабатываться только при наличии  согласия  в письменной форме субъекта персональных данных. Предоставление биометрических персональных данных не может быть обязательным.

3. Основные права и обязанности оператора и субъекта (-ов) персональных данных

3.1. Основные права и обязанности оператора (Учреждения) определены Федеральным законом «О персональных данных» от 27.07.2006 № 152 – ФЗ, в частности:

• предоставлять субъекту персональных данных по его письменному запросу информацию, касающуюся его персональных данных, либо на законных основаниях предоставить отказ;
• распространять (делать доступными для других работников/субъектов) персональные данные на законных основаниях (например, для данных корпоративных систем);
• осуществлять обработку персональных данных, разрешенных субъектом персональных данных для распространения;
• по требованию субъекта уточнять обрабатываемые персональные данные, блокировать или удалять, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Либо обеспечить блокирование, удаление, в случае если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора;
• по требованию субъекта персональных данных или уполномоченных органов предоставлять доказательство получения согласия субъекта персональных данных на обработку его персональных данных/наличие иных законных оснований для обработки персональных данных;
• уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных (исключение – наличие уведомления субъекта);
• в случае достижения цели обработки персональных данных, незамедлительно прекратить обработку персональных данных и уничтожить либо обезличить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами.
• обеспечить уничтожение, обезличивание в случае, если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора. Уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;
• в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных, прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Учреждением и субъектом персональных данных;
• обеспечить прекращение обработки персональных данных и их уничтожение, в случае если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора. Об уничтожении персональных данных Учреждение обязано уведомить субъекта персональных данных;
• в случае поступления требования субъекта о прекращении обработки персональных данных немедленно прекратить обработку персональных данных;
• обеспечить прекращение обработки персональных данных, в случае если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора;
• в любое время по требованию субъекта персональных данных прекратить передачу (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения;
• при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

3.2. Основные права и обязанности субъекта персональных данных определены Федеральным законом «О персональных данных» от 27.07.2006 № 152 – ФЗ, в частности:

• Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе;
• Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом;
• Субъект персональных данных вправе требовать от Учреждения (посредством направления письменного запроса) уточнения своих персональных данных, их блокирования или уничтожения в случаях, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
• Субъект персональных данных имеет право на получение по письменному запросу информации, касающейся обработки его персональных данных (если такое право не ограничено в соответствии с федеральными законами), в том числе содержащей:
  • подтверждение факта обработки персональных данных Учреждением;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые Учреждением способы обработки персональных данных;
  • наименование и место нахождения Учреждения, сведения о лицах (за исключением работников Учреждения), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Учреждением или на основании Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных»;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных»;
  • информацию о ранее осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Учреждения, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» или другими федеральными законами.
• Обращение к оператору по вопросам обработки персональных данных и в случае, если субъект считает, что его права нарушены и оператор не предпринял необходимых мер обращение за защитой в порядке, определенном Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» или другими федеральными законами;
• Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

4. Цели обработки персональных данных

• Персональные данные обрабатываются Учреждением в соответствии с законодательством в целях:
• сохранения/защиты жизни и здоровья и благополучия субъектов персональных данных,
• обеспечения их личной безопасности,
• осуществления функций работодателя,
• соблюдения Учреждением трудового законодательства и создания необходимых условий работникам для выполнения трудовых функций; получения социальных льгот и гарантий;
• исполнения требований законодательства, в том числе налогового, трудового, гражданского, об архивном деле в Российской Федерации, о бухгалтерском учёте и других;
• формирования и ведения справочников для информационного обеспечения деятельности Учреждения,
• предоставления сведений в контролирующие органы,
• соблюдение внутриобъектового и пропускного режима, допуска на территорию Учреждения третьих лиц;
• организации хранения и обеспечения сохранности документов в соответствии с требованиями действующего законодательства.
• Конкретные цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов персональных данных, способы, сроки их обработки и хранения приведены/указаны в Положении (Правилах) обработки персональных данных Учреждения.

5. Принципы обработки персональных данных

Обработка персональных данных в Учреждении осуществляется с соблюдением следующих принципов:

• обработка персональных данных осуществляется на законной и справедливой основе;
• обработке подлежат только персональные данные, которые отвечают целям их обработки.
• обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
• обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
• не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
• не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки;
• при обработке персональных данных обеспечиваются точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных;
• хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законодательством.

6. Правовые основания обработки персональных данных

Обработка персональных данных Учреждением допускается в следующих случаях:

• ­при наличии согласия Субъекта персональных данных на обработку его персональных данных;
• ­обработка необходима для достижения целей, предусмотренных законодательством, а также для осуществления и выполнения возложенных законодательством на Учреждение функций, полномочий и обязанностей;
• ­для заключения договора по инициативе субъекта персональных данных и исполнения договора, стороной которого или выгодоприобретателем, по которому является субъект персональных данных; такими договорами, без ограничения, являются трудовые договоры с работниками, договоры гражданско-правового характера с контрагентами – физическими лицами;
• ­обработка необходима для осуществления прав и законных интересов Учреждения и/или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъектов персональных данных;
• ­обработка осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;
• ­обработка персональных данных, разрешенных субъектом персональных данных для распространения;
• ­персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с законодательством.

7. Объем и категории обрабатываемых персональных данных

7.1 Состав персональных данных, обрабатываемых в Учреждении, определяется в соответствии с законодательством Российской Федерации и предусмотрен/определен локальным нормативным актом Учреждения - Правилами обработки персональных данных с учётом целей обработки персональных данных, указанных в настоящей Политике.

7.2 Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, интимной жизни, религиозных и философских убеждений в Учреждении не осуществляется.

7.3 В целях информационного обеспечения Учреждение может создавать общедоступные источники (в том числе справочники и адресные книги), в которые могут включаться персональные данные, сообщаемые субъектом персональных данных с его письменного согласия, если иное не предусмотрено законодательством Российской Федерации.

7.4 В Учреждении могут обрабатываться биометрические персональные данные субъектов персональных данных только при наличии письменного согласия субъектов, если иное не предусмотрено законодательством Российской Федерации.

8. Категории субъектов персональных данных

Учреждение осуществляет обработку персональных данных следующих субъектов:

• работники Учреждения, члены семьи и родственники работников, уволенные работники, законные представители;
• кандидаты для приема на работу, члены семьи работника /кандидата на работу;
• третьи лица, в том числе: являющиеся стороной по договору, подписантом и исполнителем, контрагенты Учреждения и их работники, представители контрагентов.

9. Порядок и условия обработки персональных данных

9.1 Учреждение осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

9.2 Обработка персональных данных в Учреждении осуществляется следующими способами:

• неавтоматизированная обработка персональных данных;
• автоматизированная обработка персональных данных с передачей информации по

информационно-телекоммуникационным сетям или без таковой;

• смешанная обработка персональных данных.

9.3. Обработка персональных данных в Учреждении осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.

9.4. Учреждение не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством.

9.5. Учреждение вправе с согласия субъекта персональных данных поручить обработку его персональных данных другому лицу на основании заключаемого с этим лицом договора.

9.6. Меры, необходимые и достаточные для обеспечения выполнения Учреждением обязанностей операторов, предусмотренных законодательством Российской Федерации в области персональных данных, включают:

• назначение лица, ответственного за организацию обработки персональных данных;
• принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;
• определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
• ознакомление работников Учреждения, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных и локальными актами по вопросам обработки персональных данных и, при необходимости, организация обучения указанных сотрудников;
• получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
• осуществление внутреннего контроля за принимаемыми мерами по обеспечению безопасности персональных данных;
• иные меры, предусмотренные законодательством Российской Федерации в области персональных данных.

9.7. Лицо, ответственное за организацию обработки персональных данных организует непрерывный процесс контроля соблюдения в Учреждении требований федерального законодательства и локальных нормативных актов в области персональных данных.

9.8. Должностные лица/работники Учреждения виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут ответственность, предусмотренную законодательством Российской Федерации.

9.9. Учреждение не осуществляет трансграничную передачу персональных данных.

9.9.1. В случае принятия Учреждением решения об осуществлении трансграничной передачи персональных данных Учреждение до начала трансграничной передачи данных обязано уведомить (на бумажном носителе или в форме электронного документа)  Роскомнадзор о своем намерении осуществлять трансграничную передачу персональных данных в порядке и на условиях, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», с обязательным получением до подачи такого уведомления сведений от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача персональных данных (такие сведения предоставляются Учреждением по запросу Роскомнадзора в течение 10 рабочих дней с даты его получения).

9.9.2. После направления уведомления, указанного в п. 9.9.1, Учреждение вправе осуществлять трансграничную передачу персональных данных на территории указанных в таком уведомлении иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных или включенных в утвержденный Роскомнадзором Перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, до принятия решения Роскомнадзором о запрете или об ограничении трансграничной передачи персональных данных.

9.9.3. После направления уведомления, указанного в п. 9.9.1, Учреждение до истечения сроков, установленных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», не вправе осуществлять трансграничную передачу персональных данных на территории указанных в уведомлении иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенных в утвержденный Роскомнадзором Перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, за исключением случая, если такая трансграничная передача персональных данных необходима для защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц.

9.9.4. В случае принятия Роскомнадзором решения о запрете или об ограничении трансграничной передачи персональных данных Учреждение обязано обеспечить уничтожение органом власти иностранного государства, иностранным физическим лицом, иностранным юридическим лицом ранее переданных им персональных данных.

10. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

10.1. В случае подтверждения факта неточности персональных данных персональные данные подлежат уточнению Учреждением, а в случае подтверждения факта неправомерности их обработки – обработка персональных данных должна быть прекращена.

10.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• оператор не вправе осуществлять обработку без согласия субъекта персональных данных за исключением случаев, предусмотренных законом;
• иное не предусмотрено иным соглашением между Учреждением и субъектом персональных данных.

10.3. Учреждение сообщает субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего. 

11. Порядок действий в случае утечки/неправомерных действий в отношении персональных данных

11.1. Учреждение при обработке персональных данных для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных принимает все необходимые меры.

11.2. В случае утечки/неправомерных действий в отношении персональных данных:

11.2.1 Каждый работник Учреждения обязан незамедлительно уведомить лицо, ответственное за организацию обработки персональных данных, о ставшем ему известном готовящемся или свершившемся инциденте в отношении персональных данных установленным в Учреждении способом.

11.2.2. Уведомление о свершившемся инциденте в отношении персональных данных должно содержать следующую информацию: источник получения информации, дату и время инцидента с персональными данными, информацию о категориях персональных данных и информационных системах персональных данных, в отношении которых произошел инцидент, и иные обстоятельства, известные работнику.

11.2.3. Ответственное лицо незамедлительно осуществляет предварительный анализ обстоятельств, сообщенных работником на основании п. 11.2.2, и в случае, если факт инцидента подтвержден, незамедлительно:

— информирует руководство (директора) Учреждения о случившемся факте;

— инициирует проведение внутреннего расследования с обязательным привлечением заинтересованных подразделений Учреждения;

— выявляет предполагаемые причины инцидента;

— проводит оценку предполагаемого вреда, нанесенного правам субъектов персональных данных.

11.2.4. В срок не позднее 24 часов с момента выявления инцидента ответственное лицо уведомляет Роскомнадзор о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Учреждением на взаимодействие с Роскомнадзором по вопросам, связанным с выявленным инцидентом.

11.2.5. При получении информации об инциденте должностное лицо Учреждения, на которое возложены обязанности по организации и обеспечению информационной безопасности, незамедлительно осуществляет внутреннее расследование инцидента в рамках предусмотренных процедур Учреждения с привлечением заинтересованных подразделений.

Результаты расследования докладываются Директору Учреждения и сообщаются в уполномоченные органы в установленном порядке.

11.2.6. По факту получения информации ответственное лицо незамедлительно, но не позднее 72 часов с момента выявления инцидента уведомляет Роскомнадзор о результатах внутреннего расследования инцидента, а также предоставляет сведения о лицах, действия которых стали его причиной (при наличии).

12. Контактная информация для направления обращений

Обращения субъектов персональных данных и их представителей по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным принимаются Учреждением посредством обращения на почту указать Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в браузере должен быть включен Javascript.