Настоящая Политика (положение) в отношении обработки и защиты персональных данных определяет права и обязанности руководителей и сотрудников, имеющих доступ к персональным данным, порядок обработки персональных данных сотрудников организации и иных субъектов персональных данных.
Настоящая Политика разработана на основе и во исполнение части 1 статьи 23, статьи 24 Конституции Российской Федерации, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон «О персональных данных»), Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», положений главы 14 Трудового кодекса Российской Федерации, Постановления Правительства РФ от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», иных нормативных правовых актов в сфере обработки персональных данных.
Цель настоящей Политики — защита персональных данных сотрудников организации и иных субъектов персональных данных от несанкционированного доступа и разглашения, предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.
Настоящая Политика обязательна для всех сотрудников, имеющих доступ к персональным данным, а также иных субъектов персональных данных, чьи персональные данные обрабатываются организацией.
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
Информационная система персональных данных (ИСПДн) — совокупность персональных данных, содержащихся в базе данных организации, и обеспечивающих их обработку информационных технологий и технических средств;
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с данными с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, удаление, уничтожение.
Образовательный портал — сайт в сети Интернет и/или программное обеспечение, с помощью которых Организация создает онлайн-школу(ы), оказывает образовательные и консультационные услуги, размещает информацию (обучающие материалы) и предоставляет доступ к такой информации Обучающимся, а также реализует иной функционал образовательной платформы.
Обучающийся — лицо, с которым организацией заключен договор оказания платных образовательных услуг, в том числе заказчик-физическое лицо по такому договору.
Организация — оператор персональных данных, ООО «СМАРТАП ТЕХНОЛОДЖИ», 644033, Россия, Омская обл., г. Омск, Улица Ледорезная 3-я, д. 7.
Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации сотруднику (уволенному сотруднику) организации или иному физическому лицу, которая сама по себе или в сочетании с другой информацией, обрабатываемой организацией, позволяет идентифицировать личность субъекта персональных данных.
Сотрудник — лицо, заключившее трудовой договор с организацией.
Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
5.1. Организация обрабатывает персональные данные следующих категорий субъектов персональных данных:
а) сотрудников, заключивших трудовой договор с организацией;
б) сотрудников, ранее состоявших в трудовых отношениях с организацией;
в) обучающихся на образовательном портале.
5.2. Права субъектов персональных данных.
5.2.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
— подтверждение факта обработки персональных данных организацией;
— правовые основания и цели обработки персональных данных;
— применяемые организацией способы обработки персональных данных;
— наименование и место нахождения организации, сведения о лицах (за исключением работников), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с организацией или на основании федерального закона;
— обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
— сроки обработки персональных данных, в том числе сроки их хранения;
— порядок осуществления субъектом персональных данных прав, предусмотренных Законом «О персональных данных»;
— информацию об осуществленной или о предполагаемой трансграничной передаче данных;
— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению организации, если обработка поручена или будет поручена такому лицу;
— иные сведения, предусмотренные Законом «О персональных данных» или другими федеральными законами.
5.2.2. Субъект персональных данных вправе требовать от организации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
5.2.3. Если Субъект персональных данных считает, что организация осуществляет обработку его персональных данных с нарушением требований Закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Организации в орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор) или в судебном порядке.
5.2.4. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
6.1. Цели обработки персональных и соответствующие категории субъектов персональных данных, категории персональных данных и соответствующие обрабатываемые персональные данные представлены в следующей таблице:
6.2. Организация не обрабатывает биометрические персональные данные субъектов, указанных в пункте 5.
6.3. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни и сведений о здоровье организацией не осуществляется.
6.4. Персональные данные субъектов содержатся в следующих документах:
а) паспорт или иной документ, удостоверяющий личность;
б) трудовая книжка;
в) страховой номер индивидуального лицевого счета (СНИЛС);
г) свидетельство о регистрации индивидуального налогового номера (ИНН);
д) документы воинского учета — для военнообязанных лиц, подлежащих призыву на военную службу;
е) документы об образовании, о квалификации или наличии специальных знаний или специальной подготовки;
ж) документы составе семьи;
и) документы, содержащие сведения о заработной плате, доплатах и надбавках;
к) приказы о приеме лица на работу, об увольнении, а также о переводе лица на другую должность;
л) другие документы, содержащие сведения, предназначенные для использования в служебных целях.
Трансграничная передача персональных данных на территории иностранных государств не осуществляется.
8.1. Обработка персональных данных организацией ведется смешанным способом, т.е. происходит как автоматизированным способом, так и неавтоматизированным.
8.1.1. В том числе организация осуществляет сбор персональных данных с использованием форм, размещенных на страницах сайтов в информационно-телекоммуникационной сети Интернет. При таком сборе субъекту персональных данных предоставлена возможность ознакомления с настоящей Политикой и возможность дачи согласия на обработку персональных данных. Организация вправе запросить у субъекта персональных данных, предоставившего свои персональные данные путем заполнения упомянутых форм, подтверждения факта отнесения предоставленных персональных данных к данному субъекту персональных данных. В случае неполучения такого подтверждения организация уничтожает полученные персональные данные, если иное не предусмотрено законодательством.
8.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
8.3. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Обработка персональных данных, разрешенных для распространения, осуществляется с согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
8.4. Все персональные данные организация получает непосредственно от субъекта персональных данных, за исключением случаев, если их получение возможно только у третьих лиц.
8.4.1. Получение персональных данных у третьих лиц, возможно только при уведомлении субъекта персональных данных об этом заранее и с его письменного согласия.
8.5. Обработка персональных данных субъектов ограничивается достижением целей, указанных в пункте 6 настоящей Политики. Обработка персональных данных, несовместимая с целями сбора, не допускается.
8.6. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, организация обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных субъектов Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
8.7. Все сотрудники ознакамливаются под расписку, а иные субъекты — путем ознакомления с опубликованными в установленном порядке в сети Интернет документами организации, устанавливающими порядок обработки и защиты персональных данных, правах и обязанностях субъектов персональных данных в этой области.
9.1. Все персональные данные хранятся в информационной системе персональных данных (ИСПДн) организации.
9.2. Бумажные носители, содержащие персональные данные, хранятся в запертом металлическом сейфе.
9.3. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или соглашением с субъектом персональных данных не установлен соответствующий срок хранения.
9.4. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении следующий условий:
а) сроки обработки персональных данных определены в соответствии со сроком действия договора (соглашения), заключенного с субъектом.
б) в случае ликвидации организации;
б) при достижении целей обработки или отсутствии необходимости обработки ПД,
в) при отзыве согласия сотрудника на обработку его персональных данных, при отзыве согласия на обработку персональных данных, разрешенных для распространения (для случаев, когда не допускается обработка персональных данных без согласия субъекта).
9.5. При обращении субъекта персональных данных с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения организацией соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных законом о персональных данных.
9.5. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора организация осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
9.6. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора организация осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
10.1. Защита персональных данных от неправомерного их использования или утраты обеспечивается за счет средств организации в порядке, установленном федеральным законом.
10.2. Организация принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
а) применяются правовые, организационные и технические меры по обеспечению безопасности персональных данных;
б) назначен ответственный за организацию обработки персональных данных;
в) разработаны и опубликованы на внутреннем сайте организации локальные нормативные акты по вопросам обработки персональных данных;
г) обеспечивается учет машинных носителей персональных данных;
д) выполняется восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
е) ограничение и разграничение доступа сотрудников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными;
ж) доступ обеспечен только лицам, указанным в перечне сотрудников, допущенных к работе с персональными данными;
з) сотрудники, осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, с локальными актами организации по вопросам обработки персональных данных.
и) определены тип угроз безопасности и уровень защищенности персональных данных, которые хранятся в ИСПДн организации.
10.3. В целях защиты персональных данных на бумажных носителях организация:
а) ограничивает допуск в помещения, где хранятся документы, которые содержат персональные данные субъектов;
б) обеспечивает хранение бумажных носителей персональных данных в сейфах.
10.4. При выявлении организацией факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, организация:
а) в течение 24 часов — уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента,
б) в течение 72 часов — уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
11.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной ответственности. К данным лицам могут быть применены следующие дисциплинарные взыскания:
а) замечание;
б) выговор;
в) увольнение.
11.2. За каждый дисциплинарный проступок может быть применено только одно дисциплинарное взыскание.
Иные права и обязанности организации как оператора персональных данных определяются законодательством Российской Федерации в области персональных данных.
Организация вправе вносить изменения в настоящую политику (положение) в отношении обработки и защиты персональных данных без согласия субъекта персональных данных.
Настоящее политика (положение) в отношении обработки и защиты персональных данных вступает в силу с момента ее утверждения директором организации.
Действующая политика опубликована по адресу https://school.smartup.ru/privacy.