Политика в отношении обработки персональных данных АНО ДО «Центр иностранных языков»
1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее –Политика) определяет политику АНО ДО «Центр иностранных языков» (далее – Организация) в отношении обработки и обеспечения безопасности персональных данных.
1.2. Политика разработана в соответствии с действующим законодательством Российской Федерации, определяющим случаи и особенности обработки персональных данных и обеспечения безопасности и конфиденциальности такой информации.
1.3. Политика разработана в целях реализации требований законодательства в области обработки и обеспечения безопасности персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в Организации.
1.4. Политика устанавливает:
- цели обработки персональных данных;
- классификацию персональных данных и субъектов персональных данных;
- общие принципы обработки персональных данных;
- основных участников системы управления процессом обработки персональных данных;
- основные подходы к системе управления процессом обработки персональных данных.
1.5. Действие настоящей Политики распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передаче (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению персональных данных, осуществляемых с использованием средств автоматизации и без использования таких средств.
1.6. Положения настоящей Политики являются основой для организации работы по обработке персональных данных в Организации, в том числе, для разработки внутренних нормативных документов 2-го и 3-го уровня (регламентов, методик, технологических схем и пр.), регламентирующих процесс обработки персональных данных в Организации.
1.7. Политика обязательна для ознакомления и исполнения всеми лицами, допущенными к обработке персональных данных в информационной системе персональных данных.
1.8. На основании приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций Организация включена в реестр операторов, осуществляющих Обработку персональных данных.
1.9. Пересмотр и обновление настоящей Политики осуществляется в связи с изменениями законодательства Российской Федерации в области персональных данных, по результатам анализа актуальности, достаточности и эффективности используемых мер обеспечения информационной безопасности, а также по результатам других контрольных мероприятий.
1.10. Текущая редакция Политики размещается на сайте https://online-olympiad.ru/ в общем доступе и вступает в силу с момента размещения, если иное не будет предусмотрено новой редакцией Политики. Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящей Политикой, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.
2. Перечень нормативных документов
- Конституция Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»);
- Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
- Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
- иные нормативные правовые акты Российской Федерации и нормативные документы исполнительных органов государственной власти.
3. Термины и определения
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
Организация — АНО ДО «Центр иностранных языков», являющаяся в рамках Федерального закона «О персональных данных» оператором по обработке персональных данных, а именно: организующая и (или) осуществляющая самостоятельно или совместно с другими лицами обработку персональных данных, а также определяющая цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Блокирование — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Обезличивание — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Обработка персональных данных/обработка — любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Ответственный за организацию обработки персональных данных — должностное лицо, которое назначается приказом Организации, организующее принятие правовых, организационных и технических мер в целях обеспечения надлежащего выполнения функций по организации обработки персональных данных в Организации в соответствии с положениями законодательства Российской Федерации в области персональных данных;
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Предоставление — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Распространение — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Субъект персональных данных — физическое лицо, прямо или косвенно определенное или определяемое на основании относящихся к нему персональных данных;
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
4. Категории субъектов персональных данных, персональные данные которых обрабатываются в Организации. Цели обработки персональных данных
4.1. В Организации осуществляется обработка полученных в установленном законом порядке персональных данных, принадлежащих кандидатам на работу и работникам Организации, клиентам – физическим лицам, пользующимся услугами Организации, в том числе потенциальным клиентам, представителям клиентов, уполномоченным представлять клиентов; руководителям и сотрудникам юридических лиц, являющихся клиентами Организации; работникам партнеров Организации и других юридических лиц, имеющих договорные отношения с Организацией, с которыми взаимодействуют работники Организации в рамках своей деятельности.
4.2. Обработка персональных данных в информационной системе персональных данных работниками Организации осуществляется в целях осуществления коммерческой деятельности Организации, в соответствии с действующим законодательством Российской Федерации, а также в целях заключения, исполнения и прекращения договоров с физическими и юридическими лицами, организации кадрового учета работников Организации, исполнения обязательств по договорам, ведения кадрового делопроизводства, содействия работникам в обучении, пользовании различного вида льготами в соответствии с законодательством Российской Федерации:
- рассмотрение резюме и подбор кандидатов на вакантную должность для дальнейшего трудоустройства;
- заключение, сопровождение, изменение, расторжение трудовых договоров, а также исполнение обязательств, предусмотренных соответствующими договорами и локальными нормативными актами;
- заключение, сопровождение, изменение, расторжение гражданско-правовых договоров с поставщиками, подрядчиками, а также исполнение обязательств, предусмотренных соответствующими договорами;
- заключение, сопровождение, изменение, расторжение договоров на оказание услуг с клиентами, а также исполнение обязательств, предусмотренных соответствующими договорами;
- верификация пользователей информационного сайта в целях улучшения качества оказываемых услуг и обеспечения безопасности действий, совершаемых пользователями;
- взаимодействие с контактными лицами клиентов, поставщиков, подрядчиков в процессе согласования и заключения договоров;
- исполнения требований российского законодательства.
4.3. Информация, предоставленная Пользователем информационного сайта, используется Организацией исключительно в целях:
- предоставления Пользователю сайта возможности использования сервисов и функций сайта, установления и поддержания связи с Пользователем;
- направления на адрес электронной почты Пользователя сообщений информационного и иного характера;
- улучшения качества обслуживания и модернизации сайта https://online-olympiad.ru/;
- регистрации и идентификации Пользователя на сайте https://online-olympiad.ru/и управления учетной записью Пользователя на сайте https://online-olympiad.ru/.
5. Категории персональных данных, обрабатываемых в Организации
5.1. Перечень персональных данных, обрабатываемых в Организации, определяется в соответствии с законодательством Российской Федерации и локальными актами Организации с учетом целей обработки персональных данных, указанных в разделе 4 политики.
5.2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Организации не осуществляется.
5.3. Организация собирает, получает доступ и использует в определенных политикой целях персональные данные, техническую, биллинговую и иную информацию, связанную с субъектом.
Под персональными данными понимается следующая информация, которую субъект предоставляет Организации лично или при переходе на сайт https://online-olympiad.ru/, регистрации и/или авторизации на сайте https://online-olympiad.ru/ и использовании услуг и сервисов сайта https://online-olympiad.ru/:
- фамилия, имя, отчество;
- адрес электронной почты;
- контактный телефон;
- логин в Skype;
- адрес места жительства;
- почтовый индекс;
- и другая информация, необходимая для исполнения Организацией своих договорных и иных обязательств.
На интернет-сайте https://online-olympiad.ru/ может проводиться пассивный сбор статистических данных о пользователе, включая:
- посещенные страницы;
- количество посещений страниц;
- длительность пользовательской сессии;
- точки входа (сторонние сайты, с которых пользователь по ссылке переходит на сайт https://online-olympiad.ru/);
- точки выхода (ссылки на сайте https://online-olympiad.ru/, по которым пользователь переходит на сторонние сайты);
- страна пользователя;
- регион пользователя;
- провайдер пользователя;
- браузер пользователя;
- системные языки пользователя;
- ОС пользователя;
- разрешение экрана пользователя;
- кол-во цветов экрана пользователя.
Данные могут быть получены с помощью различных методов, например, файлов cookies и файловых веб-маяков и др. Организация может использовать сторонние интернет-сервисы для организации сбора статистических персональных данных, сторонние интернет-сервисы обеспечивают хранение полученных данных на собственных серверах. Организация не несет ответственности за локализацию серверов сторонних интернет-сервисов. Организация не проводит сопоставление информации, предоставляемой пользователем самостоятельно и позволяющей идентифицировать субъекта персональных данных, со статистическими персональными данными, полученными в ходе применения подобных пассивных методов сбора информации.
6. Основные принципы обработки персональных данных
6.1. Обработка Персональных данных в Организации осуществляется на основе принципов:
- законности целей и способов обработки персональных данных;
- добросовестности Организации как оператора персональных данных, что достигается путем выполнения требований законодательства Российской Федерации в отношении обработки персональных данных;
- соответствия содержания и объема обрабатываемых персональных данных, а также способов обработки персональных данных заявленным конкретным, заранее определенным и законным целям обработки; обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки;
- точности и достаточности, а в необходимых случаях и актуальности персональных данных по отношению к заявленным целям их обработки;
- уничтожения персональных данных по достижении целей обработки способом, исключающим возможность их восстановления; хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
6.2. Работники Организации, допущенные к обработке персональных данных, обязаны:
а) Знать и неукоснительно выполнять положения:
- законодательства Российской Федерации в области персональных данных;
- настоящей политики;
- локальных актов Организации по вопросам обработки и обеспечения безопасности персональных данных.
б) Обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей.
в) Не разглашать персональные данные, обрабатываемые в Организации.
г) Сообщать о действиях других лиц, которые могут привести к нарушению положений настоящей политики.
д) Сообщать об известных фактах нарушения требований настоящей политики ответственному за организацию обработки персональных данных в Организации.
6.3. Безопасность персональных данных в Организации обеспечивается выполнением согласованных мероприятий, направленных на предотвращение (нейтрализацию) и устранение угроз безопасности персональных данных, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и работы информационных систем персональных данных в случае реализации угроз.
7. Условия обработки персональных данных
7.1. Организация осуществляет обработку персональных данных с использованием средств автоматизации и без использования средств автоматизации.
7.2. Обработка персональных данных происходит в автоматизированном режиме, за исключением случаев, когда в отношении клиента или пользователя сайта может быть принято решение, затрагивающее его права и интересы и/или имеющее для него юридические последствия. Сотрудники Организации, осуществляющие в таких случаях обработку персональных данных, обязуются не разглашать персональные данные, ставшие им известными во время такой обработки.
7.3. Организация вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, на основании заключаемого с этим лицом договора, обязательным условием которого является соблюдение этим лицом принципов и правил обработки персональных данных, предусмотренных Федеральным законом «О персональных данных».
7.4. Персональные данные не раскрываются третьим лицам и не распространяются иным образом без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
7.5. Представители органов государственной власти (в том числе, контролирующих, надзорных, правоохранительных и иных органов) получают доступ к персональным данным, обрабатываемым в Организации, в объеме и порядке, установленном законодательством Российской Федерации.
7.6. Обработка персональных данных в Организации осуществляется с согласия субъекта персональных данных кроме случаев, установленных законодательством Российской Федерации.
8. Права субъекта персональных данных
8.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных в Организации;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Организацией способы обработки персональных данных;
- наименование и место нахождения Организации, сведения о лицах (за исключением работников Организации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Организацией или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Организации, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
8.2. Право субъекта персональных данных на получение информации, касающейся обработки его персональных данных, может быть ограничено в случаях, установленных Федеральным законом «О персональных данных».
8.3. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Организация вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Федеральном законе «О персональных данных».
8.4. Субъект Персональных данных имеет также иные права, установленные Федеральным законом «О персональных данных».
9. Обязанности Организации
9.1. В случаях, установленных законодательством Российской Федерации в области персональных данных, Организация обязана предоставить субъекту персональных данных или его представителю при обращении либо при получении запроса от субъекта персональных данных или его представителя информацию, предусмотренную п. 8.1 настоящей политики. По требованию субъекта персональных данных Организация обязана уточнять обрабатываемые персональные данные, блокировать или удалять, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
9.2. Организация при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных Федеральным законом «О персональных данных».
9.3. В случае достижения цели обработки персональных данных или отзыва субъектом персональных данных согласия на обработку своих персональных данных Организация обязана незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором.
9.4. Организация несет иные обязанности, установленные Федеральным законом «О персональных данных».
10. Меры по обеспечению безопасности персональных данных при их обработке
10.1. При обработке персональных данных Организация принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
10.2. Обеспечение безопасности персональных данных достигается, в частности:
- назначением ответственного за организацию обработки персональных данных;
- изданием документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
- осуществлением внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике в отношении обработки персональных данных, локальным актам;
- ознакомлением сотрудников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников.
10.3. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Организацией требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных":
Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Организацией требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" определяется в соответствии со ст. ст. 15, 151, 152, 1101 Гражданского кодекса Российской Федерации. Соотношение указанного вреда и принимаемых Организацией мер, направленных на предупреждение, недопущение и/или устранение его последствий, устанавливается в отдельных локальных нормативных актах Организации.
11. Обработка персональных данных без использования средств автоматизации
11.1. Правила работы с персональными данными и их материальными носителями без использования средств автоматизации определены в соответствии с «Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденным постановлением Правительства РФ от 15.09.2008 № 687. Обработка персональных данных, полученных от работника либо клиента Организации, считается осуществленной без использования средств автоматизации, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Документ, содержащий персональные данные – материальный носитель с зафиксированной на нем в любой форме информацией, содержащей персональные данные работников в виде текста, фотографии и (или) их сочетания.
11.2. Обработка персональных данных ведется в отношении личных персональных данных (персональные данные, подвергающиеся обработке) и должны обособляться от иной информации путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм. При фиксации персональных данных на материальных носителях не допускается фиксации на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Работники, осуществляющие обработку персональных данных, информируются непосредственным начальником (руководителем) о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.
К обработке персональных данных допускаются только сотрудники прошедшие определенную процедуру допуска, к которой относятся:
- ознакомление сотрудника с локальными нормативными актами (положения, инструкции и т.д.), строго регламентирующими порядок и процедуру работы с персональными данными;
- взятие с сотрудника подписки о соблюдении конфиденциальности в отношении персональных данных при работе с ними;
- получение сотрудником и использование в работе минимально необходимых для исполнения трудовых обязанностей прав доступа к информационным системам, содержащим в себе персональные данные.
Типовые формы документов должны быть составлены таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных.
Хранение документов, содержащих персональные данные, осуществляется в шкафах, запираемых на ключ.
При хранении персональных данных соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним. К ним относятся:
- назначение подразделения или сотрудника ответственного за тот или иной способ хранения персональных данных;
- ограничение физического доступа к местам хранения и носителям;
- учет всех информационных систем и электронных носителей, а так же архивных копий.
Уничтожение документов, содержащих персональные данные, осуществляется способом, не позволяющим в дальнейшем ознакомиться с персональными данными.
11.3. При работе с документами, содержащими персональные данные, сотрудник обязан исключить возможность ознакомления, просмотра этих документов лицами, не допущенными к работе с ними (в том числе другими работниками своего структурного подразделения).
При выносе документов, содержащих персональные данные, за пределы территории Организации по служебной необходимости сотрудник должен принять все возможные меры, исключающие утрату (утерю, хищение) таких документов. При утрате (утере, хищении) документов, содержащих персональные данные, работник обязан немедленно доложить о таком факте своему непосредственному начальнику (руководителю). Непосредственный начальник (руководитель) должен сообщить заместителю директора, курирующему вопросы защиты информации о факте утраты (утере, хищении) документов, содержащих персональные данные. По каждому такому факту назначается служебное расследование.
Сотрудникам, допущенным к обработке персональных данных, запрещается:
а) Сообщать сведения, являющиеся персональными данными, лицам, не имеющим права доступа к этим сведениям.
б) Делать неучтенные копии документов, содержащих персональные данные.
в) Оставлять документы, содержащие персональные данные, на рабочих столах без присмотра.
г) Покидать помещение, не поместив документы с персональными данными в закрываемые шкафы.
д) Выносить документы, содержащие персональные данные, из помещений без служебной необходимости.
11.4. Контроль за выполнением положений настоящей Политики возлагается на Ответственного за соблюдение конфиденциальности персональных данных при их хранении. За нарушение правил обработки персональных данных, их неправомерное разглашение или распространение, виновные лица несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством. В случае если в результате действий работника был причинен подлежащий возмещению работодателем ущерб третьим лицам, работник несет перед работодателем материальную ответственность в соответствии с главой 39 Трудового кодекса РФ. В случае разглашения персональных данных, ставших известными работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника, трудовой договор с работником может быть расторгнут работодателем (подпункт «в» пункта 6 статьи 81 Трудового кодекса РФ).