1 Общие положения
1.1 Настоящий документ определяет порядок обработки персональных данных и излагает систему основных принципов, применяемых в отношении обработки персональных данных в АНО ДПО «Новые образовательные технологии» (далее – Компания).
1.2 Действие настоящей Политики распространяется на все операции, совершаемые в Компании с персональными данными с использованием средств автоматизации или без их использования.
1.3 Настоящая Политика обязательна для ознакомления и исполнения всеми лицами, допущенными к обработке персональных данных в Компании, и лицами, участвующими в организации процессов обработки и обеспечения безопасности персональных данных в Компании.
1.4 Настоящая Политика разработана в соответствии с Конвенцией Совета Европы №108 о защите личности в связи с автоматической обработкой персональных данных и Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных».
1.5 Настоящая Политика подлежит актуализации в случае изменения законодательства РФ о персональных данных.
2 Введение
2.1 В соответствии с подпунктом 2 статьи 3 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» Компания является оператором, т.е. юридическим лицом, самостоятельно организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Компания также осуществляет обработку персональных данных по поручению других операторов.
2.2 Важным условием реализации целей деятельности Компании является обеспечение защиты прав и свобод человека и гражданина - субъекта персональных данных при обработке его персональных данных.
2.3 В Компании разработаны и введены в действие локальные нормативные акты и документы, устанавливающие порядок обработки и обеспечения безопасности персональных данных, которые обеспечивают соответствие требованиям Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов.
3 Принципы и условия обработки персональных данных в Компании
3.1 Компания, являясь оператором, осуществляет обработку персональных данных следующих субъектов:
• Соискателей на замещение вакантных должностей – в составе и сроком, необходимыми для принятия Компанией решения о приеме либо отказе в приеме на работу, содействия в трудоустройстве, формирования кадрового резерва с согласия субъекта персональных данных;
• Работников Компании – в составе и сроком, необходимыми для достижения целей, предусмотренных законодательством РФ, осуществления и выполнения возложенных законодательством РФ на Компанию функций, полномочий и обязанностей, для заключения и исполнения трудового договора, стороной которого является субъект персональных данных, для предоставления работникам дополнительных гарантий, компенсаций и льгот, а также осуществления прав и законных интересов работников с согласия субъекта персональных данных;
• Родственников работников Компании – в составе и сроком, необходимыми для достижения целей, предусмотренных законодательством РФ, осуществления и выполнения возложенных законодательством РФ на Компанию функций, полномочий и обязанностей;
• Действующих и потенциальных контрагентов Компании и их представителей – в составе и сроком, необходимыми для заключения, исполнения, изменения и расторжения договоров, проведения и участия в коммерческих тендерах, ведения коммерческих, финансовых, юридических переговоров, направленных на заключение, исполнение, изменение или расторжение любых не запрещенных действующим законодательством договоров, вне зависимости от результатов таких переговоров, в том числе подготовки, направления, изменения коммерческих предложений, продвижения товаров и услуг с согласия субъекта персональных данных, проявления должной степени заботливости и осмотрительности при выборе контрагента; а также достижения целей, предусмотренных законом РФ, осуществления и выполнения возложенных законодательством РФ на Компанию функций, полномочий и обязанностей (в том числе выполнение требований законодательства о противодействии легализации (отмыванию) доходов, полученных преступным путем и финансирования терроризма) с согласия субъекта персональных данных;
• Посетителей офисов Компании – в составе и сроком, необходимыми для обеспечения прохода субъекта персональных данных на территорию офисов Компании, обеспечения безопасности посетителей с согласия субъекта персональных данных;
• Представителей уполномоченных органов – в составе и сроком, необходимыми для достижения целей, предусмотренных законодательством РФ, осуществления и выполнения возложенных законодательством РФ на Компанию функций, полномочий и обязанностей.
3.2 Сроки обработки персональных данных определены с учетом:
• Установленных целей обработки персональных данных;
• Сроков, указанных в договорах с субъектами персональных данных, поручениях на обработку персональных данных и согласиях субъектов персональных данных на обработку их персональных данных;
• Сроков, определенных нормативно-правовыми актами РФ по хранению документов;
• Сроков хранения документации, установленных локальными нормативными актами Компании.
3.3 Компания осуществляет обработку персональных данных на законной и справедливой основе.
3.4 При обработке персональных данных обеспечиваются их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
3.5 Компания не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных (если иное не предусмотрено законодательством РФ).
3.6 В Компании не создаются общедоступные источники персональных данных.
3.7 Компания не осуществляет обработку специальных категорий персональных данных. При этом Компания выполнит, в случает необходимости, все требования к осуществлению обработки специальных категорий персональных данных, предусмотренные Федеральным законом РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г.
3.8 Компания при необходимости осуществляет обработку биометрических персональных данных. При этом Компания выполняет все требования к осуществлению обработки биометрических персональных данных, предусмотренные Федеральным законом РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г.
3.9 Компания при необходимости осуществляет трансграничную передачу персональных данных. При этом Компания выполняет все требования к осуществлению трансграничной передачи персональных данных, предусмотренные Федеральным законом РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г.
3.10 Компания осуществляет обработку персональных данных в целях продвижения товаров, работ и услуг Компании на рынке путем осуществления прямых контактов с потенциальным контрагентом с помощью средств связи. При этом Компания выполняет все требования к осуществлению такой обработки, предусмотренные Федеральным законом РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г. Компания не осуществляет обработку персональных данных в целях политической агитации.
3.11 В Компании не осуществляется принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных.
3.12 Компания вправе поручить обработку персональных данных другим лицам. При этом Компания выполняет все требования к поручению обработки персональных данных, предусмотренные Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных».
3.13 Компания осуществляет обработку персональных данных с использованием средств автоматизации и без их использования. При этом Компания выполняет все требования к автоматизированной и неавтоматизированной обработке персональных данных, предусмотренные Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
4 Права субъектов персональных данных, обрабатываемых в Компании
4.1 Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных. Для получения указанной информации субъект персональных данных может отправить письменный запрос по адресу: 660017, г. Красноярск, пр. Мира, д. 91, помещение 31, комната 32, 33, в порядке, установленном ст. 14 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных».
4.2 Субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Для реализации указанных требований субъект персональных данных может отправить письменный запрос по адресу: 660017, г. Красноярск, пр. Мира, д. 91, помещение 31, комната 32, 33, в порядке, установленном ст. 21 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных».
5 Исполнение обязанностей оператора Компанией
5.1 Компания получает персональные данные от субъектов персональных данных, от третьих лиц (лиц, не являющихся субъектами персональных данных) и из общедоступных источников персональных данных (в том числе, в информационно-телекоммуникационной сети «Интернет»). При этом Компания выполняет обязанности, предусмотренные Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных» при сборе персональных данных.
5.2 Компания прекращает обработку персональных данных в следующих случаях:
• По достижении целей их обработки, либо в случае утраты необходимости в достижении этих целей;
• По требованию субъекта персональных данных, если обрабатываемые в Компании персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• B случае выявления неправомерной обработки персональных данных, если обеспечить правомерность обработки персональных данных невозможно;
• B случае отзыва субъектом персональных данных согласия на обработку его персональных данных (если персональные данные обрабатываются Компанией на основании согласия субъекта персональных данных);
• Устранены причины, вследствие которых осуществлялась обработка персональных данных, если иное не установлено федеральным законом;
• B случае ликвидации Компании.
5.3 В Компании для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, приняты следующие меры:
• Назначен Ответственный за организацию обработки персональных данных;
• Изданы локальные акты по вопросам обработки и обеспечения безопасности персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений:
• Положение об обработке персональных данных;
• Положение об организации и обеспечении защиты персональных данных
• другие локальные акты по вопросам обработки и обеспечения безопасности персональных данных.
• Применены правовые, организационные и технические меры по обеспечению безопасности персональных данных;
• Осуществляется внутренний контроль соответствия обработки персональных данных требованиям Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, настоящей Политики, локальных актов Компании;
• Проведена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований федерального законодательства о персональных данных, произведено соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных требованиями Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов;
• Работники Компании, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, настоящей Политикой и локальными актами Компании по вопросам обработки персональных данных, а также обязуются не разглашать обрабатываемые персональные данные путем подписания соответствующего обязательства.
5.4 В Компании реализуются следующие требования к защите персональных данных:
• Организован режим обеспечения безопасности помещений, в которых размещены информационные системы, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
• Реализовано обеспечение сохранности носителей персональных данных;
• Руководителем Компании утвержден документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
• Используются средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации;
• Назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационных системах персональных данных;
• Реализованы требования, установленные постановлением Правительства РФ от 15 сентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».