Правила пользования платформой
Политика обработки персональных данных
УТВЕРЖДЕНО приказом АНО ДПО «Академия ПСБ» от ___._.2022 № _____
1. Область применения
Настоящая Политика разработана в целях определения политики АНО ДПО «Академия ПСБ» (далее – Академия ПСБ) в отношении обработки и обеспечения безопасности персональных данных.
Политика устанавливает общие требования к защите прав и свобод человека и гражданина при обработке его персональных данных и распространяется на все структурные подразделения Академии ПСБ.
Владельцем документа сотрудник по информационной безопасности, который несет ответственность за:
- Содержание документа, в том числе за корректное определение ответственных исполнителей;
- Формат документа, в том числе его соответствие корпоративному шаблону и требованиям по оформлению;
- Сбор и анализ комментариев по документу, и их использование при подготовке новой версии документа;
- Пересмотр и актуализацию документа при необходимости с периодичностью не реже одного раза в год;
- Обеспечение согласованности со связанными документами.
2. Общие положения
2.1 Настоящая Политика разработана в соответствии с требованиями действующего законодательства Российской Федерации в области обеспечения безопасности персональных данных, распорядительных и руководящих документов ФСТЭК России и ФСБ России, а также нормативных документов, регламентирующих деятельность Академии ПСБ.
2.2 Настоящей Политикой Академия ПСБ подтверждает, что обработка персональных данных, в том числе в информационных системах персональных данных, осуществляется в полном соответствии с требованиями действующего законодательства Российской Федерации в области обеспечения безопасности персональных данных.
2.3 Настоящая Политика устанавливает правила и процедуры, направленные на выявление и предотвращение нарушений действующего законодательства Российской Федерации в сфере обеспечения безопасности персональных данных, а также цели обработки персональных данных, содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки обработки и хранения персональных данных, порядок уничтожения персональных данных, правила рассмотрения запросов субъектов персональных данных, их представителей или контролирующих органов.
2.4 Настоящая Политика может быть изменена, уточнена или дополнена в установленном Академия ПСБ порядке, в соответствии с требованиями нормативных правовых документов в области обеспечения безопасности персональных данных, действующих в Российской Федерации.
3. Сведения об операторе и субъектах персональных данных
3.1 Информация об операторе персональных данных
3.1.1 Академия ПСБ, в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» является оператором, организующим и осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
3.1.2 Адрес местонахождения оператора: 109052, Москва г., Смирновская ул., дом 10, строение 8, этаж 2, комната 1
3.1.3 Академия ПСБ осуществляет обработку персональных данных в следующих целях:
- осуществление видов деятельности Академии ПСБ в рамках, предусмотренных Уставом и иными локальными нормативными актами;
- ведение бухгалтерского учета;
- обеспечение исполнения действующих нормативных и ненормативных правовых актов, в том числе приказов Минобрнауки России, а также запросов органов государственной власти и лиц, действующих по поручению или от имени таких органов;
- обеспечение образовательного процесса в целом, включая обеспечение предоставления сервисов образовательной платформы (ЦОП Академии ПСБ) - единой информационной образовательной среды;
- формирование и передача требуемых форм отчетности в органы исполнительной власти и иные уполномоченные организации, в том числе в «Федеральный реестр сведений о документах об образовании и (или) о квалификации, документах об обучении», и (или) получения таких сведений и данных из указанной системы, либо обмена с ней сведениями и данными;
- заключение и исполнение договоров (в том числе образовательных), в том числе стороной которых является субъект персональных данных;
- ведение кадрового делопроизводства;
- регулирование трудовых отношений с работниками Академии ПСБ, в том числе заключение и исполнение обязательств по трудовым договорам, содействие в трудоустройстве работникам и соискателям на замещение вакантных должностей, включая принятие решения о заключении трудового договора и его условиях в соответствии с действующим законодательством Российской Федерации, предоставление работникам и их близким родственникам дополнительных различного вида социальных гарантий и льгот, предоставление возможности участия в корпоративных мероприятиях, исполнение требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение;
- обеспечение пропускного режима;
- обеспечение сохранности имущества Академии ПСБ, задействованного в обработке ПДн.
3.2 Информация о субъектах персональных данных
3.2.1 В Академии ПСБ обрабатываются следующие категории субъектов ПДн:
- физические лица, состоящие в гражданско-правовых и иных договорных отношениях с Академия ПСБ;
- физические лица, являющиеся представителями (работниками) контрагентов Академии ПСБ;
- работники, состоящие в договорных отношениях с Академией ПСБ;
- работники, прекратившие договорные отношения с Академией ПСБ;
- члены семьи и родственники работников Академии ПСБ (степень родства, ФИО, год рождения, адрес постоянной и(или) временной регистрации, место работы и(или) учебы) - в случае подачи работниками заявлений на предоставление компенсаций и льгот, предусмотренных трудовым и налоговым законодательством;
- обучающиеся на образовательных программах (слушатели), слушатели, которым оказываются консультационные услуги с образовательной компонентной в форме семинаров, лекций, вебинаров и пр.;
- соискатели на замещение вакантных должностей;
- кандидаты на трудоустройство;
- посетители;
- пользователи интернет-ресурсов (сайт, ЦОП, паблики) Академии ПСБ.
3.2.2 Субъект персональных данных имеет право:
- принимать решение о предоставлении его персональных данных и давать согласие на их обработку свободно, своей волей и в своем интересе;
- отзывать ранее данное согласие на обработку его персональных данных;
- получать у Академии ПСБ информацию, касающуюся обработки его персональных данных в соответствии с действующим законодательством Российской Федерации, если такое право не ограничено действующими федеральными законами или иными нормативными актами Российской Федерации;
- требовать от Академии ПСБ уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные меры по защите своих прав в соответствии с действующим законодательством Российской Федерации;
- направлять повторный запрос в целях получения необходимых ему сведений, а также в целях ознакомления с обрабатываемыми персональными данными в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, должен содержать обоснование направления повторного запроса.
3.2.3 Если субъект персональных данных считает, что Академия ПСБ осуществляет обработку его персональных данных с нарушением требований действующего законодательства Российской Федерации или иным образом нарушает его права и свободы, субъект персональных данных вправе:
- направить Академии ПСБ письменное обращение. Академия ПСБ рассматривает все поступившие обращения со стороны субъекта персональных данных, проводит по ним разбирательства и принимает все необходимые и достаточные меры для немедленного устранения выявленных нарушений, в том числе урегулирования споров в досудебном порядке;
- обжаловать действия или бездействие Академии ПСБ в Уполномоченный орган по защите прав субъектов персональных данных или в суд;
- защищать свои права и законные интересы, в том числе требовать возмещение убытков и/или компенсацию морального вреда в судебном порядке.
4. Порядок и условия обработки персональных данных
4.1 Академия ПСБ в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
4.2 Академия ПСБ осуществляет обработку персональных данных посредством сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, передачи, обезличивания, блокирования, уничтожения.
4.3 Академия ПСБ получает персональные данные из следующих источников:
- непосредственно от субъектов персональных данных;
- от государственных органов и уполномоченных организаций в случаях, предусмотренных действующим законодательством Российской Федерации;
- от контрагентов;
- от законных представителей субъекта персональных данных.
4.4 Содержание и объём обрабатываемых персональных данных категорий субъектов персональных данных определяются в соответствии с целями обработки персональных данных. Академия ПСБ не обрабатывает персональные данные, которые являются избыточными по отношению к указанным целям обработки или несовместимы с такими целями.
4.5 Академия ПСБ осуществляет обработку общедоступных, биометрических и иных категорий персональных данных. Обработка персональных осуществляется во исполнение действующего трудового законодательства Российской Федерации, осуществления пропускного режима, образовательной деятельности, а также для выполнения непосредственной уставной деятельности Академии ПСБ.
4.6 В Академии ПСБ используется смешанный (с использованием средств автоматизации и без использования таких средств) способ обработки персональных данных с передачей информации по внутренней локальной сети и передачей по сетям общего доступа.
4.7 Сроки обработки и хранения персональных данных определяются для каждой цели обработки персональных данных. Сроки определяются в соответствии с законодательно установленными сроками хранения документации, сроком действия договора с субъектом персональных данных, сроками исковой давности, сроками хранения документов бухгалтерского учёта, сроками, указанными в согласии субъекта персональных данных.
4.8 Академия ПСБ обрабатывает персональные данные только при наличии законных оснований, в том числе при наличии согласия на обработку персональных данных, отвечающего перечисленным ниже требованиям.
4.8.1 Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
4.8.2 В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных (законный представитель, наследник) полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Академией ПСБ.
4.8.3 Согласие на обработку персональных данных может быть отозвано субъектом персональных данных посредством направления письменного обращения (отзыва согласия).
4.8.4 В случае отзыва субъектом персональных данных согласия на обработку персональных данных, Академия ПСБ вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных действующем законодательством Российской Федерации.
4.9 Академия ПСБ осуществляет передачу персональных данных в уполномоченные организации, государственные органы, государственные внебюджетные фонды только на основаниях и в случаях, предусмотренных действующим законодательством Российской Федерации.
4.10 Академия ПСБ не осуществляет трансграничную передачу персональных данных.
4.11 По запросу субъекта персональных данных Академия ПСБ предоставляет информацию об обработке персональных данных:
4.11.1 Информация предоставляется субъекту персональных данных (представителю) при личном обращении в Академия ПСБ, либо при получении письменного запроса субъекта (представителя) персональных данных.
4.11.2 Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Академией ПСБ (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Академией ПСБ, подпись субъекта персональных данных или его представителя.
4.12 Академия ПСБ прекращает обработку персональных данных в следующих случаях:
- достижение цели обработки персональных данных субъекта персональных данных;
- изменение, признание утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;
- истечение срока действия согласия субъекта персональных данных на его обработку персональных данных;
- отзыв согласия субъекта персональных данных на обработку его персональных данных;
- выявление неправомерной обработки персональных данных субъекта персональных данных;
- ликвидация организации.
4.13 Уничтожение персональных данных осуществляется в порядке и сроки, предусмотренные действующим законодательством Российской Федерации, а также согласием субъекта. Уничтожение персональных данных должно подтверждаться актом уничтожения персональных данных в свободной форме.
4.14 Академия ПСБ обеспечивает конфиденциальность обрабатываемых персональных данных: не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством Российской Федерации.
5. Меры по обеспечению безопасности персональных данных
5.1 Академия ПСБ обеспечивает защиту персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных субъектов персональных данных.
5.2 Академия ПСБ принимает необходимые правовые, организационные и технические меры защиты персональных данных, направленные на обеспечение выполнения обязанностей, предусмотренных действующим законодательством Российской Федерации в области обеспечения безопасности персональных данных, в том числе:
- опубликование на официальном сайте компании настоящей Политики;
- назначение лица, ответственного за организацию обработки персональных данных, приказом;
- издание локальных нормативных актов, регламентирующих обработку и защиту персональных данных;
- определение перечня лиц, осуществляющих обработку персональных данных (с использованием средств автоматизации и без использования таких средств) и имеющих к ним доступ;
- ознакомление работников, непосредственно осуществляющих обработку персональных данных, под личную подпись, либо в системе электронного документооборота, с положениями локальных нормативных и организационно-распорядительных документов Академии ПСБ, содержащих нормы действующего законодательства Российской Федерации в области обеспечения безопасности персональных данных (в том числе требования к защите персональных данных, порядку обработки) и ответственностью за разглашение персональных данных, нарушение порядка обращения с документами, содержащими такие данные, и иные неправомерные действия в отношении персональных данных;
- информирование лиц, осуществляющих обработку персональных данных без использования средств автоматизации, о факте обработки ими персональных данных, а также об особенностях и правилах осуществления такой обработки;
- использование систем защиты персональных данных;
- определение мест хранения материальных носителей персональных данных;
- регламентирование порядка учета, хранения и уничтожения материальных носителей персональных данных;
- исключение возможности неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется обработка персональных данных;
- обеспечение сохранности материальных носителей персональных данных и средств защиты информации.
5.3 Указанные в настоящей Политике меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Академии ПСБ применяются Академией ПСБ в соответствии с требованиями действующего законодательства Российской Федерации в области обеспечения безопасности персональных данных.
6. Связанные документы
При разработке настоящей Политики использовались следующие нормативные документы:
- Трудовой кодекс Российской Федерации от 30.12.2001 № 197- ФЗ;
- Федеральный закон от 27.07.2006г. № 152-ФЗ «О персональных данных».
7. Глоссарий
Термин | Определение |
---|---|
Автоматизированная обработка персональных данных | обработка персональных данных с помощью средств вычислительной техники |
Информационная система персональных данных (ИСПДн) | совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств |
Неавтоматизированная обработка персональных данных | использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы при непосредственном участии человека |
Обезличивание персональных данных | действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных |
Обработка персональных данных | любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных |
Оператор (персональных данных) | государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными |
Персональные данные | любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) |
Трансграничная передача персональных данных | передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу |
Уничтожение персональных данных | действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных |