Политика в отношении обработки персональных данных

 1. ОБЩИЕ ПОЛОЖЕНИЯ

  •  1.1. Настоящее Положение устанавливает регулирует правоотношения и порядок получения, учета, обработки, накопления, хранения и защиты сведений, отнесенных к персональным данным работников и обучающихся (слушателей) Автономной некоммерческой организации дополнительного профессионального образования и профессионального обучения «Мегаполис» (далее АНО ДПО и ПО «Мегаполис»)
  • 1.2. Настоящим Положением определяется порядок обработки персональных данных следующих категорий субъектов персональных данных:
  • «работник» - физическое лицо, вступившее в трудовые отношения с Организацией «обучающийся (слушатель») - физическое лицо, осваивающее образовательную Программу;
    • «иные лица»:
    • физические лица (заказчик, потребитель, исполнитель, арендатор, подрядчик и др.), состоящие в договорных и иных гражданско-правовых отношениях с Организацией;
    • родственники работников и обучающихся (в случаях, когда согласно законодательству сведения о них предоставляется субъектом персональных данных);
    • уволенные работники; кандидаты для приема на работу в Организацию;
    • лица, поступающие в Организацию на обучение;
    • лица, окончившие обучение;
    • участники конференций, семинаров, конкурсов, проводимых Организацией
  • 1.3. Цель настоящего Положения – определение порядка обработки персональных данных обучающихся (слушателей) и работников АНО ДПО и ПО «Мегаполис»:
    • обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайн,
    • нормативное закрепление системы организационно-правовых и технических средств защиты персональных данных работников и обучающихся (слушателей) АНО ДПО и ПО «Мегаполис» от несанкционированного доступа и разглашения,
    • установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований, регулирующих получение, учет, обработку и защиту персональных данных.
  • 1.4. Положение разработано в соответствии с:
    • Конституцией Российской Федерации;
    • Трудовым кодексом Российской Федерации;
    • Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
    • Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»,
    • Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»,
    • Федеральным законом от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»;
    • Постановлением Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
    • Приказом Федеральной службы по техническому и экспортному контролю Российской Федерации от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
    • Постановлением Правительства Российской Федерации от 31.05.2021 №825 «О федеральной информационной системе "Федеральный реестр сведений о документах об образовании и (или) квалификации, документах об обучении"»;
    • Иными нормативными правовыми актами Российской Федерации, методическими материалами принятых уполномоченными федеральными органами исполнительной власти;
    • Уставом и другими локальными нормативными документами АНО ДПО и ПО «Мегаполис».
  • 1.5.  В настоящем Положении используются следующие термины и основные понятия:
    • «персональные данные» - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом; (в ред. Федерального закона от 30.12.2020 N 519-ФЗ;
    • «оператор» - оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
    • «обработка персональных данных» - любое действие (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, анализ, систематизацию, накопление, хранение, уточнение обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных
    • «общедоступные персональные данные» - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия обучающегося (слушателя) или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
    • «конфиденциальность персональных данных» — обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным», требование не допускать их распространения без согласия обучающегося (слушателя) или работника или наличия иного законного основания;
    • «сбор персональных данных» - накопление информации на материальных носителях и (или) в автоматизированных информационных системах;
    • «распространение персональных данных» - действия, направленные на раскрытие персональных данных определенному кругу лиц или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных обучающегося (слушателя) в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным обучающегося (слушателя) каким-либо иным способом;
    • «предоставление персональных данных» - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
    • «использование персональных данных» - действия (операции) с персональными данными, совершаемые специалистами АНО ДПО и ПО «Мегаполис», в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных, либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
    • «обезличивание персональных данных» - действия, в результате которых невозможно определить принадлежность персональных данных конкретному обучающемуся (слушателю) или работнику;
    • «блокирование персональных данных» - временное прекращение сбора, обработки, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи (за исключением случаев, если обработка необходима для уточнения персональных данных);
    • «уничтожение персональных данных» - действия, в результате которых становится невозможным — восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
    • «трансграничная передача персональных данных» - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
    • «информационная система персональных данных» – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
    • «автоматизированная обработка персональных данных» - обработка персональных данных с помощью средств вычислительной техники;
    • «неавтоматизированная обработка персональных данных» – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, при условии, что такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека;
    • «технический канал утечки информации» – совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация;
    • «работодатель» – физическое лицо либо юридическое лицо (организация), вступившее в трудовые отношения с Работником;
    • «работник» – лицо, состоящее в трудовых отношениях с Работодателем на основании заключенного трудового договора;
    • «должностные (уполномоченные) лица» - Работники, состоящие в трудовых отношениях с АНО ДПО и ПО «Мегаполис» и имеющие право на получение, обработку, передачу в процессе работы персональных данных;
    • «обучающийся (слушатель») - физическое лицо, осваивающее образовательную программу в АНО ДПО и ПО «Мегаполис»;
    • «третьи лица» - любые лица (Работники, юридические лица, должностные лица государственных органов и органов местного самоуправления, правоохранительных органов), не являющиеся стороной индивидуального трудового договора, заключенного с АНО ДПО и ПО «Мегаполис» в лице ее руководителя или иных уполномоченных лиц;
  • 1.6. Настоящее Положение вступает в силу с момента утверждения его директором АНО ДПО и ПО «Мегаполис» и действует бессрочно, до замены его новым Положением.
  • 1.7. Порядок ознакомления с Положением:
    • работник должен быть ознакомлен с Положением под подпись в трудовом договоре и листе ознакомления с ЛНА Организации («Образец листа ознакомления» - Приложение № 1)- при приеме на работу (до заключения трудового договора);
    • обучающийся (слушатель») - при зачислении на обучение (до заключения договора на оказание образовательных услуг) знакомится с Положением под подпись в заявлении о приеме на обучение («Образец заявления» Приложение № 2)
  1. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ (ПЕРЕЧНИ) ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ.
  • 2.1. АНО ДПО и ПО «Мегаполис» самостоятельно определяет перечень необходимых     персональных данных работника, в соответствии с законодательством Российской Федерации. Персональные данные в АНО ЦДПО «Мегаполис» составляют   сведения о фактах, событиях и обстоятельствах частной жизни работника или обучающегося (слушател), позволяющие идентифицировать его, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях; К персональной документации (содержащей персональные данные) относятся документы, которые содержат индивидуальные данные о конкретном субъекте персональных данных и используются должностными лицами при исполнении своих должностных обязанностей.

2.2. Персональные данные Работников АНО ДПО и ПО «Мегаполис». 

  • Персональные данные Работников обрабатываются с целью применения и исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ними отношений, в том числе:
    • оформления трудовых отношений;
    • ведения кадрового и бухгалтерского учета;
    • оформления награждений и поощрений;
    • предоставления со стороны Организации установленных законодательством условий труда, гарантий и компенсаций;
    • заполнения и передачи в уполномоченные органы требуемых форм отчетности;
    • обеспечения личной безопасности работников и сохранности имущества;
    • осуществления контроля за количеством и качеством выполняемой работы.
  • Документы, предъявляемые работниками при трудоустройстве на работу и документы, представляемые контрагентами - физическими лицами при заключении гражданско-правовых договоров, обрабатываются следующие персональные данные Работников:
    • фамилия, имя, отчество;
    • дата (год, месяц, число) и место рождения;
    • пол;
    • паспорт или иной документ, удостоверяющий личность (вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи, код подразделения);
    • сведения о гражданстве;
    • адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
    • номер контактного телефона, адрес электронной почты и (или) сведения о других способах связи;
    • для военнообязанных и лиц, подлежащих призыву - сведения об отношении к воинской обязанности, о воинском учете и реквизиты документов воинского учета (серия, номер, дата выдачи документа, наименование органа, выдавшего его);
    • страховой номер индивидуального лицевого счета (СНИЛС);
    • идентификационный номер налогоплательщика (ИНН);
    • сведения об образовании, квалификации или наличии специальных знаний (при поступлении на работу, требующую специальных знаний или специальной подготовки); реквизиты документов об образовании и квалификации;
    • сведения о наградах (поощрениях), почетных званиях;
    • сведения о семейном положении, составе семьи (степень родства, фамилии, свидетельство о заключении, либо о расторжении брака, свидетельства о рождении детей);
    • сведения о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям, выданную в порядке и по форме, которые устанавливаются МВД России;
    • сведения о том, является или не является лицо подвергнутым административному наказанию за потребление наркотических средств или психотропных веществ без назначения врача либо новых потенциально опасных психоактивных веществ;
    • сведения, медицинское заключение о прохождении обязательного психиатрического освидетельствования (Приказ от 20 мая 2022 года №342н), заключение о предварительном медицинском осмотре (ст. 48 пункт 9 Федерального закона № 273-ФЗ от 29.12.2012г "Об образовании в Российской Федерации");
    • сведения о социальных и налоговых льготах (для оформления различных льгот по налогам, дотациям и т.п. ветераны боевых действий на территориях других государств, родители несовершеннолетних детей, сведения об инвалидности, медицинские справки, листки временной нетрудоспособности, документы, подтверждающие инвалидность и  пр.);
    • сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы, справки, подтверждающие периоды работы у Работодателей;
    • сведения о начисленных и фактически уплаченных страховых взносах на обязательное пенсионное страхование;
    • номера расчетного счета, банковской карты;
    • гражданско-правовой, трудовой договор, занимаемая должность;
    • характеристики, рекомендательные письма, резюме, результаты аттестации, служебных расследований (при необходимости);
    • кадровые документы (личные дела, личные карточки (форма Т2), подлинники и копии приказов по личному составу; основания к приказам по личному составу);
    • биометрические персональные данные - фотографическое изображение;
    • другие персональные данные, необходимые для обеспечения реализации целей обработки, указанных в пункте 2.2.1. Положения.
  • Режим конфиденциальности персональных данных работника снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.

2.3. Персональные данные обучающихся АНО ДПО и ПО «Мегаполис»

  • 2.3.1. Персональные данные обучающихся, обучающихся (слушателей) обрабатываются с целью осуществления образовательной деятельности в рамках образовательных и иных непосредственно связанных с ними отношений, в том числе:
    • учета обучающихся, прохождения ими обучения по образовательным программам;
    • ведения бухгалтерской документации;
    • выдачи соответствующего документа по образцу, установленному Организацией исходя из выбранной образовательной программы - (удостоверение о повышении - квалификации - установленного образца/диплом о профессиональной переподготовке/ свидетельство о профессии рабочего, должности служащего, свидетельство, сертификат, удостоверение и иные документы о прохождении обучения);
    • оформления договорных отношений;
    • внесения в информационную систему - единый Государственный реестр ФИС ФРДО документов об образовании;
    • обеспечения личной безопасности обучающихся;
    • оказания услуг по доступу к информационным ресурсам и в систему электронного обучения.
  • 2.3.2. В соответствии с целью, указанной в п. 2.3.1. Положения, в Организации обрабатываются следующие персональные данные обучающихся (слушателей):
    • фамилия, имя, отчество;
    • дата (год, месяц, число) и место рождения;
    • паспорт или иной документ, удостоверяющий личность (вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи);
    • адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
    • номер контактного телефона, адрес электронной почты и (или) сведения о других способах связи;
    • страховой номер индивидуального лицевого счета (СНИЛС);
    • сведения об образовании (в том числе наименование образовательной организации, год окончания, уровень образования, квалификация, реквизиты документа об образовании);
    • место работы, должность;
    • биометрические персональные данные - фотографическое изображение;
    • другие персональные данные, необходимые для обеспечения реализации целей обработки, указанных в пункте 2.3.1. Положения.
  •     2.3.3. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 50 лет срока хранения, если иное не определено законом.

2.4. Персональные данные иных лиц

  • 2.4.1. Персональные данные иных лиц обрабатываются с целью:
    • осуществления хозяйственной деятельности;
    • осуществления образовательной деятельности;
    • соблюдения законодательства об архивном деле в Российской Федерации;
    • прохождения медицинских осмотров (периодических/предварительных);
    • организации и проведения конференций, семинаров, конкурсов и др.
  • В соответствии с целью (целями), указанной в п. 2.4.1. Положения, в Организации обрабатываются следующие персональные данные физических лиц (заказчик, потребитель, исполнитель, арендатор, подрядчик и др.), состоящих в договорных и иных гражданско-правовых отношениях с Организацией:
    • фамилия, имя, отчество;
    • дата (год, месяц, число) рождения;
    • вид, серия, номер документа, удостоверяющего личность, наименование органа,
    • выдавшего его, дата выдачи;
    • адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
    • номер контактного телефона, адрес электронной почты и (или) сведения о других способах связи;
    • страховой номер индивидуального лицевого счета (СНИЛС);
    • номера расчетного счета, банковской карты;
    • идентификационный номер налогоплательщика (ИНН);
    • должность, место работы;
    • сведения об образовании и (или) квалификации или наличии специальных знаний (в том числе наименование образовательной и (или) иной организации, год окончания, уровень образования, квалификация, реквизиты документа об образовании, обучении);
    • состояние здоровья;
    • биометрические персональные данные - фотографическое изображение;
    • другие персональные данные, необходимые для обеспечения реализации целей обработки, указанных в пункте 2.4. Положения

Специальные категории персональных данных

  • Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных Федеральным законом от 24.04.2020 N 123-ФЗЮ Обработка специальных категорий персональных данных допускается в случаях, если:
    • субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
    • обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 в ред. Федерального закона от 30.12.2020 N 519-ФЗ
    • обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;
    • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
    • обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
    • обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;
    • обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
    • обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о гражданстве Российской Федерации.
  • Обработка специальных категорий персональных данных, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

3. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.

  • 3.1 Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и настоящим Положением.
  • 3.2. При определении объема и содержания обрабатываемых персональных данных Организация руководствуется Конституцией Российской Федерации, Трудовым кодексом РФ, настоящим Положением и иными нормативными актами и локальными нормативными - актами, определяющими случаи и особенности - обработки персональных данных.
  • 3.3. Содержание и объем обрабатываемых персональных данных в Организации соответствует целям обработки, указанных в настоящем Положении.
  • 3.4. Обработка персональных данных включает в себя сбор, запись, анализ, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
  • 3.5. Обработка персональных данных осуществляется после получения письменного согласия субъекта персональных данных (Приложение № 4 и № 5 данного Положения) и принятия необходимых организационных и технических мероприятий по защите персональных данных, в соответствии с действующим законодательством.
  • 3.6.  Обработка персональных данных в Организации выполняется следующими способами:
    • неавтоматизированная обработка персональных данных;
    • автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
    • смешанная обработка персональных данных.
  • 3.7. Обработка персональных данных в Организации осуществляется путем:
    • получения оригиналов необходимых документов;
    • копирования оригиналов документов;
    • внесения сведений в учетные формы (на бумажных и электронных носителях);
    • формирования персональных данных в ходе их обработки;
    • внесения персональных данных в информационные системы Организации.
  • 3.8. Обработка персональных данных в Организации, осуществляемая без использования средств автоматизации‚ производится с соблюдением требований «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.2008 № 687».
  • 3.9. Персональные данные, которые обрабатываются в информационных системах, подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации. Технические и программные средства удовлетворяют устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
  • 3.10. Обрабатываемые в Организации персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
  • 3.11. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
  • 3.12. Организация, как оператор персональных данных обязана сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и получить от субъекта персональных данных письменное согласие на их обработку, если иное не предусмотрено законодательством в области персональных данных.

4. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ.

  •  4.1.  Внутренний доступ к персональным данным в АНО ДПО и ПО «Мегаполис» имеют должностные (уполномоченные) лица, непосредственно использующие их в служебных целях. Перечень должностей сотрудников, допущенных к обработке персональных данных, утверждается и вводится в действие приказом. Уполномоченные лица имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций в соответствии с должностной инструкцией указанных лиц.
  • 4.2. Внешний доступ (другие организации и граждане). Сообщение сведений о персональных данных другим организациям и гражданам разрешается при наличии письменного согласия субъекта персональных данных и заявления, подписанного руководителем организации либо гражданином, запросившим такие сведения. Получение персональных данных работника третьей стороной без его письменного согласия возможно в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровья работника, а также в случаях, установленных законом.
  • Предоставление сведений о персональных данных без соответствующего согласия субъекта персональных данных возможно в следующих случаях:
    • в целях предупреждения угрозы жизни и здоровья субъекта персональных данных;
    • при поступлении официальных запросов в соответствии с положениями Федерального закона «Об оперативно-розыскных мероприятиях»;
    • при поступлении официальных запросов из налоговых органов, органов Пенсионного фонда, органов Федерального социального страхования, судебных органов
  • Субъект персональных данных, о котором запрашиваются сведения, должен быть уведомлен о передаче его персональных данных третьим лицам, за исключением случаев, когда такое уведомление невозможно в силу форс-мажорных обстоятельств, а именно: стихийных бедствий, аварий, катастроф.
  • 4.3. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (справочники, электронные базы, информационные стенды, стенгазеты, доски почета, официальный сайт Организации), содержащие персональные данные, которые включаются в эти источники с согласия субъекта персональных данных.
  • В общедоступные источники персональных данных Организации могут включаться:
    •  у работников - фамилия, имя, отчество, информация о месте работы, уровне образования, квалификации, опыте работы и занимаемой должности, контактный телефон, фотографическое изображение;
    •  у обучающихся - фамилия, имя, отчество, пол, группа, фотографическое изображение.

 5. ПРАВИЛА ПОЛУЧЕНИЯ и ПЕРЕДАЧИ ИНФОРМАЦИИ, СОДЕРЖАЩИХ ПЕРСОНАЛЬНЫЕ ДАННЫЕ.

  • 5.1. Работник, обучающийся и иные лица должны предоставлять Организации достоверные сведения о себе:
    • при поступлении на работу работник представляет в Организацию документы, содержащие персональные данные о себе, в соответствии со статьей 65 Трудового кодекса РФ. Предоставление работником подложных документов при поступлении на работу является основанием для расторжения трудового договора;
    • при поступлении в Организацию Обучающийся предоставляет документы, содержащие персональные данные о себе, в соответствии с утвержденными в Организации Правилами приема в АНО ДПО и ПО «Мегаполис». Предоставление обучающимся подложных документов или ложных сведений при поступлении в Организацию является основанием для отчисления из Организации и/или расторжения договора на обучение.
  • Для проверки достоверности уполномоченное лицо Организации должно сверять данные, предоставленные субъектом персональных данных, с оригиналами имеющихся у него документов.
  • При принятии решений, затрагивающих интересы субъекта персональных данных, Организация, не имеет права основываться на персональных данных работника, обучающегося и иного лица, полученных исключительно в результате их автоматизированной обработки или электронного получения.

5.2. Получение сведений о персональных данных работников

  • 5.2.1. Все персональные данные работника или обучающегося (слушателя) следует получать у него самого, за исключением случаев, если их получение возможно только у третьей стороны.
  •  5.2.2. Получение персональных данных (сведений) работника или обучающегося (слушателя) у третьих лиц возможно только при уведомлении работника или обучающегося (слушателя) (Приложение №2) об этом заранее и при наличии согласия работника или обучающегося (слушателя) в письменной форме (Приложение № 3), с указанием конкретных персональных данных и целей, для которых они будут использованы
  • 5.2.3. В уведомлении работника или обучающегося (слушателя) о получении его персональных данных у третьих лиц должна содержаться следующая информация:
    • а) о целях получения персональных данных;
    • б) о предполагаемых источниках и способах получения персональных данных;
    • в) о характере подлежащих получению персональных данных;
    • г) о последствиях отказа работника или обучающегося (слушателя) дать письменное согласие на их получение.
  •  5.2.4. Письменное согласие работника, обучающегося и иных лиц на обработку своих персональных данных должно включать в себя:
    • фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
    • наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
    • цель обработки персональных данных;
    • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
    • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых — оператором — способов — обработки персональных данных;
    • срок, в течение которого действует согласие, а также порядок его отзыва;
    • подпись субъекта персональных данных.
  •     5.2.5. Сведения, содержащие персональные данные, при необходимости включаются:
    • для работников - в личное дело, карточку формы Т-2, а также содержатся на электронных носителях информации, доступ к которым разрешён лицам, непосредственно использующих персональные данные работника в служебных целях. Перечень должностных лиц определён приказом директора АНО ДПО и ПО «Мегаполис»,
    • для обучающихся (слушателей)личная карточка обучающегося (слушателя), договор на обучение, заявление обучающегося (слушателя).                                                                                  
  • 5.2.6. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:
    • непосредственно;
    • с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.    
  • 5.2.7. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.
  • 5.2.8. Письменное согласие субъекта персональных данных на обработку персональных данных, разрешенных для распространения, оформляется отдельно от других согласий на обработку его персональных данных. При этом соблюдаются условия, предусмотренные, в частности, ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Требования к содержанию такого согласия устанавливаются уполномоченным органом по защите прав субъектов персональных данных.
  • 5.2.9. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
  • 5.2.10. Обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта персональных данных. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме.

5.3.  Отзыв согласия на обработку персональных

  •  5.3.1. Субъект персональных данных может отозвать согласие на обработку персональных данных. Он вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные или обратиться с таким требованием в суд.
  • 5.3.2.  Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных.
  •  5.3.4. Требование о прекращении передачи персональных данных  (Приложение № 6) должно включать в себя:
    • фамилию, имя, отчество (при наличии)
    • контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных,
    • перечень персональных данных, обработка которых подлежит прекращению.
  • 5.3.5. Оператор передачи данных иное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.
  • 5.3.6. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Организация вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований в следующих случаях:
    • обработка персональных данных осуществляется на основании Трудового кодекса Российской Федерации или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия Организации;
    • обработка персональных данных в целях исполнения трудового договора или договора на обучение;
    • обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
    • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника или обучающегося, если получение его согласия невозможно.
  • 5.3.7. Если предоставление персональных данных является обязательным в соответствии с федеральным законом и в случае отказа субъекта персональных данных дать письменное согласие на обработку персональных данных, ему под роспись разъясняются юридические последствия отказа предоставить свои персональные данные на обработку.

5.4. Передача персональных данных

  • 5.4.1. Передача персональных данных - действия (распространение, доступ, предоставление) направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц
  • 5.4.2. Лица, получающие персональные данные работника могут использовать эти данные лишь в целях, для которых они сообщены. Лица, получающие персональные данные, обязаны соблюдать режим секретности (конфиденциальности).
  • 5.4.3. Передача персональных данных должна осуществляться в пределах Организации в соответствии с настоящим Положением, с которым работники должны быть ознакомлены под подпись.
  • 5.4.4. Доступ к персональным данным субъектов персональных данных разрешается только специально уполномоченным лицам (утверждённых приказом директора Организации - Приложение № 7), при этом указанные лица должны иметь право получать только те персональные данные субъектов персональных данных, которые необходимы для выполнения конкретных функций.
  • 5.4.5. Передавать персональные данные субъекта персональных данных представителю субъекта персональных данных в порядке, возможно только установленном Трудовым кодексом РФ и настоящим Положением порядке, и ограничивать эту информацию только теми персональными данными субъекта персональных данных, которые необходимы для выполнения указанным представителем его функций.
  • 5.4.6. Копировать и делать выписки персональных данных разрешается исключительно в служебных целях с разрешения директора Организации.
  • 5.4.7. Запрещается:
    • передавать кому-либо персональные данные по телефону, факсу, электронной почте;
    • сообщать персональные данные субъектов персональных данных в коммерческих целях без его письменного согласия;
    • сообщать персональные данные третьей стороне без письменного согласия работника, обучающегося, иного лица за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, обучающегося, иного лица, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" и Федеральным законом от 29.12.2012 № 273-ФЗ "Об образовании в Российской Федерации".
  • 5.4.8. Трансграничная передача персональных данных Организации осуществляется в соответствии со статьей 12 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Трансграничная передача персональных может осуществляться только в случае наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является субъект персональных данных.
  •  5.5.  Работники или обучающиеся (слушатели) и их представители должны быть ознакомлены с документами Организации, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области (Приложения № 1 и № 3)

6. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ.

  • 6.1. Общий срок обработки персональных данных определяется периодом времени, в течение которого Организация осуществляет действия (операции) в отношении субъекта персональных данных, обусловленные заявленными целями их обработки, в том числе хранение персональных данных.
  • 6.2. Обработка персональных данных начинается с момента их получения Организацией и заканчивается:
    • по достижении заранее заявленных целей обработки;
    • по факту утраты необходимости в достижении заранее заявленных целей.
  • 6.3. Сведения о персональных данных работников относятся к числу конфиденциальных (составляющих охраняемую законом тайну Организации). Режим конфиденциальности в отношении персональных данных снимается:
    • в случае их обезличивания;
    • по истечении 75 лет срока их хранения;
    • в других случаях, предусмотренных федеральными законами.
  • 6.4. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной, по которому является субъект персональных данных.
  • 6.5. Документы, содержащие персональные данные и подлежащие длительному хранению, по окончанию обработки передаются в архив АНО ДПО и ПО «Мегаполис». Хранение, комплектование, учет и использование содержащих персональные данные документов в личных делах, а также в других делах, организуется в форме обособленного архива Организации. Такой архив ведется в электронном виде и на бумажных носителях.
  • 6.6. Персональные данные на бумажных носителях хранятся в Организации с соблюдением предусмотренных нормативно-правовыми актами Российской Федерации мер по защите персональных данных в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в Российской Федерации и утвержденные Номенклатурой дел АНО ДПО и ПО «Мегаполис».
  • 6.7. Сроки хранения персональных данных и документов, содержащих персональные данные, устанавливаются номенклатурами дел по структурным подразделениям, утвержденных Директором. Срок   хранения персональных данных, обрабатываемых в автоматизированных информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

 7. ОРГАНИЗАЦИОННЫЕ МЕРОПРИЯТИЯ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ 

  • 7.1. Обеспечение безопасности персональных данных достигается:
    • определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
    • применением организационных и технических мер по обеспечению безопасности персональных данных;
    • оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных;
    • учетом машинных носителей персональных данных;
    • обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных;
    • восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
    • установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных;
    • контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
  • 7.2. Хранение персональных данных:
    • а) персональные данные, содержащиеся на бумажных носителях, хранятся в запираемом шкафу, установленном на рабочем месте директора. Персональные данные, содержащиеся на бумажных носителях, сдаются в архив после истечения установленного срока хранения. Помещения для хранения персональных данных оснащены охранной сигнализацией и соответствуют требованиям пожарной безопасности. Допуск в данное помещение разрешен в соответствии с утвержденным приказом директора списком лиц;
    • б) персональные данные, содержащиеся на электронных носителях информации, хранятся в ПК директора. Доступ к ПК строго ограничен кругом лиц, определённых приказом директора.
  • 7.3. В целях обеспечения сохранности и конфиденциальности персональных данных все операции по оформлению, формированию, ведению и хранению данной информации выполняются только работниками  АНО ДПО и ПО «Мегаполис», осуществляющими данную работу в соответствии со своими должностными обязанностями, зафиксированными в их должностных инструкциях и подписавшие «Обязательство о неразглашении персональных данных».
  • 7.4. Перечень работников, которые обрабатывают персональные данные, утверждается приказом директора Организации.
  • 7.5. Работники Организации, имеющие доступ к персональным данным, обязаны принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, модифицирования, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении данной информации.
  • 7.6. Работа с документами, содержащими персональные данные, организована таким образом, чтобы исключить их просмотр посторонними (посетителями). При оставлении рабочего места работником и по окончании рабочего дня документы убираются в запирающиеся шкафы (сейфы).
  • 7.7. Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашение информации, содержащей персональные данные.
  • 7.8. Персональные данные работников АНО ДПО и ПО «Мегаполис» хранятся у директора в плотно закрывающемся металлическом шкафу на бумажных носителях, а также на электронных носителях, с ограниченным доступом. В распоряжение должностных лиц личные дела работников выдаются для необходимости оформления наградных документов, формирования статистических данных, подготовки характеристики.
  • 7.9. Персональные данные физических лиц - контрагентов АНО ДПО и ПО «Мегаполис» хранятся у директора в плотно закрывающемся металлическом шкафу на бумажных носителях, а также на электронных носителях, с ограниченным доступом.
  • 7.10. Персональные данные Обучающихся (слушателей): договора на оказание образовательных услуг и личные дела хранятся в плотно закрывающемся шкафу на бумажных носителях, а также на электронных носителях, с ограниченным доступом.
  • 7.11. Персональные данные, по которым цели обработки достигнуты и не подлежащие дальнейшему хранению, уничтожаются согласно актам, утверждённым директором АНО ДПО и ПО «Мегаполис»
  • 7.12. Запрещается:
    • обрабатывать персональные данные в присутствии лиц, не допущенных к их обработке;
    • осуществлять ввод персональных данных под диктовку.
  • 7.13. Технические мероприятия по защите персональных данных включают в себя:
    • исключение возможности несанкционированного доступа к персональным данным лицам, не допущенным к обработке персональных данных в установленном порядке;
    • установку, настройку и сопровождение технических и программных средств защиты информации, средств предотвращения несанкционированного доступа и утечки информации по техническим каналам;
    • ограничение сетевого доступа для определенных пользователей;
    • организацию в отдельном сегменте сети всех компьютеров пользователей с ограниченным доступом из физической сети Организации;
    • организацию контроля технического состояния и уровней защиты и восстановления информации;
    • проведение регулярного копирования информации на носители;
    • ведение аудита действий пользователей и своевременное обнаружение фактов несанкционированного доступа к информации.
    • программное обеспечение настроено таким образом, чтобы осуществлять возможность восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней, на любой момент времени.
    • персональные компьютеры, на которых содержатся персональные данные, должны быть защищены паролями доступа.
  • Условия обработки персональных данных в информационных системах персональных данных с использованием средств автоматизации:
    • обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства РФ от 01.11.2012 г. №1119 «Об утверждении требования к защите персональных данных при их обработке в информационных системах персональных данных», нормативных и методических материалов, принятых уполномоченными федеральными органами исполнительной власти.
    • не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации при отсутствии установленных и настроенных сертифицированных средств защиты информации; при отсутствии утвержденных организационных документов о порядке эксплуатации информационной системы персональных данных.
  • 7.14. Условия обработки персональных данных без использования средств автоматизации.
    • 7.14.1. Обработка персональных данных без использования средств автоматизации (далее – неавтоматизированная обработка персональных данных) осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 15.09.2008 №687.
    • 7.14.2. Персональные данные при их неавтоматизированной обработке должны обособляться от другой информации путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
    • 7.14.3. Для обработки персональных данных различных категорий, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
    • 7.14.4. Уточнение персональных данных при осуществлении их неавтоматизированной обработки должно производиться путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
    • 7.14.5. Работники Организации, осуществляющие неавтоматизированную обработку персональных данных, должны быть проинформированы о факте такой обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления неавтоматизированной обработки, установленных нормативными правовыми актами органов исполнительной власти Российской Федерации, а также настоящим Положением.

 8. ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ.

  •  8.1. Персональные данные субъектов персональных данных хранятся не дольше, чем этого требуют цели их обработки, и подлежат уничтожению по истечении срока хранения, достижении целей обработки или в случае утраты необходимости в их достижении, а также в иных случаях, установленных Федеральным законом «О персональных данных».
  • 8.2. Уничтожение документов, содержащих персональные данные, производится:
    • при выявлении факта неправомерной обработки персональных данных (срок прекращения обработки в течение трех рабочих дней с даты выявления такого факта);
    • при достижении целей их обработки;
    • по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных (за некоторыми исключениями), если в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» их обработка допускается только с согласия;
    • при обращении субъекта персональных данных в Организацию с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). Срок прекращения обработки - не более десяти рабочих дней с даты получения требования (с возможностью продления не более чем на пять рабочих дней, если направлено уведомление о причинах продления).
  • 8.3. Персональные данные уничтожаются в течение 30 дней при достижении максимальных сроков хранения документов, содержащих персональные данные.
  • 8.4. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 рабочих дней с даты выявления неправомерной обработки.
  • 8.5. Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого является субъект персональных данных, иным соглашением между ним и Организацией, либо если Организация не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
  • 8.6. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 дней с даты поступления отзыва субъектом — персональных данных согласия на их обработку. Иное может предусматривать договор, стороной которого является субъект персональных данных иное соглашение между ним и Организацией. Кроме того, персональные данные уничтожаются в указанный срок, если Организация не вправе обрабатывать их без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
  • 8.7.  Уничтожение носителей, содержащих персональные данные субъектов персональных данных, должно соответствовать следующим правилам:
    • быть конфиденциальным, исключая возможность последующего восстановления;
    • оформляться юридически, в частности, актом о выделении к уничтожению носителей, содержащих персональные данные субъектов персональных данных, и актом об уничтожении носителей, содержащих персональные данные субъектов персональных данных и должно проводиться комиссией по уничтожению персональных данных;
    • уничтожение должно касаться только тех носителей, содержащие персональные данные субъектов персональных данных, которые подлежат уничтожению в связи с истечением срока хранения, достижением цели обработки указанных персональных данных либо утратой необходимости в их достижении, не допуская случайного или преднамеренного уничтожения актуальных носителей.
  • Носители, содержащие персональные данные субъектов персональных данных, уничтожаются комиссией по уничтожению персональных данных, утвержденной приказом руководителя Организации (далее — Комиссия).
  • 8.9. Комиссия производит отбор носителей персональных данных, подлежащих уничтожению, с указанием оснований для уничтожения.
  • 8.10. На все отобранные к уничтожению материалы, документы и т.д. составляется акт уничтожения персональных данных. В акте исправления не допускаются. Комиссия проверяет наличие всех материалов, включенных в акт.
  • 8.11. По окончании сверки акт подписывается всеми членами Комиссии и утверждается ответственным за организацию обработки персональных данных.
  • 8.12. Уничтожение носителей, содержащих персональные данные субъектов персональных данных, производится в присутствии всех членов Комиссии, которые несут персональную ответственность за правильность и полноту уничтожения перечисленных в акте носителей. Акты хранятся у ответственного за обработку персональных данных в отдельном деле.
  • 8.13. Уничтожение носителей, содержащих персональные данные, осуществляется в следующем порядке:
    • уничтожение персональных данных, содержащихся на бумажных носителях,
    • осуществляется путем измельчения на мелкие части, исключающие возможность последующего восстановления информации. Измельчение осуществляется с использованием шредера (уничтожителя документов);
    • хранящихся на ПЭВМ и (или) на перезаписываемых съемных машинных носителях информации, используемых для хранения информации вне ПЭВМ (флеш-накопителях, внешних жестких дисках, СО-дисках и иных устройствах), производится с использованием штатных средств информационных и операционных систем;
    • подлежащие уничтожению файлы с персональными данными, расположенные на жестком диске компьютера, удаляются средствами операционной системы компьютера с последующим «очищением корзины», либо применяется программное удаление («затирание») содержимого диска путем его форматирования с последующей записью новой информации на данный носитель.
    • уничтожение съемных машинных носителей информации типа Е1а50, СО и ОУ дисков производится путем сожжения;
    • устройство хранения информации разбираются на отдельные элементы, а затем электронная и электромеханическая части деформируются до состояния, которое исключает их повторное использование, а магнитные диски уничтожаются путем сожжения, до степени, исключающей возможность прочтения текста;
    •  уничтожение персональных данных, содержащихся на машиночитаемых носителях, которые невозможно уничтожить с помощью штатных средств информационных и операционных систем, производится путем нанесения носителям неустранимого физического повреждения, исключающего возможность их использования, а также восстановления данных (нарушения единой целостности носителя, производится путем измельчения, сожжения или механического уничтожения).
  • 8.14. Уничтожение материальных и машинных носителей персональных данных до утверждения акта об уничтожении запрещается.
  • 8.15. Обезличивание персональных данных:
    •   В случае невозможности уничтожения персональных данных они подлежат обезличиванию, в том числе для статистических и иных исследовательских целей.
  • Способы обезличивания при условии дальнейшей обработки персональных данных:
    • замена части данных идентификаторами;
    • обобщение, изменение или удаление части данных;
    • деление данных на части и обработка в разных информационных системах;
    • перемешивание данных.
  • 8.15.3. Ответственным за обезличивание персональных данных является работник, ответственный за организацию обработки персональных данных.
  • 8.15.4. Решение о необходимости обезличивания персональных данных и способе обезличивания принимает ответственный за организацию обработки персональных данных.
  • 8.15.5. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.
  •  8.15.6. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.
  • 8.15.7. При использовании процедуры обезличивания не допускается совместное хранение персональных данных и обезличенных данных.
  • 8.15.8. В процессе обработки обезличенных данных в случаях, установленных законодательством Российской Федерации, может производиться деобезличивание. После обработки персональные данные, полученные в результате такого деобезличивания уничтожаются.

 9. ОБЯЗАННОСТИ, ПРАВА и ОТВЕТСТВЕННОСТЬ ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ и СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ.

9.1 Оператор (АНО ДПО и ПО «Мегаполис»)

  • 9.1.1. Обязанности оператора:
    • при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации;
    • предоставить информацию об обработке персональных данных;
    • предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона «О персональных данных»;
    • разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку. (в ред. Федерального закона от 14.07.2022 N 266-ФЗ)
    • если персональные данные получены не от субъекта персональных данных, оператор, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных информацию:
    • наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
    • цель обработки персональных данных и ее правовое основание;
    • перечень персональных данных;
    • предполагаемые пользователи персональных данных;
    • установленные Федеральным законом права субъекта персональных данных;
    • источник получения персональных данных.
    • обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных
    • принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
    • давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных;
    • обеспечить хранение персональных данных, при этом персональные данные не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные;
    • по письменному заявлению субъекта персональных данных выдать копии документов, связанных с работой и/или обучением;
    • принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, к таким мерам, в частности, относятся:
    • назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
    • издание документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персонал;
    • применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных»;
    • осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных;
    • оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения закона РФ;
    • ознакомление работников, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных;
    • устранять нарушения законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных.
  • 9.1.2. Права оператора:
    • самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
    • поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора;
    • в случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных. доступ, сбор и накопление информации о субъекте персональных данных;
    • самостоятельное принятие решения при автоматизированной обработке.
  • 9.1.3. Ответственность оператора:
    • как юридическое лицо может быть привлечен к административной ответственности за нарушение порядка сбора, хранения, использования или распространения персональных данных.
    • так же, ответственность за нарушение несет руководитель Организации, как должностное лицо. Под должностным лицом понимается лицо, выполняющее организационно-распорядительные или административно-хозяйственные функции.
    • Согласно ст. 90 ТК РФ работник, по вине которого было допущено нарушение норм, регулирующих получение, обработку и защиту персональных данных других работников, может быть привлечен к дисциплинарной и материальной, а также к гражданско-правовой, административной и уголовной ответственности.
    • Статьей 90 ТК РФ предусмотрена материальная ответственность за виновное нарушение норм, регулирующих получение, обработку и защиту персональных данных работников. В соответствии со ст. 238 ТК РФ работник обязан возместить работодателю причиненный последнему прямой действительный ущерб.
    • Если в результате нарушения норм, регулирующих хранение, обработку и использование персональных данных вышеперечисленных действий с персональными данными, работнику причинен имущественный ущерб или моральный вред, то он подлежит возмещению в денежной форме в соответствии со статьями Гражданского кодекса РФ.

 9.2. Субъект персональных данных:

  •       9.2.1.В целях обеспечения достоверности персональных данных субъект персональных данных обязан:
    • при приеме на работу/зачислении на обучение предоставить Организации полные достоверные данные о себе;
    • в случае изменения сведений, составляющих персональные данные, незамедлительно предоставить данную информацию в Организацию.
  • 9.2.2. Субъекты персональных данных имеют право на
    • полную информацию об их персональных данных и обработке этих данных;
    • свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные субъекта персональных данных, за исключением случаев, предусмотренных федеральным законом;
    • определение своих представителей для защиты своих персональных данных;
    • свободный доступ к сведениям о правовых основаниях и целях обработки персональных данных;
    • свободный доступ к сведениям о наименовании и месте нахождения Организации, сведения о лицах (за исключением работников Организации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Организацией или на основании действующего законодательства;
    • свободный доступ к сведениям о сроках обработки персональных данных, в том числе сроках их хранения;
    • свободный доступ к сведениям о наименовании или фамилии, имени, отчеству и адресу лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
    • требование об исключении или исправлении неверных, или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса РФ или иного федерального закона;
    • при отказе оператора персональных данных исключить или исправить персональные данные субъекта персональных данных он имеет право заявить в письменной форме оператору персональных данных о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера субъект персональных данных имеет право дополнить заявлением, выражающим его собственную точку зрения;
    • отозвать согласие на передачу и обработку персональных данных;
    • требование об извещении Организации всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта персональных данных, обо всех произведенных в них исключениях, исправлениях или дополнениях;
    • обжалование в суде любых неправомерных действий или бездействия Организации при обработке и защите его персональных данных.
  • 9.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъектов персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством РФ.

10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

  • 10.1. Настоящее Положение вступает в силу с 10.010.2025 года, вывешивается в АНО ДПО и ПО «Мегаполис», на видном месте для всеобщего ознакомления и размещается на официальном сайте Организации в сети "Интернет".
  • 10.2. Настоящее Положение может быть пересмотрено в случае изменения законодательства Российской Федерации, путем разработки новой редакции, дополнений или приложений к данному Положению, утверждаемых приказом директора АНО ДПО и ПО «Мегаполис»

 

 

 

 

 

Государственные ресурсы