ПОЛИТИКА
в отношении обработки персональных данных
автономной некоммерческой организации дополнительного профессионального образования «Центр повышения квалификации специалистов по технической защите информации»
1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) разработана в автономной некоммерческой организации дополнительного профессионального образования «Центр повышения квалификации специалистов по технической защите информации» (далее — АНО ДПО «ЦПКС ТЗИ») в соответствии с требованиями ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». При разработке Политики учитывались Рекомендации Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций России от 31 июля 2017 г. по составлению документа, определяющего политику оператора в отношении обработки персональных данных.
1.2. Политика разработана в целях обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных в АНО ДПО «ЦПКС ТЗИ».
1.3. В настоящей Политике используются следующие основные понятия:
персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (применительно к настоящей Политике оператором является АНО ДПО «ЦПКС ТЗИ»);
обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.4. Субъект персональных данных имеет право:
получать сведения об обработке его персональных данных у оператора;
требовать от оператора уточнения, при необходимости, своих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки;
принимать предусмотренные законом меры по защите своих прав;
обжаловать действия или бездействие оператора в области обработки его персональных данных путем обращения в уполномоченный орган по защите прав субъектов персональных данных.
1.5. Оператор персональных данных обязан:
опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему политику в отношении обработки персональных данных;
принимать необходимые правовые, организационные и технические меры для защиты персональных данных от несанкционированного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий в отношении персональных данных;
осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных действующему законодательству Российской Федерации и принятым в соответствии с ним нормативным документам;
предоставлять ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных;
прекращать неправомерную обработку персональных данных в случае ее выявления, в срок, не превышающий трех рабочих дней с момента такого выявления. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные;
прекращать обработку и уничтожать персональные данные в случае достижения цели обработки персональных данных в срок, не превышающий тридцати дней с даты достижения цели обработки, если иное не предусмотрено соглашением между оператором и субъектом персональных данных;
в случае отзыва субъектом согласия на обработку его персональных данных оператор обязан в течение трех рабочих дней прекратить их обработку и, в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить их в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных;
вносить необходимые изменения в персональные данные в срок, не превышающий семи рабочих дней со дня предоставления субъектом или его представителем сведений, подтверждающих, что эти персональные данные являются неполными, неточными или неактуальными. О внесенных изменениях оператор обязан уведомить субъекта или его представителя и принять меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
2. Цели обработки персональных данных
2.1.Обработка персональных данных (ПДн) в АНО ДПО «ЦПКС ТЗИ» ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями их обработки.
2.2.Обработка ПДн в АНО ДПО «ЦПКС ТЗИ» осуществляется в следующих целях: осуществление функций и обязанностей, возложенных на АНО ДПО «ЦПКС ТЗИ» законодательством Российской Федерации, в том числе по ведению кадровой работы и кадрового учета, заключению и исполнению обязательств по трудовым и гражданско-правовым договорам, содействию работникам в трудоустройстве, обучении и продвижении по службе, пользовании правами и льготами, предоставлению сведений в Социальный фонд России, в Федеральную налоговую службу, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы и учреждения; оказания образовательных услуг в сфере дополнительного профессионального образования (профессиональная переподготовка, повышение квалификации) специалистам в области информационной безопасности, включая организацию работы с заказчиками по подготовке и заключению договоров на оказание образовательных услуг, предоставление им информации о деятельности АНО ДПО «ЦПКС ТЗИ» (в том числе о профессиональном уровне и квалификации преподавательского состава), организацию учебного процесса, обеспечение режима секретности при использовании при проведении учебных занятий сведений, составляющих государственную тайну, обеспечение личной безопасности обучающихся в период обучения, организацию пропускного режима на территорию АНО ДПО «ЦПКС ТЗИ», проведение консультаций посредством электронной почты или телефонной связи, в том числе и после окончания учебного курса, внесение информации о выданных АНО ДПО «ЦПКС ТЗИ» документах о квалификации или об обучении в Федеральную информационную систему «Федеральный реестр сведений о документах об образовании и (или) о квалификации, документах об обучении» (ФИС ФРДО); осуществление прав и законных интересов АНО ДПО «ЦПКС ТЗИ» в рамках осуществления видов деятельности, предусмотренных законодательством РФ и Уставом (в том числе размещение информации о деятельности АНО ДПО «ЦПКС ТЗИ» и его сотрудниках на официальном сайте организации).
2.3. АНО ДПО «ЦПКС ТЗИ», при обработке ПДн руководствуется следующими принципами: обработка ПДн только для достижения конкретных, заранее определенных и законных целей; недопустимость объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой; соответствие объема и содержания обрабатываемых ПДн законным целям обработки; точность ПДн, их достаточность и актуальность по отношению к целям обработки. хранение ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки, за исключением случаев, в которых срок хранения персональных данных установлен федеральными законами Российской Федерации.
3. Правовые основания обработки персональных данных
Правовые основания обработки ПДн в АНО ДПО «ЦПКС ТЗИ» определяются возложенными на нее законодательством Российской Федерации обязанностями в соответствии с Трудовым кодексом РФ, Гражданским кодексом РФ, Налоговым кодексом РФ, федеральными законами, в том числе: Федеральным законом от 27 июля 2006г. № 152-ФЗ «О персональных данных», Федеральным законом от 29 декабря 2012 г. № 273-ФЗ «Об образовании в Российской Федерации», Законом РФ от 21 июля 1993 г. № 5485-I «О государственной тайне», Федеральным законом от 15 декабря 2001 г. № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации», Федеральным законом от 29 ноября 2010 г. № 326‑ФЗ «Об обязательном медицинском страховании в Российской Федерации», иными федеральными законами, устанавливающими права и обязанности АНО ДПО «ЦПКС ТЗИ» как образовательной организации и субъекта хозяйственной деятельности, и принятыми на основании их нормативными правовыми актами Президента РФ, Правительства РФ, Министерства науки и высшего образования РФ, Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, а так же Уставом АНО ДПО «ЦПКС ТЗИ», договорами, заключаемыми между АНО ДПО «ЦПКС ТЗИ» и заказчиками (обучающимися), согласиями субъектов ПДн на обработку их персональных данных.
4. Объем и категории обрабатываемых персональных данных,
категории субъектов персональных данных
4.1. В АНО ДПО «ЦПКС ТЗИ» обрабатываются ПДн следующих категорий субъектов: работники, бывшие работники и кандидаты на замещение вакантных должностей АНО ДПО «ЦПКС ТЗИ»; лица, проходящие обучение в АНО ДПО «ЦПКС ТЗИ» (обучающиеся); лица, привлекаемые к выполнению работ (оказанию услуг) по договорам гражданско-правового характера; представители юридических лиц – контрагентов АНО ДПО «ЦПКС ТЗИ».
4.2. Перечень ПДн работников, бывших работников и кандидатов на замещение вакантных должностей АНО ДПО «ЦПКС ТЗИ», а также лиц, привлекаемые к выполнению работ (оказанию услуг) по договорам гражданско-правового характера, определяется законодательством РФ в области трудовых отношений.
4.3. Перечень ПДн представителей юридических лиц – контрагентов АНО ДПО «ЦПКС ТЗИ»:
- фамилия, имя, отчество;
- место работы и занимаемая должность;
- номер контактного телефона;
- адрес электронной почты.
- фамилия, имя, отчество, адрес регистрации, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- пол;
- дата рождения;
- гражданство;
- страховой номер индивидуального лицевого счета (СНИЛС);
- данные о среднем профессиональном или высшем образовании и о выданных документах об образовании;
- место работы и занимаемая должность;
- информация об оформленном допуске к государственной тайне;
- номер контактного телефона;
- адрес электронной почты.
4.6. В АНО ДПО «ЦПКС ТЗИ» не обрабатываются биометрические ПДн (за исключением фотографий преподавателей, размещаемых на официальном сайте АНО ДПО «ЦПКС ТЗИ» с их письменного согласия).
4.7. В АНО ДПО «ЦПКС ТЗИ» не осуществляется трансграничная передача ПДн.
5. Порядок и условия обработки персональных данных
5.1. Обработка ПДн в АНО ДПО «ЦПКС ТЗИ» включает следующие действия с ними: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление), обезличивание, блокирование, удаление, уничтожение.
5.2. Обработка ПДн осуществляется с согласия субъектов персональных данных. В установленных законодательством случаях обработка осуществляется без получения согласия.
5.3. Передача ПДн осуществляется в случаях, когда она необходима для выполнения требований законодательства РФ (например, передача ПДн в ФИС ФРДО). Для обеспечения пропускного режима необходимые ПДн передаются в отдел режима и безопасности федерального автономного учреждения «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (фамилия, имя, отчество, место работы и занимаемая должность, наличие допуска к государственной тайны).
5.4. Кроме того, персональные данные могут передаваться органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством РФ и по их мотивированным запросам.
5.5. ПДн передаются (предоставляются) только в объеме, установленном законодательством РФ.
5.6. Для обработки ПДн применяются как автоматизированная обработка, так и обработка без использования средств автоматизации.
5.7. Базы данных, используемые при обработке ПДн в АНО ДПО «ЦПКС ТЗИ», размещены на территории Российской Федерации.
5.8. Техническая информация, создаваемая в процессе работы сайта АНО ДПО «ЦПКС ТЗИ», включающая сведения об IP-адресах посетителей, типах устройств, используемых для доступа к сайту, браузерах и т.п., не используется для идентификации субъектов ПДн и рассылки сообщений рекламного характера, а также не передается другим лицам и организациям.
5.9. Сроки обработки и хранения ПДн регламентируются требованиями законодательства РФ, а также договорами с субъектами ПДн и их согласиями на обработку ПДн.
5.10. По достижении установленных целей и сроков обработки ПДн уничтожаются способами, исключающими возможность их восстановления.
5.11. Конфиденциальность обрабатываемых ПДн обеспечивается принятием мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
5.12. Для обеспечения безопасности ПДн, обрабатываемых в информационной системе персональных данных, реализован комплекс организационно-технических мер, соответствующих установленному в АНО ДПО «ЦПКС ТЗИ» уровню защищенности ПДн.
5.13. При обработке ПДн без использования средств автоматизации безопасность ПДн (в том числе сохранность носителей ПДн) обеспечивается мерами физической охраны служебных помещений и контроля доступа в них.
6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
6.1. Субъект ПДн вправе требовать от АНО ДПО «ЦПКС ТЗИ» уточнения его ПДн, их блокирования или уничтожения в случае, если его ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.2. Для реализации своих прав субъект предоставляет (направляет) АНО ДПО «ЦПКС ТЗИ» документы, которые содержат точные (актуальные, уточненные) ПДн. На основании предоставленных документов АНО ДПО «ЦПКС ТЗИ» осуществляет их уточнение (актуализацию), о чем уведомляет субъекта ПДн.
6.3. В случае подтверждения неправомерности обработки ПДн такая обработка прекращается путем уничтожения персональных данных (в том числе документов, содержащих такие ПДн).
6.4. АНО ДПО «ЦПКС ТЗИ» по запросу субъекта ПДн либо его законного представителя сообщает ему информацию о факте обработки его персональных данных и иную информацию, предусмотренную ч. 7 ст. 14 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных». При этом запрос субъекта ПДн должен содержать: номер основного документа, удостоверяющего личность субъекта ПДн (его законного представителя); сведения о дате выдачи указанного документа и выдавшем его органе; сведения, подтверждающие участие субъекта ПДн в отношениях с АНО ДПО «ЦПКС ТЗИ» (например, номер договора, дата заключения договора, наименование курса, на котором субъект ПДн проходил обучение и период такого обучения, и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн в АНО ДПО «ЦПКС ТЗИ», подпись субъекта ПДн или его представителя.
6.5. Запрос может быть направлен в форме электронного документа, подписанного электронной подписью в соответствии с законодательством РФ.
6.6. Ответ на запрос субъекта ПДн направляется в течение 10 рабочих дней по указанному им адресу.
6.7. Право субъекта ПДн на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе ч. 8 ст.14 Федерального закона от 27 июля
2006 г. № 152-ФЗ «О персональных данных».
Контактная информация и реквизиты
Юридический, фактический и почтовый адрес:
394036, г. Воронеж, ул. Студенческая, д. 36
Телефоны и E-mail:
(473) 258-47-80, 239-05-22, +7 900-304-01-21
dpo-gniii@bk.ru
Директор Центра:
Акименко Александр Константинович
Реквизиты:
ИНН/КПП 3666263230 / 366601001
ОГРН 1223600005496
Расчетный счет 40703810213000059444
Корреспондентский счет 30101810600000000681
БИК 042007681
Центрально-Черноземный банк ПАО Сбербанк г. Воронеж
394036, г. Воронеж, ул. Студенческая, д. 36
Телефоны и E-mail:
(473) 258-47-80, 239-05-22, +7 900-304-01-21
dpo-gniii@bk.ru
Директор Центра:
Акименко Александр Константинович
Реквизиты:
ИНН/КПП 3666263230 / 366601001
ОГРН 1223600005496
Расчетный счет 40703810213000059444
Корреспондентский счет 30101810600000000681
БИК 042007681
Центрально-Черноземный банк ПАО Сбербанк г. Воронеж
