Политика в отношении обработки персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) разработана на основании Конституции РФ, Гражданского кодекса РФ, Трудового кодекса РФ, и в соответствии со ст. 18.1 Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Постановления Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановления Правительства РФ от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», Постановления Правительства РФ от 21 марта 2012г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», и принятыми в соответствии с ними нормативными правовыми актами операторов.

Политика является основополагающим внутренним регулятивным документом, определяющим ключевые направления деятельности в области обработки и защиты персональных данных, оператором которых является индивидуальный предприниматель Онищенко Снежана Валентиновна (ИНН 222207125142 ОГРНИП 309222333600020 )(далее – Оператор).

1.2. Цель настоящей Политики – обеспечение прав граждан при обработке их персональных данных, и принятие мер от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных субъектов.

1.3. Персональные данные могут обрабатываться только для целей, непосредственно связанных с деятельностью Оператора, в частности для заключения договоров, выполнения договорных обязательств по оказанию услуг, приема заявок на оказание услуг, проведения расчетов с заказчиками и исполнителями услуг, выдачи документов об обучении и уровне владения иностранным языком, выдачи документов о результатах участия в экзаменах, обеспечения законов и иных нормативно-правовых актов.

1.4. Оператор собирает данные только в объеме, необходимом для достижения выше названных целей.

1.5. Передача третьим лицам персональных данных без письменного согласия не допускается. Режим конфиденциальности персональных данных снимается в случаях обезличивания или включения их в общедоступные источники персональных данных, если иное не определено законом.

1.6. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.

1.7. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции.

1.8. Действующая редакция Политики хранится по адресу: 656031, г.  Барнаул, пр-т Строителей,117, офис 215.

2. ТЕРМИНЫ И ПРИНЯТЫЕ СОКРАЩЕНИЯ

Персональные данные (ПД) – любая информация, относящаяся к субъекту персональных данных.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД.

Трансграничная передача персональных данных – передача ПД на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Субъект персональных данных – физическое лицо, персональные данные которого обрабатываются Оператором.

Оператор – юридическое или физическое лицо, организующие и (или) осуществляющие обработку ПД, а также определяющие цели и содержание обработки ПД.

3. ПЕРЕЧЕНЬ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫХ КОТОРЫХ ОБРАБАТЫВАЮТСЯ ОПЕРАТОРОМ, И КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Оператор обрабатывает ПД следующих категорий субъектов: 1) исполнители услуг и работники; 2) обучающиеся,  потребители и заказчики услуг; 3) пользователи сайта Оператора, чьи персональные данные стали известны при заполнении форм обратной связи на сайте.  

3.2. К персональным данным исполнителей услуг и работников, которые обрабатывает Оператор, относятся: фамилия, имя, отчество, дата и место рождения, адрес, гражданство, пол; данные документа, удостоверяющего личность; номер страхового свидетельства обязательного пенсионного страхования; ИНН; данные документов об образовании и повышении квалификации; должность; сведения о трудовой деятельности; реквизиты банковского счета для перечисления средств за оказанные услуги; номер контактного телефона, адрес электронной почты; сведения о воинском учете; сведения о судимости; фотоизображение лица.

3.3. Оператор обрабатывает следующие категории ПД обучающихся, потребителей и заказчиков услуг: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, гражданство, адрес, образование, профессия; данные документа, удостоверяющего личность; ИНН; номер контактного телефона; адрес электронной почты; данные документов, удостоверяющих участие в языковых курсах и уровень владения иностранным языком; фотоизображение лица; информация о документе, полученном по результатам сдачи экзамена; иная информация, необходимая Оператору в целях оказания услуг.

4. УСЛОВИЯ И ОСНОВНЫЕ ПРИНЦИПЫ ОБРАБОТКИ, ПЕРЕДАЧИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Оператор ведет обработку ПД субъекта с использованием средств автоматизации (автоматизированная обработка) и без использования таких средств (неавтоматизированная обработка).

4.2. Обработка ПД должна осуществляться на основе следующих принципов: законности целей и способов обработки ПД и добросовестности; соответствия целей обработки ПД целям, заранее определенным и заявленным при сборе ПД, а также полномочиям Оператора; соответствия объема и характера обрабатываемых ПД, способов обработки ПД целям обработки ПД; достоверности ПД, их достаточности для целей обработки, недопустимости обработки ПД, избыточных по отношению к целям, заявленным при сборе ПД; недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем ПД; уничтожения ПД после достижения целей обработки или в случае утраты необходимости в их достижении; личной ответственности работников Оператора за сохранность и конфиденциальность ПД, а также носителей этой информации.

4.3. Оператор должен сообщить субъекту о целях обработки ПД, категориях обрабатываемых ПД, перечне действий с ПД, сроке, в течение которого действует согласие и порядке его отзыва.

4.4. Документы, содержащие ПД, создаются путем: копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН и др.); внесения сведений в учетные формы; получения оригиналов необходимых документов.

4.5. Обработка ПД осуществляется: с согласия субъекта ПД на обработку его ПД; в случаях, когда обработка ПД необходима для осуществления и выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей; в случаях, когда осуществляется обработка ПД, разрешенных субъектом ПД для распространения, с оформленного отдельно согласия субъекта ПД.

4.6. Обработка ПД с согласия субъекта ПД на обработку его ПД осуществляется с использованием программ для электронных вычислительных машин „Альфа-CRM“. 

5. СВЕДЕНИЯ О ТРЕТЬИХ ЛИЦАХ, УЧАСТВУЮЩИХ В ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. В целях соблюдения законодательства РФ, для достижения целей обработки, а также в интересах и с согласия субъектов ПД Оператор в ходе своей деятельности предоставляет ПД третьим лицам, указанным в пп. 5.2, 5.3 и 5.4.

5.2. Оператор предоставляет ПД исполнителей услуг и работников следующим организациям:

Федеральной налоговой службе РФ;

Социальному фонду России;

банкам для начисления заработной платы и для оплаты услуг по договорам возмездного оказания услуг;

Правоохранительным органам (в случаях, установленных законодательством).

5.3. Оператор предоставляет ПД обучающихся, потребителей и заказчиков услуг правоохранительным органам (в случаях, установленных законодательством).

5.4. Оператор предоставляет Немецкому культурному центу имени Гёте при Германском Посольстве в Москве (ИНН 9909056286, КПП 773860002), Центральному правлению Гёте-Института в г. Мюнхене (Германия) и исполнителям услуг по проведению экзаменов Гёте-Института следующие ПД потребителей и заказчиков услуг по проведению экзаменов Гёте-Института: фамилия, имя, отчество; дата и место рождения; цель участия в экзамене (если указано); информация о результатах сдачи экзамена; информация о документе (сертификате), полученном по результатам сдачи экзамена.

6. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Субъект ПД имеет право на:

1) получение информации, касающейся обработки его ПД, в том числе содержащей подтверждение факта обработки ПД Оператором, правовые основания и цели обработки ПД, применяемые Оператором способы обработки ПД, наименование и местонахождение Оператора, сведения о третьих лицах, участвующих в обработке ПД, сроки обработки и хранения ПД, информацию о трансграничной передаче данных;

2) доступ к информации об обрабатываемых ПД, относящихся к соответствующему субъекту ПД;

3) обжалование действий или бездействия Оператора;

4) отзыв согласия на обработку ПД. Пользователь может отозвать свое согласие на обработку персональных данных в порядке, предусмотренном Законом о персональных данных № 152-ФЗ, путем подачи письменного заявления Оператору по адресу: 656031, г. Барнаул, пр-т Строителей, 117, офис 215.

6.2. Информация, касающаяся обработки ПД субъекта, предоставляется ему или его представителю Оператором в течение десяти рабочих дней с момента обращения либо получения Оператором запроса субъекта ПД или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта ПД мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПД или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПД в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПД Оператором, подпись субъекта ПД или его представителя.

7. ОБЯЗАННОСТИ ОПЕРАТОРА

7.1. Оператор обязан предоставить субъекту ПД по его запросу информацию, касающуюся обработки ПД субъекта.

7.2. При сборе ПД, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

7.3. Оператор обязан применять правовые, организационные и технические меры по обеспечению безопасности ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД.

7.4. Оператор обязан осуществлять внутренний контроль соответствия обработки ПД Федеральному закону от 27.07.2006 №152-ФЗ "О персональных данных" и принятым в соответствии с ним настоящим документом, определяющим его политику в отношении обработки ПД.

7.5. Оператор обязан обеспечить неограниченный доступ к настоящему документу, определяющему его политику в отношении обработки ПД. 

8. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 Меры по обеспечению безопасности ПД при их обработке включают:

разработка письменной формы согласия на обработку ПД;

получение от субъектов ПД письменного согласия на обработку их ПД;

издание локальных актов Оператора по вопросам обработки ПД;

назначение лица, ответственного за организацию обработки ПД;

определение возможных угроз безопасности ПД при их обработке и принятие мер по защите ПД от возможных угроз безопасности;

хранение материальных носителей ПД с соблюдением условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ;

установление индивидуальных паролей доступа Оператора к информационной системе ПД;

применение антивирусного программного обеспечения с регулярно обновляемыми базами с целью обнаружения, предупреждения и ликвидации последствий компьютерных атак;

внутренний контроль условий обработки ПД.