Политика в отношении обработки персональных данных
1. Общие положения

1.1. Назначение документа

Настоящая Политика разработана во исполнение ст. 18.1 Закона о персональных данных, с учётом Рекомендаций [1] по составлению документа, определяющего политику оператора в отношении обработки персональных данных.

Действие настоящей Политики распространяется на отношения по обработке и обеспечению безопасности информации ограниченного доступа, относящейся в соответствии с законодательством Российской Федерации к ПДн, а также определяет ответственность работников Оператора, имеющих доступ к ПДн, за невыполнение требований норм законодательства Российской Федерации, регулирующих обработку и защиту ПДн.

Актуальная редакция настоящей Политики публикуется на официальном сайте Общества, размещённом в сети Интернет по адресу: «https://college.interneturok.ru/policy».

Настоящая Политика определяет цели, принципы, правовые основания, категории и условия обработки ПДн субъектов, чьи ПДн обрабатываются Обществом.

В настоящей Политике содержатся положения об ответственности работников Общества, в случае выявления нарушений законодательства Российской Федерации, при обработке ПДн.

Настоящая Политика является общедоступным документом и может быть предоставлена по требованию субъектов ПДн, направленных в адрес Общества.

1.2. Понятия и определения

Указанные далее понятия и определения соответствуют по своему содержанию понятиям и определениям, указанным в Законе о персональных данных. В случае наличия противоречий между содержанием понятий и определений, указанных в п. 1.2 настоящей Политики и Законе о персональных данных, содержание понятий и определений, указанных в Законе о персональных данных, имеет приоритет.

Автоматизированная обработка ПДн – обработка персональных данных с помощью средств вычислительной техники.

Биометрические ПДн – сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.

Блокирование ПДн – временное прекращение обработки персональных данных, за исключением случаев, если обработка необходима для уточнения персональных данных.

Информационная система ПДн (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность ПДн – обязанность операторов и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

Обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Общедоступные источники ПДн – созданные в целях информационного обеспечения, в которые, с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

Оператор[2] – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные – любая информация, относящаяся к прямо или косвенно определённому, или определяемому физическому лицу (субъекту персональных данных).

Персональные данные, разрешённые субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путём дачи согласия на обработку персональных данных, разрешённых субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных.

Предоставление ПДн – действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц.

Распространение ПДн – действия, направленные на раскрытие персональных данных неопределённому кругу лиц.

Специальные категории ПДн – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Субъект ПДн – физическое лицо, имеющее право на обеспечение защиты его прав и свобод при обработке его персональных данных, защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Трансграничная передача ПДн – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.3. Основные обязанности оператора

Оператор до начала обработки ПДн обязан уведомить уполномоченный орган по защите прав субъектов ПДн о своём намерении осуществлять обработку ПДн.

Оператор, являющийся юридическим лицом, обязан назначить ответственного за организацию обработки ПДн.

Оператор и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

Оператор при обработке ПДн обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

Оператор обязан в порядке, определённом федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлёкших неправомерную передачу (предоставление, распространение, доступ) ПДн.

При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлёкшей нарушение прав субъектов ПДн, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов ПДн или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов ПДн.

Оператор обязан прекратить обработку ПДн или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в случае достижения цели обработки ПДн и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между оператором и субъектом ПДн, либо если оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Законом о персональных данных или другими федеральными законами.

Оператор обязан прекратить обработку ПДн или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в случае отзыва субъектом ПДн согласия на обработку его ПДн, а также в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между оператором и субъектом ПДн либо если оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Законом о персональных данных или другими федеральными законами.

В случае обращения субъекта ПДн к оператору с требованием о прекращении обработки ПДн оператор обязан в установленный Законом о персональных данных срок прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку ПДн по поручению оператора), за исключением случаев, предусмотренных Законом о персональных данных.

1.4. Основные права субъекта персональных данных

Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
  • подтверждение факта обработки ПДн оператором;
  • правовые основания и цели обработки ПДн;
  • цели и применяемые оператором способы обработки ПДн;
  • наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона;
  • обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки ПДн, в том числе сроки их хранения;
  • порядок осуществления субъектом ПДн прав, предусмотренных Законом о персональных данных;
  • информацию об осуществлённой или о предполагаемой трансграничной передаче ПДн;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу;
  • информацию о способах исполнения оператором обязанностей, установленных статьёй 18.1 Закона о персональных данных;
  • иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами.

Сведения о наличии ПДн должны быть предоставлены субъекту ПДн уполномоченными работниками Общества в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн.

Субъект ПДн имеет право на уточнение его ПДн, их блокирование или уничтожение в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Субъект ПДн имеет право на отзыв согласия на обработку своих ПДн, однако Общество вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии законных оснований.

По вопросам, связанным с обработкой и защитой Ваших ПДн, Вы можете связаться с Обществом, направив письменный запрос по адресу: 125375, г.Москва, Большой Гнездниковский переулок, д.1, стр.2, этаж 5, комнаты 5, 6.

Если субъект ПДн считает, что Общество осуществляет обработку его ПДн с нарушением требований законодательства Российской Федерации или иным образом, нарушаются его права и свободы, субъект ПДн вправе использовать способы защиты, предусмотренные законодательством РФ.

2. Цели обработки персональных данных
Обработка ПДн должна ограничиваться достижением конкретных, заранее определённых и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.

Цели обработки ПДн могут происходить, в том числе, из анализа правовых актов, регламентирующих деятельность Общества, из деятельности осуществляемой Обществом.

Основные цели, с которыми Общество осуществляет обработку ПДн:
  • ведение кадрового и бухгалтерского учёта;
  • обеспечение соблюдения трудового законодательства РФ;
  • обеспечение соблюдения налогового законодательства РФ;
  • обеспечение соблюдения пенсионного законодательства РФ;
  • обеспечение соблюдения страхового законодательства РФ;
  • обеспечение соблюдения законодательства РФ в сфере образования;
  • подготовка, заключение и исполнение гражданско-правового договора;
  • добровольное медицинское страхование;
  • продвижение товаров, работ, услуг на рынке;
  • обеспечение пропускного режима на территорию оператора;
  • подбор персонала (соискателей) на вакантные должности оператора.
3. Принципы обработки персональных данных

Обработка ПДн осуществляется Обществом на основе следующих принципов:
  • обработка ПДн осуществляется на законной и справедливой основе;
  • обработка ПДн ограничена достижением конкретных, заранее определённых и законных целей;
  • Общество обрабатывает только ПДн, отвечающие целям их обработки;
  • Общество разделяет базы данных, содержащие ПДн, обработка которых осуществляется в целях, несовместимых между собой;
  • содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки;
  • обрабатываемые ПДн не являются избыточными по отношению к заявленным целям их обработки;
  • при обработке ПДн обеспечиваются точность ПДн, их достаточность и актуальность по отношению к целям обработки ПДн;
  • принимаются необходимые меры, либо обеспечивается их принятие по удалению или уточнению неполных, или неточных ПДн;
  • хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн;
  • обрабатываемые ПДн уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральными законами.

4. Правовые основания обработки персональных данных

Правовым основанием обработки ПДн является совокупность нормативных правовых актов, а также иных документов, во исполнение которых и в соответствии с которыми Общество осуществляет обработку ПДн, к которым могут относиться:
  • федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью Общества;
  • договоры, заключаемые между Обществом и субъектом ПДн;
  • согласия на обработку ПДн (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Общества).

5. Субъекты персональных данных

Субъекты ПДн, ПДн которых обрабатываются Обществом с использованием средств автоматизации или без использования таковых:

5.1. Субъекты, данные которых обрабатываются в рамках трудовых отношений
Представлены следующими субъектами ПДн:
  • кандидаты на работу в Общество (соискатели);
  • работники Общества;
  • члены семей работников Общества (супруги, дети и близкие родственники);
  • лица, имевшие ранее трудовые отношения с Обществом.

5.2. Контрагенты (клиенты) Общества
Представлены следующими субъектами ПДн:
  • работники юридических лиц, имеющие или имевшие договорные отношения с Обществом, в том числе находящиеся на преддоговорном этапе установления таких отношений;
  • индивидуальные предприниматели, имеющие или имевшие договорные отношения с Обществом, в том числе находящиеся на преддоговорном этапе установления таких отношений, и их работники;
  • физические лица, имеющие или имевшие договорные отношения с Обществом, в том числе находящиеся на преддоговорном этапе установления таких отношений;
  • посетители информационных ресурсов Общества, размещённых в сети Интернет;
  • пользователи программ для ЭВМ Общества.

5.3. Посетители Общества
Представлены следующими субъектами ПДн:
  • физические лица, не являющиеся работниками Общества, находящиеся на территории, на которой Общество находится или ведёт свою деятельность.

5.4. Иные субъекты персональных данных
Представлены следующими субъектами ПДн:
  • субъекты ПДн, которые не вошли в вышеперечисленные категории, и обработка ПДн которых не противоречит законодательству Российской Федерации и необходима Обществу для осуществления целей обработки ПДн.

6. Категории обрабатываемых персональных данных
В Обществе обрабатываются следующие категории ПДн:
  • иные категории, которые не могут быть отнесены к специальным категориям ПДн, к биометрическим ПДн или к ПДн, разрешённым субъектом ПДн для распространения;
  • персональные данные, разрешённые субъектом ПДн для распространения.

7. Работники Общества, организующие и участвующие в обработке и обеспечении безопасности персональных данных
В Обществе назначаются следующие ответственные лица:
  • лицо, ответственное за организацию обработки ПДн;
  • лицо, ответственное за обеспечение безопасности ПДн в ИСПДн.

В процессах обработки ПДн в Обществе участвуют работники Общества, в рамках выполнения своих должностных обязанностей.

8. Обработка и обеспечение безопасности персональных данных

8.1. Обработка и порядок прекращения обработки персональных данных

Обработка ПДн в Обществе допускается в следующих случаях:
  • наличие согласия субъекта ПДн на обработку его персональных данных;
  • исполнение договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн;
  • осуществление прав и законных интересов Общества или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
  • обработка ПДн в статистических или иных исследовательских целях, при условии обязательного обезличивания ПДн;
  • обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн, либо организован с согласия субъекта;
  • обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральными законами;
  • обработка ПДн Обществом в иных случаях, предусмотренных федеральным законодательством.

Включение Обществом ПДн субъектов, в общедоступные источники ПДн, возможно только в случае наличия требований федерального законодательства, либо в случае получения письменного согласия субъекта ПДн.

При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет" запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации должно обеспечиваться с использованием баз данных, находящихся на территории Российской Федерации.

Общество может осуществлять трансграничную передачу ПДн субъектов ПДн в целях исполнения договорных обязательств только при наличии письменного согласия субъекта ПДн. В этом случае Общество направляет уведомление об осуществлении трансграничной передачи ПДн в уполномоченный орган по защите прав субъектов ПДн.

Общество не осуществляет принятие решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки ПДн.

Общество вправе поручить обработку ПДн другому лицу только с согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации, на основании заключаемого с этим лицом договора (поручение оператора). При этом Общество обязывает лицо, осуществляющее обработку ПДн по поручению, соблюдать принципы и правила обработки ПДн, предусмотренные законодательством Российской Федерации. В случае, если Общество поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несёт Общество. Лицо, осуществляющее обработку ПДн по поручению Общества, несёт ответственность перед Обществом.

Общество обязуется и обязывает иных лиц, получивших доступ к ПДн, не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации.

Обработка Обществом ПДн прекращается в следующих случаях:
  • достижение целей обработки ПДн;
  • истечение сроков обработки ПДн, предусмотренных законодательством Российской Федерации, договором или согласием субъекта ПДн на обработку его персональных данных;
  • отзыв субъектом ПДн согласия на обработку его ПДн, в случаях, не противоречащих требованиям законодательства Российской Федерации;
  • иных случаях, предусмотренных законодательством РФ.

8.2. Сведения о реализуемых требованиях по защите персональных данных

Общество принимает все необходимые правовые, организационные и технические меры при обработке ПДн, для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн.
Реализуются меры по организации обработки и обеспечению безопасности ПДн, обрабатываемых без средств автоматизации, в том числе:
  • для каждой категории ПДн должны быть определены места хранения ПДн (материальных носителей) и установлен перечень лиц, осуществляющих обработку ПДн и имеющих к ним доступ;
  • должно быть обеспечено раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях;
  • должны соблюдаться условия, обеспечивающие сохранность ПДн и исключающие НСД к ним при хранении материальных носителей.

Реализуются меры по защите ПДн при их обработке в ИСПДн, в том числе:
  • определяется уровень защищённости ПДн при их обработке в информационных системах;
  • выполняются требования по защите ПДн в информационных системах ПДн, в соответствии с определёнными уровнями защищённости ПДн;
  • применяются необходимые средства защиты информации;
  • осуществляется оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
  • осуществляется учёт машинных носителей ПДн;
  • проводятся мероприятия по обнаружению фактов несанкционированного доступа к ПДн и принимаются меры, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них;
  • осуществляется восстановление ПДн, модифицированных или уничтоженных вследствие НСД к ним;
  • устанавливаются правила доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечиваются регистрация и учёт действий, совершаемых с ПДн в ИСПДн, там, где это необходимо;
  • контролируются принимаемые меры по обеспечению безопасности ПДн, в том числе необходимость пересмотра ранее установленных уровней защищённости ПДн в ИСПДн.

9. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

В случае подтверждения факта неточности ПДн персональные данные подлежат актуализации или исправлению Обществом.

При выявлении неправомерности обработки ПДн их обработка Обществом должна быть прекращена.

При достижении целей обработки ПДн, а также в случае отзыва субъектом ПДн согласия на их обработку ПДн подлежат удалению или уничтожению, если:
  • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн, иным соглашением между Обществом и субъектом ПДн;
  • Общество не вправе осуществлять обработку ПДн без согласия субъекта ПДн.

Общество обязано сообщить субъекту ПДн или его представителю информацию об осуществляемой им обработке ПДн такого субъекта по запросу последнего.

10. Ответственность

Работники Общества несут ответственность за соответствие порядка обработки и обеспечения безопасности ПДн законодательству Российской Федерации.

Все работники Общества, осуществляющие обработку ПДн, несут ответственность за соблюдение настоящей Политики и иных локальных актов Общества по вопросам обработки и обеспечения безопасности ПДн.

Любой работник Общества, которому стало известно о нарушении настоящей Политики или который подозревает о существовании такого нарушения должен в соответствии с существующими в Обществе процедурами сообщить об этом лицу, ответственному за организацию обработки ПДн в Обществе.

По факту любых нарушений требований настоящей Политики будут проведены служебные проверки в соответствии с существующими в Обществе процедурами, по результатам которых могут быть применены меры дисциплинарной ответственности в соответствии с трудовым законодательством Российской Федерации.

В тех случаях, когда нарушение работниками Общества или иными лицами требований настоящей Политики явилось причиной нарушения положений законодательства Российской Федерации, Общество вправе обратиться в правоохранительные органы.

11. Информация об Операторе
Адрес Оператора: 125375, г.Москва, Большой Гнездниковский переулок, д.1, стр.2, этаж 5, комнаты 5, 6.

12. Перечень условных обозначений и сокращений

  • Закон о персональных данных – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  • ИСПДн – Информационная система персональных данных.
  • НСД – Несанкционированный доступ.
  • Общество, Оператор – Общество с ограниченной ответственностью «ИНТЕРДА» (ООО «ИНТЕРДА»).
  • ПДн – Персональные данные.
  • Политика – Политика в отношении обработки и обеспечения безопасности персональных данных.
  • Уровень защищённости ПДн – Комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определённых угроз безопасности ПДн при их обработке в ИСПДн.
1https://75.rkn.gov.ru/directions/p7166/p22390/
2 — В целях настоящей Политики под Оператором следует понимать Общество.