Политика обработки персональных данных

Положение о защите, хранении, обработке и передаче персональных данных работников и обучающихся образовательной организации


1. Общие положения

1.1. Настоящее Положение разработано ООО “Картетика”, зарегистрированном по адресу: 450071, г. Уфа, ул. Ростовская, д. 22/1, ИНН 0276978206, (далее также – Организация). Положение разработано на основании ст. 86 - 90 Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", Федерального закона от 29.12.2012 N 273-ФЗ "Об образовании в Российской Федерации".
1.2. В соответствии с п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" под персональными данными работников и обучающихся (далее - персональные данные) понимается любая информация, относящаяся к определенному или определяемому на основании такой информации работнику или обучающемуся, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, образование и другая информация.
1.3. Организация, в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", является оператором, организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели и содержание обработки персональных данных.
1.4. Работники, уполномоченные на обработку персональных данных, обеспечивают обработку персональных данных в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", Федерального закона от 29.12.2012 N 273-ФЗ "Об образовании в Российской Федерации", Трудового кодекса Российской Федерации, других нормативных правовых актов Российской Федерации и несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных.
1.5. Перечень лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных в Организации, утверждается приказом руководителя Организации.
1.6. При получении, обработке, хранении и передаче персональных данных лица, уполномоченные на получение, обработку, хранение, передачу и любое другое использование персональных данных, обязаны соблюдать следующие требования:
а) обработка персональных данных осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия работникам и обучающимся в прохождении обучения, их карьерном росте, обеспечения личной безопасности и членов их семей, а также в целях обеспечения сохранности принадлежащего им имущества и имущества Организации, учета результатов исполнения ими обязанностей;
б) персональные данные следует получать лично у работников или обучающихся. В случае возникновения необходимости получения персональных данных у третьей стороны следует известить об этом работников и обучающихся заранее, получить их письменное согласие и сообщить работникам и обучающимся о целях, предполагаемых источниках и способах получения персональных данных;
в) запрещается получать, обрабатывать и приобщать к личному делу работников и обучающихся не установленные Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Федеральным законом от 29.12.2012 N 273-ФЗ "Об образовании в Российской Федерации" и Трудовым кодексом Российской Федерации персональные данные об их политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах;
г) при принятии решений, затрагивающих интересы работников и обучающихся, запрещается основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных носителей;
д) защита персональных данных от неправомерного их использования или утраты обеспечивается за счет средств Организации в порядке, установленном Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Федеральным законом от 29.12.2012 N 273-ФЗ "Об образовании в Российской Федерации", Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации и иными нормативными правовыми актами Российской Федерации;
е) передача персональных данных третьей стороне не допускается без письменного согласия работников и обучающихся, за исключением случаев, установленных федеральными законами;
ж) работники и обучающиеся и их представители должны быть ознакомлены под подпись с документами Организации, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области;
з) работники и обучающиеся не должны отказываться от своих прав на сохранение и защиту тайны;
и) Организация, работники, обучающиеся и их представители должны совместно вырабатывать меры защиты персональных данных.
1.7. Персональные данные, которые обрабатываются в информационных системах, подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
1.8. Сведения о персональных данных работников относятся к числу конфиденциальных (составляющих охраняемую законом тайну Организации). Режим конфиденциальности в отношении персональных данных снимается:
- в случае их обезличивания;
- по истечении 75 лет срока их хранения;
- в других случаях, предусмотренных федеральными законами.


2. Сохранение персональных данных в образовательной
деятельности


2.1. В целях информационного обеспечения управления в системе образования и государственной регламентации образовательной деятельности уполномоченными органами государственной власти Российской Федерации и органами государственной власти субъектов Российской Федерации создаются, формируются и ведутся государственные информационные системы, в том числе государственные информационные системы, предусмотренные Федеральным законом от 29.12.2012 N 273-ФЗ "Об образовании в Российской Федерации". Ведение государственных информационных систем осуществляется в соответствии с едиными организационными, методологическими и программно-техническими принципами, обеспечивающими совместимость и взаимодействие этих информационных систем с иными государственными информационными системами и информационно-телекоммуникационными сетями, включая информационно-технологическую и коммуникационную инфраструктуры, используемые для предоставления государственных и муниципальных услуг, с обеспечением конфиденциальности и безопасности содержащихся в них персональных данных и с соблюдением требований законодательства Российской Федерации о государственной или иной охраняемой законом тайне.
2.2. При реализации образовательных программ с применением электронного обучения, дистанционных образовательных технологий Организация также обеспечивает защиту персональных данных.
2.3. При поступлении в Организацию обучающиеся представляют достоверные сведения. Общество не проверяет достоверность получаемой (собираемой) информации о Пользователях, за исключением случаев, когда такая проверка необходима в целях исполнения Обществом обязательств перед Пользователями, а также в целях исключения злоупотреблений и нарушения прав третьих лиц.
2.4. Организация обеспечивает взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.

3. Получение, обработка, хранение персональных данных

3.1. В Организации устанавливается следующий порядок получения персональных данных:
3.1.1. Организация не имеет права получать и обрабатывать персональные данные работника или обучающегося о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.
3.1.2. В случаях, непосредственно связанных с вопросами трудовых отношений или образования, в соответствии со ст. 24 Конституции Российской Федерации Организация вправе получать и обрабатывать данные о частной жизни работника или обучающегося только с его письменного согласия.
3.2. Обработка персональных данных возможна только с согласия работников и обучающихся либо без их согласия в следующих случаях:
- персональные данные являются общедоступными;
- персональные данные относятся к состоянию здоровья работника или обучающегося, их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;
- по требованию полномочных государственных органов - в случаях, предусмотренных федеральным законом.
3.3. Организация вправе обрабатывать персональные данные работников и обучающихся только с их письменного согласия.
3.4. Письменное согласие работника и обучающегося на обработку своих персональных данных должно включать в себя:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие, а также порядок его отзыва.
Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.
3.5 Цели обработки персональных данных:
а) оказание Организацией физическим и юридическим лицам услуг, связанных с хозяйственной деятельностью Организации, включая контакты Организации с такими лицами, в том числе по электронной почте, по телефону, по адресу, предоставленным соответствующим лицом;
б) реализация образовательных программ, обеспечение и мониторинг учебного процесса, в том числе с применением электронного обучения и дистанционных образовательных технологий в Российской Федерации, размещения данных в федеральных информационных системах, оказания содействия в трудоустройстве, подтверждения факта обучения, получения персональных данных у третьей стороны, передачи (предоставление, доступ) персональных данных третьим лицам, оформления договора на предоставление платных образовательных услуг обучающемуся;
в) направление консультаций, ответов обратившимся лицам с помощью средств связи и указанных ими контрактных данных;
г) обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
д) продвижение товаров, работ, услуг Организации на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи (допускается только при условии предварительного согласия субъекта персональных данных).
Для достижения указанных целей в Организации обрабатываются следующие персональные данные физических лиц по договорам, физических и/или юридических лиц, указанных в заявках на обучение:
а) фамилия, имя, отчество (при наличии);
б) контактные телефоны, емейлы;
в) место работы и должность;
г) сведения из документов:

• паспорта или другого документа, удостоверяющего личность;
• диплома или иного документа об образовании;
• трудовой книжки.

Персональные данные третьих лиц содержатся в документах, которые представили физические и/или юридические лица, заключившие с ООО «Картетика» договор, и в документах, которые подписали (выдали) обучающиеся и их представители.
Организация хранит персональные данные, полученные в целях подготовки, заключения и исполнения гражданско-правового договора, на протяжении действия договора и в течение 3 лет после его прекращения.
Организация вправе осуществлять следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, извлечение, передача (предоставление, доступ), обезличивание, блокирование, уничтожение, удаление.
3.6. Согласие работника или обучающегося не требуется в следующих случаях:
- обработка персональных данных осуществляется на основании Трудового кодекса Российской Федерации или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия Организации;
- обработка персональных данных в целях исполнения трудового договора или договора на обучение;
- обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника или обучающегося, если получение его согласия невозможно.
3.7. Организация обеспечивает безопасное хранение персональных данных, в том числе:
3.7.1. Хранение, комплектование, учет и использование содержащих персональные данные документов организуется в форме обособленного архива Организации. Такой архив ведется в электронном виде и на бумажных носителях.
3.7.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.7.3. Хранимые персональные данные подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их хранении обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
3.7.4. При хранении персональных данных Организация обеспечивает:
а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;
в) недопущение воздействия на технические средства автоматизированной обработки персональных данных или на бумажные документы, в результате которого может быть нарушено их функционирование;
г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
д) постоянный контроль за обеспечением уровня защищенности персональных данных.
3.8 Обработка персональных данных организована Организацией на принципах:

• законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Организации;
• достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
• обработки только персональных данных, которые отвечают целям их обработки;
• соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
• обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Организация принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
• хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

3.9 Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и настоящим Положением.
3.10 Сотрудники Организации, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Организации в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, с данным Положением и изменениями к нему.
3.11 При обработке персональных данных Организация применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».


4. Передача персональных данных


4.1. Персональные данные передаются с соблюдением следующих требований:
- запрещается сообщать персональные данные третьей стороне без письменного согласия работника или обучающегося, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника или обучающегося, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и Федеральным законом от 29.12.2012 N 273-ФЗ "Об образовании в Российской Федерации";
- не сообщать персональные данные в коммерческих целях без письменного согласия субъекта таких данных;
- предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными в порядке, установленном Трудовым кодексом Российской Федерации или Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и Федеральным законом от 29.12.2012 N 273-ФЗ "Об образовании в Российской Федерации";
- осуществлять передачу персональных данных в пределах Организации в соответствии с локальным нормативным актом, с которым работник или обучающийся должен быть ознакомлен под подпись;
- разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;
- не запрашивать информацию о состоянии здоровья работника или обучающегося, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции или получения образования;
- передавать персональные данные работника представителям работников или обучающегося, представителям обучающихся в порядке, установленном Трудовым кодексом Российской Федерации или Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и Федеральным законом от 29.12.2012 N 273-ФЗ "Об образовании в Российской Федерации", и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.

5. Доступ к персональным данным

5.1. Право доступа к персональным данным имеют:
- руководитель Организации;
- работники бухгалтерии;
- работающие с определенным клиентом работники Организации.
5.2. Права работников и обучающихся в целях обеспечения защиты персональных данных:
- на полную информацию об их персональных данных и обработке этих данных;
- свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом;
- определение своих представителей для защиты своих персональных данных;
- доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса Российской Федерации или Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и Федерального закона от 29.12.2012 N 273-ФЗ "Об образовании в Российской Федерации". При отказе Организации исключить или исправить персональные данные работник или обучающийся имеет право заявить в письменной форме Организации о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник или обучающийся имеет право дополнить заявлением, выражающим его собственную точку зрения;
- требование об извещении Организацией всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжалование в суд любых неправомерных действий или бездействия Организации при обработке и защите его персональных данных.
5.3. Копировать и делать выписки персональных данных разрешается исключительно в служебных целях с письменного разрешения руководителя Организации.

6. Меры по защите персональных данных

6.1. Общество обеспечивает конфиденциальность обрабатываемых персональных данных, т.е. обязуется не раскрывать персональные данные третьим лицам и не распространять персональные данные без согласия Пользователя, если иное не предусмотрено нормативными правовыми актами Российской Федерации. Общество не несёт ответственности за конфиденциальность информации, самостоятельно опубликованной Пользователем в открытых для иных Пользователей разделах Сайта.
6.2. Для обеспечения конфиденциальности персональных данных Пользователей Общество предпринимает, в частности, следующие меры:

• обеспечивает уровень защищенности персональных данных в соответствии с нормативными правовыми актами Российской Федерации;
• назначает лицо, ответственное за организацию обработки персональных данных;
• устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивает регистрацию и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• обеспечивает учет и защиту носителей информации, содержащих персональные данные, а также ограничивает и контролирует доступ к этим носителям;
• обеспечивает обнаружение фактов несанкционированного доступа к персональным данным и принимает меры по их пресечению;
• ограничивает круг лиц, имеющих доступ к персональным данным;
• обеспечивает ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями нормативных правовых актов Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Общества в отношении обработки персональных данных, локальными нормативными актами по вопросам обработки персональных данных;
• осуществляет постоянный внутренний контроль соответствия обработки персональных данных нормативным правовым актам Российской Федерации и локальным нормативным актам Общества;
• осуществляет иные меры, необходимые для обеспечения конфиденциальности персональных данных Пользователей.

6.3 Пользователь вправе требовать от Общества внесения изменений в обрабатываемые персональные данные, их блокирования и уничтожения в случае, если такие персональные данные являются неактуальными, недостоверными, а также в случае, если персональные данные были незаконно получены или не являются необходимыми для заявленных в Положении целей.

7. Ответственность за нарушение норм, регулирующих

обработку персональных данных
7.1. Лица, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
7.2. Руководитель Организации за нарушение порядка обращения с персональными данными несет административную ответственность в соответствии с Кодексом Российской Федерации об административных правонарушениях, а также возмещает работнику ущерб, причиненный неправомерным использованием информации, содержащей персональные данные об этом работнике.
7.3. Работники Организации, допустившие разглашение персональных данных другого работника или обучающегося, могут быть уволены по инициативе работодателя по пп. "в" ч. 6 ст. 81 Трудового кодекса Российской Федерации. Увольнение не исключает иных форм ответственности, предусмотренной действующим законодательством.

8. Прочие положения

8.1 Действующая редакция Положения постоянно доступна в сети «Интернет» по адресу https://cartetika.ru/policy_edu. Общество вправе время от времени вносить изменения в Положение для приведения его в соответствие с действующим законодательством Российской Федерации, а также применяемыми способами обработки и защиты персональных данных. При внесении изменений в настоящее Положение Общество уведомляет об этом Пользователей посредством опубликования новой версии Положения на Сайте либо, по своему выбору, — в случае существенных изменений ключевых условий Положения — посредством информирования по электронной почте. Новая редакция Положения вступает в силу с момента её размещения на Сайте, если иное не предусмотрено в Положении.
8.2 Положение распространяется на отношения в области обработки персональных данных, возникшие у Общества как до, так и после утверждения настоящего Положения.
8.3. Контроль исполнения требований Положения осуществляется лицом, ответственным за организацию обработки персональных данных в Обществе.
8.4 При наличии оснований для прекращения обработки персональных данных, обработка которых осуществляется с использованием средств автоматизации, Общество осуществляет уничтожение (удаление) таких персональных данных во всех базах данных и с материальных носителей.
8.5. К Положению применяется законодательство Российской Федерации