Обработка персональных данных

ПОЛОЖЕНИЕ О ЗАЩИТЕ, ХРАНЕНИИ, ОБРАБОТКЕ И ПЕРЕДАЧЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

1. ОБЩИЕ ПОЛОЖЕНИЯ

 

1.1. Положение о защите, хранении, обработке и передаче персональных данных (далее – Положение) разработано в соответствии со ст. ст. 86-90 Трудового кодекса Российской Федерации, п. 2 ст. 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и Уставом общества с ограниченной ответственностью «Образовательный компас» (далее – ООО «ОК», Организация).

1.2. Настоящее Положение определяет политику Организации
в отношении обработки персональных данных, порядок обеспечения защиты обрабатываемых персональных данных, а также порядок ответа на обращения субъекта персональных данных о доступе к персональным данным.

1.3. Термины и определения, используемые в Положении, приведены
в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ
«О персональных данных» (далее – Закон о персональных данных) и иными нормативными правовыми актами Российской Федерации, а именно:

1.3.1. персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

1.3.2. оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (для целей настоящего Положения оператором является ООО «ОК»);

1.3.3. обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

1.3.4. автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

1.3.5. предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

1.3.6. блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

1.3.7. уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

1.3.8. информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

1.3.9. трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. 

1.4. ООО «ОК» являясь оператором, осуществляющим обработку персональных данных, обеспечивает защиту прав и свобод субъектов при обработке их персональных данных и принимает меры для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами.

 

2. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

2.1. Целями обработки персональных данных в ООО «ОК» являются:

2.1.1. организация образовательной деятельности структурным образовательным подразделением ООО «ОК» - учебным центром «Образовательный компас»;

2.1.2. регулирование трудовых отношений с работниками ООО «ОК» (соблюдение законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении
по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имуществ);

2.1.3. реализация гражданско-правовых договоров, стороной, выгодоприобретателем или получателем которых является субъект персональных данных.

 

3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

3.1. Обработка персональных данных в ООО «ОК» осуществляется
на основании следующих документов:

3.1.1. Трудовой кодекс Российской Федерации, иные нормативные правовые акты, содержащие нормы трудового права;

3.1.2. Федеральный закон от 29 декабря 2012 г. № 273-ФЗ
«Об образовании в Российской Федерации», иные правовые акты, регулирующие отношения в сфере образования;

3.1.3. Договор об образовании, заключаемый между организацией, осуществляющей образовательную деятельность, и лицом, зачисляемым
на обучение, либо между организацией, осуществляющей образовательную деятельность, лицом, зачисляемым на обучение, и физическим
или юридическим лицом, обязующимся оплатить обучение лица, зачисляемого на обучение (далее – договор об образовании), иные договоры, заключаемые с субъектом персональных данных;

3.1.4. согласие субъекта персональных данных либо его законного представителя в случаях, установленных действующим законодательством.

3.2. В случае отзыва субъектом персональных данных согласия
на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона о персональных данных.

 

4. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

4.1. Организация обрабатывает персональные данные следующих категорий субъектов персональных данных:

4.1.1. работники ООО «ОК»;

4.1.2. лица, уволенные из ООО «ОК»;

4.1.3. кандидаты на замещение вакантных должностей;

4.1.4. обучающиеся ООО «ОК»;

4.1.5. абитуриенты ООО «ОК»;

4.1.6. лица, прошедшие процедуру регистрации на официальном сайте ООО «ОК» (https://ob-kom.ru), а также на сайте по адресу https://ok-edu.ru/.

4.1.7. физические лица, являющиеся стороной по договору
об образовании (Заказчики по договору об образовании);

4.1.8. субъекты персональных данных, с которыми заключены гражданско-правовые договоры;

4.1.9. субъекты персональных данных, направившие обращения в ООО «ОК».

4.2. ООО «ОК» обрабатывает персональные данные в объеме, необходимом:

4.2.1. для осуществления образовательной деятельности по реализуемым образовательным программам в соответствии с уставом ООО «ОК», Положением о структурном подразделении и действующим законодательством;

4.2.2. для выполнения функций и обязанностей работодателя в трудовых отношениях;

4.2.3. для выполнения требований действующего законодательства;

4.2.4. для исполнения договоров гражданского-правового характера.

 

5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

5.1. Обработка персональных данных осуществляется с согласия субъектов персональных данных, а также в случаях, предусмотренных действующим законодательством Российской Федерации, без согласия субъекта персональных данных с соблюдением принципов и правил, предусмотренных Законом об обработке персональных данных, иными нормативными актами, определяющими случаи и особенности обработки персональных данных.

5.2. При отсутствии необходимости письменного согласия субъекта
на обработку его персональных данных согласие субъекта может быть дано субъектом персональных данных или его представителем в любой форме, позволяющей получить факт его согласия.

5.3. ООО «ОК» вправе поручить обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю
с согласия субъектов персональных данных на основании заключаемого договора. Юридическое лицо или индивидуальный предприниматель, осуществляющие обработку персональных данных по поручению ООО «ОК» обязаны соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Российской Федерации в области персональных данных.

5.4. В случае, когда ООО «ОК» на основании договора передает или поручает обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю, существенным условием договора должна быть обязанность обеспечения указанным лицом условий конфиденциальности и обеспечения безопасности персональных данных при их передаче или обработке.

5.5. Организация обязуется и обязует иные лица, получившие доступ
к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

5.6. Заполнение соответствующей формы на сайте https://ob-kom.ru
и сайте https://ok-edu.ru/ означает согласие на обработку персональных данных (фамилия, имя, отчество, телефон, адрес электронной почты), а также согласие с указанными в настоящем Положении условиями обработки ООО «ОК» персональных данных и согласие совершение исходящих звонков, осуществления переписки посредством электронной почты
для информирования по вопросам осуществления деятельности ООО «ОК»
в соответствии с Уставом ООО «ОК» и действующим законодательством.

5.7. Обработка персональных данных может осуществляться с помощью средств вычислительной техники (автоматизированная обработка как
с использованием информационных систем ООО «ОК», так
и информационных систем иных операторов) либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка) включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

5.8. Доступ работников Организации к обрабатываемым персональным данным осуществляется в соответствии с их должностными обязанностями после ознакомления с положениями законодательства Российской Федерации о персональных данных, локальных актов Организации по вопросам обработки персональных данных, требований к защите персональных данных. Перечень должностей работников Организации, осуществляющих обработку персональных данных, а также доступный объем персональных данных утверждается генеральным директором ООО «ОК».

5.9. Работники, имеющие доступ к персональным данным, обязаны:

5.9.1. не разглашать персональные данные обучающегося третьей стороне без письменного согласия слушателя кроме случаев, когда
в соответствии с федеральными законами такого согласия не требуется;

5.9.2. использовать персональные данные обучающегося, полученные только от него лично или от Заказчика образовательной услуги;

5.9.3. обеспечить защиту персональных данных от использования или их утраты от неправомерного использования в установленном законодательством Российской Федерации;

5.9.4. ознакомить субъекта персональных данных с настоящим Положением и их правами и обязанностями в области защиты персональных данных;

5.9.5. соблюдать требование конфиденциальности персональных данных слушателя;

5.9.6. исключать или исправлять по письменному требованию слушателя его недостоверные или неполные персональные данные, а также данные, обработанные с нарушением требований законодательства;

5.9.7. ограничивать персональные данные слушателя при передаче уполномоченным лицам в соответствии с законодательством только
той информацией, которая необходима для выполнения указанными лицами их функций;

          5.9.8. предоставить по просьбе слушателя полную информацию
о его персональных данных и обработке этих данных.

5.10. Работники, имеющие доступ к персональным данным слушателя, не вправе:

5.10.1. получать и обрабатывать персональным данным слушателя
о его религиозных и иных убеждениях и личной жизни;

5.10.2. предоставлять персональные данные слушателя в коммерческих целях.

5.11. В целях обеспечения защиты персональных данных, хранящихся
у работников, обучающийся, заказчики образовательной услуги имеют право на:

5.11.1. требование об исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований законодательства;

5.11.2. требование об извещении работниками всех лиц, которым ранее были сообщены неверные или неполные персональные данные слушателя,
обо всех, произведенных в них исключениях, исправлениях или дополнениях.

5.12. В случае необходимости ООО «ОК» может включить персональные данные своих работников, обучающихся в общедоступные источники персональных данных, при этом ООО «ОК» обязан получить согласие субъекта персональных данных.

5.13. ООО «ОК» не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.

5.14. Обработка биометрических персональных данных осуществляется с учетом требований, установленных Законом о персональных данных, иными нормативными правовыми актами, устанавливающими особенности обработки биометрических персональных данных.

5.15. ООО «ОК» не осуществляет трансграничную передачу персональных данных.

5.16. Принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, не осуществляется.

5.17. При обработке персональных данных Организация принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

 

6. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

6.1. Персональные данные обучающегося должны храниться
в несгораемом, запирающемся шкафу на бумажных носителях и/или
на электронных носителях с ограниченным доступом (имеющих средства защиты информации от несанкционированного доступа) по месту нахождения организации:

6.1.1. документы, поступившие от Заказчика образовательной услуги;

6.1.2. сведения, поступившие от обучающегося;

6.1.3. иная информация, которая касается оказания образовательных услуг слушателю.

 

7. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ

И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

7.1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 статьи 14 Закона о персональных данных, за исключением случаев, установленных действующим законодательством. По запросу субъекта персональных данных ООО «ОК» сообщает ему информацию
об обработке персональных данных.

7.2. Запрос субъекта персональных данных должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.

7.3. При получении информации от субъекта персональных данных или его законного представителя о том, что персональные данные являются неполными, неточными или неактуальными ООО «ОК» вносит в них необходимые изменения в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными.

7.4. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные, обрабатываемые ООО «ОК», являются незаконно полученными или не являются необходимыми для заявленной цели обработки, ООО «ОК» обязан уничтожить такие персональные данные. ООО «ОК» уведомляет субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах, принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

7.5. При достижении целей обработки персональных данных, а также
в случае отзыва субъектом персональных данных согласия на обработку персональных данных субъектом персональных данных персональные данные подлежат уничтожению, если иное не предусмотрено договором, стороной (выгодоприобретателем) по которому является субъект персональных данных, соглашением между ООО «ОК» и субъектом персональных данных, если возможность обработки персональных данных без согласия субъекта персональных данных действующим законодательством не предусмотрена. Персональные данные уничтожаются в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки персональных данных либо отзыва согласия на обработку персональных данных.

7.6. Факт уничтожения персональных данных (материальных носителей, содержащих персональные данные) подтверждается актом об уничтожении документов (носителей).

7.7. Уничтожение документов (носителей), содержащих персональные данные, производится путем сожжения, измельчения (может быть использован шредер).

7.8. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.

 

8. ОТВЕТСТВЕННОСТЬ АДМИНИСТРАЦИИ

И ЕЁ СОТРУДНИКОВ

 

8.1. Защита прав слушателей, установленных законодательством Российской Федерации и настоящим Положением, осуществляется судом
в целях пресечения неправомерного использования персональных данных слушателей, восстановления нарушенных прав и возмещения причиненного ущерба, в том числе морального вреда.

8.2. Работники, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных слушателя, привлекаются
к дисциплинарной и материальной ответственности, а также привлекаются
к гражданско-правовой, административной и уголовной ответственности
в порядке, установленном федеральными законами.