1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) составлена в соответствии с п. 2 ст. 18.1 Федерального закона РФ «О персональных данных» №152-ФЗ от 27 июля 2006 года, иными нормативными актами и действует в отношении персональных данных, обрабатываемых в Автономной некоммерческой организации дополнительного профессионального образования «Многопрофильный центр квалификаций «ЦЕЛЬ» (далее – Оператор).
1.2. Настоящая Политика устанавливает основные принципы обработки персональных данных (далее - ПДн) в Автономной некоммерческой организации дополнительного профессионального образования «Многопрофильный центр квалификаций «ЦЕЛЬ», цели, правовые основания, порядок и условия обработки ПДн, определяет объем и категорию обрабатываемых ПДн, а также реализуемые Оператором требования к их защите.
1.5. Настоящая Политика является общедоступным документом, размещаемым на сайте Оператора в информационно-телекоммуникационной сети «Интернет» на информационном ресурсе Оператора, неограниченный доступ к которому предоставляется любому заинтересованному лицу.
1.6. В случае, если в результате договорных и иных гражданско-правовых отношений Оператора с третьими лицами, указанные лица могут получить доступ к персональным данным любых групп субъектов персональных данных, предусмотренных настоящим Положением, Оператор обязан взять с таких лиц письменное обязательство об обеспечении конфиденциальности персональных данных, обязательство использовать эти данные лишь в целях, для которых они сообщены и только разрешенными способами, а также обязательство принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Работники Оператора, получившие доступ к ПДн в связи с исполнением своих служебных обязанностей информируются Оператором о конфиденциальности ПДн и принимают на себя обязательство по их неразглашению.
Требование об оформлении указанного в настоящем пункте письменного обязательства не распространяются на случае передачи информации в уполномоченные государственные и муниципальные органы, государственные внебюджетные фонды.
1.7. Оператор имеет право вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента ее размещения на сайте Оператора, если иное не предусмотрено новой редакцией Политики.
1.8. Действующая редакция хранится в месте нахождения исполнительного органа Оператора по адресу: 199406, РОССИЯ, САНКТ-ПЕТЕРБУРГ Г., МУНИЦИПАЛЬНЫЙ ОКРУГ ГАВАНЬ ВН.ТЕР.Г., ГАВАНСКАЯ УЛ., Д. 34, ЛИТЕРА А, ПОМЕЩ. 1-Н, ОФИС 10
, электронная версия Политики – на сайте Оператора по адресу:
https://цель-обучение.рф 2. Нормативная база
Конституция Российской Федерации;
Гражданский кодекс РФ;
Трудовой кодекс РФ;
Федеральный закон Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных» (далее - Федеральный закон №152-ФЗ);
Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Постановление Правительства от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
Приказ Министерства культуры Российской Федерации от 25.08.2010 №558 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»;
Приказ Росархива от 06.10.2000 «Перечень типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения»;
3. Термины и определения
Автоматизированная обработка персональных данных– обработка ПДн с помощью средств вычислительной техники
Блокирование персональных данных – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн)
Оператор ПДн (Оператор) – Автономная некоммерческая организация дополнительного профессионального образования «Многопрофильный центр квалификаций «ЦЕЛЬ»;
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Представитель – физическое лицо, являющееся представителем физического или юридического лица, полномочия которого основаны на доверенности, договоре, законе либо акте уполномоченного на то государственного органа или органа местного самоуправления
Сведения о посетителях сайта– перечень данных пользователей, собираемых с помощью интернет-сервисов Яндекс Метрика и/или Google Analytics
Субъект персональных данных:
- физическое лицо или индивидуальный предприниматель, заключившее договор иили планирующее договорные отношения с Оператором, в том числе через партнеров Оператора,
- физические лица, участвующие в образовательных и иных мероприятиях (семинары, конкурсы, сессии и иные подобные мероприятия) Автономной некоммерческой организации дополнительного профессионального образования «Многопрофильный центр квалификаций «ЦЕЛЬ» и его партнеров;
- представители либо сотрудники юридических лиц, сведения о которых юридические лица передают в Автономную некоммерческую организацию дополнительного профессионального образования «Многопрофильный центр квалификаций «ЦЕЛЬ»
- посетители сайта интернет-сайт по адресу https://цель-обучение.рф и его суб-доменах;
- иные лица, обработка ПДн которых необходима для наступления и/или исполнения договорных и иных гражданско-правовых отношений с Автономной некоммерческой организацией дополнительного профессионального образования «Многопрофильный центр квалификаций «ЦЕЛЬ»
Доступ к информации – возможность получения информации и ее использования (в частности копирование, модификация или уничтожение информации; получение субъектом возможности ознакомления с информацией, в том числе при помощи технических средств)
Информационная система персональных данных– совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств
Конфиденциальность персональных данных – требование не раскрывать, не предоставлять доступ третьим лицам и не допускать распространение ПДн без согласия субъекта ПДн или наличия иного основания согласно действующему законодательству Российской Федерации
Материальный носитель персональных данных – материальный объект, используемый для закрепления и хранения информации. В целях настоящей Политики под материальным носителем понимается бумажный документ, дискета, флэш-карта внешние жесткие диски, CD-, DVD-диски и т.п.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн
Партнер Оператора – юридическое или физическое лицо, сотрудничающее с Оператором в рамках осуществления его уставной деятельности в том числе, осуществляющее научную и/или образовательную деятельность и/или оказывающие консультационные услуги.
Предоставление персональных данных – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц
Распространение персональных данных– действия, направленные на раскрытие ПДн неопределенному кругу лиц, в том числе обнародование ПДн в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПДн каким-либо иным способом
Роскомнадзор – уполномоченный орган по защите прав субъектов ПДн - Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)
Сайт – портал мониторинга цифровых проектов в информационно-телекоммуникационной сети «Интернет», электронный адрес которой включает доменное имя
Трансграничная передача персональных данных – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн
Цель обработки персональных данных – конкретный конечный результат действий, совершенных с ПДн, вытекающий из требований действующего законодательства Российской Федерации либо договорных отношений сторон, и направленный на исполнение требований законодательства, а также на создание необходимых правовых условий для достижения оптимального учета интересов сторон.
4. Принципы обработки персональных данных
4.1. Обработка персональных данных Оператора осуществляется на основании следующих принципов:
- законности и справедливости основания обработки ПДн, законности целей и способов обработки ПДн;
- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе ПДн;
- соответствия содержания и объема обрабатываемых ПДн, способов обработки ПДн заявленным целям обработки ПДн, недопустимости использования избыточного объема ПДн по отношению к заявленным целям их обработки;
- обеспечения точности, достаточности и, в необходимых случаях, актуальности ПДн по отношению к целям их обработки, недопустимости избыточности обрабатываемых ПДн по отношению к заявленным целям их обработки;
- недопустимости объединения созданных для несовместимых между собой целей баз данных ПДн.
4.2. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
5. Цели обработки персональных данных
5.1. Для каждой категории персональных данных Оператором определены и утверждены конкретные цели обработки. Обработка ПДн, несовместимая с утвержденными целями, не допускается.
5.2. Персональные данные обрабатываются Оператором в целях:
- заключения, исполнения, изменения и прекращения договоров с Субъектом ПДн и/или Партнерами Оператора и/или для реализации совместных проектов;
- проведения исследовательских работ;
- исполнение поручения на обработку персональных данных полученного от третьих лиц
- осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей, в частности:
- сбора и анализа статистической информации;
- осуществления иных уставных целей Оператора.
5.3. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по окончании срока хранения, достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
6. Категории обрабатываемых персональных данных
6.1. При определении состава обрабатываемых ПДн субъектов персональных данных Оператор руководствуется минимально необходимым составом ПДн для достижения целей получения персональных данных.
6.2. Оператором обрабатываются персональные данные следующих категорий субъектов:
6.2.1. Категория: физическое лицо или индивидуальный предприниматель, заключившее договор и/или планирующее договорные отношения с Оператором, в том числе через партнеров Оператора.
В состав обрабатываемых ПДн могут входить:
- фамилия, имя, отчество;
- пол;
- число, месяц, год рождения, место рождения, страна рождения;
- данные документа, удостоверяющего личность (серия, номер, когда и кем выдан, код подразделения);
- место жительства;
- адрес регистрации;
- данные об образовании;
- гражданство; статус (резидент/нерезидент);
- сведения об ИНН, СНИЛС;
- реквизиты счетов субъектов ПДн;
- контактные данные (телефон, электронный адрес, почтовый адрес);
- IP - адрес;
- источник захода на сайт и информация поискового или иного запроса;
- данные о пользовательском устройстве (среди которых разрешение, версия и другие атрибуты, характеризующие пользовательское устройство);
- пользовательские клики, просмотры страниц, заполнения полей, показы и просмотры баннеров и видео;
- данные, характеризующие аудиторные сегменты;
- иные сведения о субъекте ПДн в зависимости от оказываемых Оператору услуг и вида договорных отношений.
6.2.2. Категория: посетители интернет-сайт по адресу
https://цель-обучение.рф и его суб-доменах
В состав обрабатываемых ПДн могут входить:
- фамилия, имя, отчество;
- пол;
- число, месяц, год рождения, место рождения, страна рождения;
- данные документа, удостоверяющего личность (серия, номер, когда и кем выдан, код подразделения);
- место жительства;
- данные о карьере ( наименование, должность, специализация, обязанности, место работы, период работы)
- компетенции;
- гражданство; статус (резидент/нерезидент); семейное положение;
- социальное положение (в т.ч. сведения о социальных льготах);
- сведения о законных представителях (фамилия, имя, отчество; пол; число, месяц, год рождения, место рождения, страна рождения; данные документа, удостоверяющего личность (серия, номер, когда и кем выдан, код подразделения); гражданство; статус (резидент/нерезидент); семейное положение; место жительства, дата и адрес (проживания, регистрации, постановки на учет);
- образование;
- дата и адрес (проживания, регистрации, постановки на учет);
- контактные данные (телефон, электронный адрес, почтовый адрес);
- фото и видеоизображения;
- сведения о посетителях сайта;
- cookie – файлы;
- сведения об интересах.
- фотография;
- ссылки на сертификаты онлайн-курсов;
- ссылки на аккаунты в социальных сетях;
- идентификатор учетной записи, деловые и личные качества и любые иные данные, полученные с использованием мобильных и web-приложений, устанавливаемых или используемых на персональных устройствах, а также любыми иными способами в период проведения образовательных и иных мероприятий, в том числе цифровые аудио и видео-записи мероприятий, фотоматериалы, программные продукты, документы и любые другие цифровые ресурсы, созданные в процессе мероприятий;
- результаты обучения;
- данные геолокации;
- IP - адрес;
- источник захода на сайт и информация поискового или иного запроса;
- данные о пользовательском устройстве (среди которых разрешение, версия и другие атрибуты, характеризующие пользовательское устройство);
- пользовательские клики, просмотры страниц, заполнения полей, показы и просмотры баннеров и видео;
- результаты ответов на вопросы анкет и диагностических опросов, тестов, расположенных на сайте;
- иные сведения о субъекте ПДн в зависимости от оказываемых Оператором услуг и осуществляемых операций.
6.2.3. Категория: иные лица, обработка ПДн которых необходима для наступления и/или исполнения договорных и иных гражданско-правовых отношений с Автономной некоммерческой организацией дополнительного профессионального образования «Многопрофильный центр квалификаций «ЦЕЛЬ»
В состав обрабатываемых ПДн могут входить:
- фамилия, имя, отчество;
- пол;
- число, месяц, год рождения, место рождения, страна рождения;
- данные документа, удостоверяющего личность (серия, номер, когда и кем выдан, код подразделения);
- место жительства;
- адрес регистрации;
- данные об образовании;
- гражданство; статус (резидент/нерезидент);
- сведения об ИНН, СНИЛС;
- реквизиты счетов субъектов ПДн;
- контактные данные (телефон, электронный адрес, почтовый адрес);
- фото и видеоизображения;
- данные геолокации;
- IP - адрес;
- источник захода на сайт и информация поискового или иного запроса;
- данные о пользовательском устройстве (среди которых разрешение, версия и другие атрибуты, характеризующие пользовательское устройство);
- пользовательские клики, просмотры страниц, заполнения полей, показы и просмотры баннеров и видео;
- данные, характеризующие аудиторные сегменты;
- иные сведения о субъекте ПДн в зависимости от оказываемых Оператору услуг и вида договорных отношений.
6.3. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.
6.5. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПДн (или при отсутствии возможности оценки адекватности защиты), может осуществляться Оператором исключительно в случаях исполнения договора, стороной которого является субъект ПДн, либо при наличии согласия в письменной форме субъекта ПДн на трансграничную передачу его ПДн.
7. Правовые основания обработки персональных данных
- Гражданско-правовые договоры, между Оператором и Субъектами персональных данных;
- Согласия на обработку персональных данных;
8. Основные права и обязанности Оператора и Субъекта персональных данных:
8.1. Субъекты персональных данных или их законные представители имеют право:
- получать полную информацию о своих ПДн и обработке этих данных (в том числе автоматизированной);
- осуществлять свободный бесплатный доступ к своим ПДн, включая право получать копии любой записи, содержащей ПДн субъекта, за исключением случаев, предусмотренных федеральным законом;
- требовать исключения или исправления неверных или неполных ПДн, а также данных, обработка которых ведется с нарушением законодательства, уточнения своих ПДн, их блокирования или уничтожения;
- при отказе Оператора или уполномоченного им лица исключить или исправить ПДн субъекта – заявить в письменной форме о своем несогласии, представив соответствующее обоснование;
- отозвать свое согласие на обработку персональных данных;
- требовать от Оператора или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные ПДн субъекта, обо всех произведенных в них изменениях или исключениях из них;
- обжаловать в суде любые неправомерные действия или бездействие Оператора, или уполномоченного им лица, осуществляемые при обработке и защите ПДн субъекта.
8.2. Субъекты ПДн или их законные представители, обязаны:
- предоставлять Оператору персональные данные, соответствующие действительности;
- своевременно уведомлять Оператора обо всех изменениях ПДн .
8.3. Оператор имеет право:
- осуществлять обработку ПДн при условии наличия законных оснований, соответствия процессов обработки заявленным целям обработки и требованиям законодательства Российской Федерации, положениям настоящей Политики и иных локальных актов Оператора;
- обрабатывать ПДн Субъекта персональных данных в соответствии с заявленной целью;
- требовать от Субъекта персональных данных предоставления достоверных ПДн;
- ограничить доступ Субъекта персональных данных к его ПДн в случае, если Обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, доступ Субъекта персональных данных к его ПДн нарушает законные права и интересы третьих лиц, а также в иных случаях, предусмотренных законодательством Российской Федерации;
- осуществлять обработку ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации;
- поручить обработку ПДн другому лицу с согласия Субъекта персональных данных.
8.4. Оператор обязан:
- за свой счет обеспечить защиту ПДн от неправомерного их использования или утраты в порядке, установленном законодательством Российской Федерации;
- предоставлять субъекту ПДн по его запросу информацию, касающуюся обработки его ПДн, либо на законных основаниях предоставить отказ;
- обеспечить субъекту свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством;
- по требованию субъекта ПДн уточнять обрабатываемые персональные данные, блокировать или удалять, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- уведомлять субъекта ПДн об обработке ПДн в том случае, если ПДн были получены не от субъекта ПДн ;
- в случае достижения цели обработки ПДн незамедлительно прекратить обработку ПДн и уничтожить соответствующие ПДн в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн , если иное не предусмотрено федеральными закона, в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов ПДн , также указанный орган;
- в случае отзыва субъектом ПДн согласия на обработку своих ПДн прекратить обработку ПДн и уничтожить ПДн в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Оператором и субъектом ПДн;
- предоставлять ПДн Субъекта только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей в соответствии с настоящим Положением и законодательством Российской Федерации.
9. Порядок и условия обработки персональных данных
9.1. Обработка ПДн Оператором осуществляется следующими способами:
- не автоматизированная обработка ПДн;
- автоматизированная обработка ПДн с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка ПДн.
9.2. Перечень действий, совершаемых Оператором с ПДн Субъектов персональных данных включает в себя: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
9.3. Сроки обработки ПДн: до достижения цели обработки ПДн , если иные сроки не предусмотрены в согласиях на обработку персональных данных, гражданско-правовых договорах с Субъектами персональных данных или Договорах о неразглашении конфиденциальной информации или иных документах, оформляемых Субъектами персональных данных.
9.4. Сроки хранения ПДн: не дольше, чем этого требуют цели обработки ПДн и в сроки, обозначенные в отдельных согласиях.
9.5. Все ПДн Оператор получает непосредственно от субъекта ПДн, от его представителя либо от лица, поручившего Оператору обработку ПДн, а также от иных третьих лиц, при условии обеспечения третьим лицом законности передачи ПДн Оператору и/или если получение ПДн Оператором предусмотрено законодательством.
9.7. В случае осуществления обработки на основании согласия, согласие на обработку ПДн может быть отозвано субъектом ПДн . В случаях, предусмотренных законодательством, обработка ПДн может быть продолжена даже после отзыва субъектом согласия на обработку.
9.8. При принятии решений, затрагивающих интересы субъекта, Оператор никогда не основывается на ПДн субъекта, полученных исключительно в результате их автоматизированной обработки или электронного получения.
9.9. ПДн не используются в целях причинения имущественного и/или морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.
9.11. Передача ПДн Оператора третьим лицам в том числе, находящимся за пределами Российской Федерации (трансграничная передача), осуществляется только с письменного согласия Субъекта персональных данных, за исключением случаев, предусмотренных законодательством и только при условии принятия таким лицом письменного обязательства об обеспечении конфиденциальности персональных данных, обязательство использовать эти данные лишь в целях, для которых они сообщены и только разрешенными способами, а также обязательство принимать необходимые правовые (включая издание Политики в отношении обработки персональных данных), организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Требования об оформлении указанного письменного обязательства не распространяется на случаи передачи ПДн государственным и муниципальным органам, в порядке и в случаях, предусмотренных действующим законодательством.
Конкретное наименование и местонахождение соответствующих третьих лиц, цели осуществляемой передачи, объем передаваемых персональных данных, перечень действий по их обработке, способы и иные условия обработки, определяются в согласии Субъекта персональных данных на обработку ПДн.
9.12. Оператор вправе передавать ПДн органам дознания и следствия, налоговым органам, органам статистики, федеральным внебюджетным фондам, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
9.14. ПДн при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).
9.15. При фиксации ПДн на материальных носителях не допускается фиксация на одном материальном носителе ПДн, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДн используется отдельный материальный носитель.
9.16. Лица, осуществляющие обработку ПДн без использования средств автоматизации, должны быть проинформированы о факте обработки ими ПДн, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых ПДн , а также об особенностях и правилах осуществления такой обработки.
9.17. При использовании типовых форм документов, заполняемых субъектом ПДн собственноручно, характер информации в которых предполагает или допускает включение в них ПДн (далее - типовая форма), соблюдаются следующие условия:
- типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки ПДн, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию имя, отчество и адрес субъекта ПДн , источник получения ПДн , сроки обработки ПДн , перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки ПДн ;
- типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку ПДн, осуществляемую без использования средств автоматизации - при необходимости получения письменного согласия на обработку ПДн ;
- типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПДн, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПДн;
- типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо несовместимы.
9.18. ПДн подлежат уничтожению по достижении целей обработки, в случае утраты необходимости в их достижении, по истечении срока хранения, при выявлении факта неправомерной обработки либо по требованию лица, поручившего обработку ПДн в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, либо получения отзыва на их обработку. Уничтожение осуществляется в присутствии комиссии. По итогам составляется акт об уничтожении.
9.19. Хранение ПДн осуществляется в форме, позволяющей определить Субъекта персональных данных, в течение сроков определяемых в соответствии с п. 9.3. настоящего Положения, если иной срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных.
При осуществлении хранения ПДн Оператор использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона №152-ФЗ.
9.20. При хранении ПДн, обрабатываемых без использования средств автоматизации, соблюдаются следующие условия:
- осуществляется раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях.
- хранение материальных носителей осуществляется в условиях, обеспечивающих сохранность ПДн и исключающих несанкционированный к ним доступ.
10. Сведения о реализуемых требованиях к защите персональных данных
10.1. Оператор при обработке ПДн принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн .
10.2. Защита ПДн обеспечивается Оператором в установленном действующим законодательством и локальными актами Оператора порядке, путем выполнения комплекса организационно–технических мероприятий, обеспечивающих их безопасность.
10.3. Все меры защиты при сборе, обработке, хранении и передаче ПДн субъекта распространяются как на бумажные, так и на машинные носители информации. Меры по обеспечению безопасности ПДн при их обработке, применяемые Оператором, планируются и реализуются в целях обеспечения соответствия требованиям Федерального закона №152-ФЗ.
10.4. В дополнение к требованиям Федерального закона №152-ФЗ осуществляется комплекс мероприятий, направленных на защиту информации, Оператор руководствуется требованиями и рекомендациями действующего законодательства Российской Федерации, а также лучшими российскими и международными практиками.
10.5. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения требований законодательства Российской Федерации. Оператор, в частности, принял следующие меры:
- в договорах, заключенных между Оператором и контрагентом, предусматривается обязательство сторон о соблюдении требований конфиденциальности ПДн, установленных ст. 7 Федерального закона №152-ФЗ, а также информация о принятии сторонами мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных».
- назначен ответственный за организацию обработки ПДн;
- назначены должностные лица, ответственные за выполнение подразделениями локальных нормативных документов по вопросам обработки ПДн;
- разработаны и внедрены локальные акты по вопросам обработки ПДн, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений установленных процедур по обработке ПДн и устранение последствий таких нарушений;
- применяются правовые, организационные и технические меры по обеспечению безопасности ПДн;
- осуществляется внутренний контроль соответствия обработки ПДн Федеральному закону №152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике Оператора в отношении обработки ПДн, локальным актам Оператора;
- работники Оператора, непосредственно осуществляющие обработку ПДн, ознакомлены с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику Оператора в отношении обработки ПДн, локальными актами по вопросам обработки ПДн.
11. Актуализация, исправление, удаление и уничтожение персональных данных
11.1. Оператор имеет право внести, дополнить, изменить, блокировать или удалить ПДн в соответствии с Федеральным законодательством Российской Федерации.
11.2. По запросу субъекта персональных данных Оператор обязан:
- предоставить сведения о наличии у оператора ПДн субъекта;
- предоставить возможность ознакомления с ПДн субъекта (исключение ФЗ-152 статья 14 часть 5);
- уточнить недостоверные или изменившиеся ПДн;
- блокировать или уничтожить ПДн в случае, если они являются незаконно полученными, не являются необходимыми для заявленной цели обработки или отозвано согласие субъекта.
11.3. Запрос субъекта ПДн или его представителя должен быть отправлен Оператору в бумажном виде и содержать номер документа, удостоверяющего личность субъекта ПДн или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе, и собственноручную подпись субъекта ПДн или его представителя.
11.4. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации на электронную почту: centre@mckcel.ru
11.5. При поступлении запроса обращения субъектов ПДн и их представителей, уполномоченных органов, ответственный работник Оператора регистрирует такой запрос в соответствующих журналах регистрации обращений.
11.6. Ответ, либо мотивированный отказ, будет отправлен Оператором в течение 30 дней с даты получения запроса от субъекта ПДн или от его представителя. Ответ содержит конкретную и исчерпывающую информацию, касающуюся сути вопроса.