Политика обработки персональных данных
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Политика в области организации обработки и обеспечения безопасности персональных данных (далее – Политика) в Автономной некоммерческой организации дополнительного профессионального образования «Корпоративный университет ТМХ» (далее - АНО КУ ТМХ), устанавливает единые принципы и правила в отношении целей сбора персональных данных, способов и порядка обработки персональных данных различных категорий субъектов персональных данных, а также определяет основные меры, реализуемые АНО КУ ТМХ для защиты персональных данных.
1.2. Настоящая Политика разработана в целях реализации требований пункта 2 части 1 статьи 18.1 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» и действует в отношении всех персональных данных, которые АНО КУ ТМХ получает от субъектов персональных данных.
1.3. Положения Политики служат основой для организации работы по обработке персональных данных в АНО КУ ТМХ, в том числе, для разработки локальных нормативных актов, регламентирующих в АНО КУ ТМХ вопросы обработки и защиты персональных данных работников и других субъектов персональных данных.
1.4. Настоящая Политика является документом, к которому обеспечивается неограниченный доступ. Для обеспечения неограниченного доступа Политика подлежит размещению на официальном сайте АНО КУ ТМХ.
1.5. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных в АНО КУ ТМХ.
1.6. Политика разработана и определяется в соответствии со следующими нормативными правовыми актами:
- Конституция Российской Федерации;
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
- Федеральный закон от 29 декабря 2012 г. № 273-ФЗ «Об образовании в Российской Федерации»;
- Трудовой кодекс Российской Федерации;
- Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;
- постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- постановление Правительства Российской Федерации от 06 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
- постановление Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- постановление Правительства Российской Федерации от 31 мая 2021 г. № 825 «О федеральной информационной системе «Федеральный реестр сведений о документах об образовании и (или) о квалификации, документах об обучении»;
- постановление Правительства Российской Федерации от 10 января 2023 № 6 «Об утверждении Правил принятия решения о запрещении или об ограничении трансграничной передачи персональных данных уполномоченным органом по защите прав субъектов персональных данных и информирования операторов о принятом решении»
- постановление Правительства Российской Федерации от 16 января 2023 г. № 24 «Об утверждении Правил принятия решения уполномоченным органом по защите прав субъектов персональных данных о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан»;
- приказ Федеральной службы по техническому и экспортному контролю России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
- приказ Роскомнадзора от 5 августа 2022 г. № 128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных»;
- приказ Роскомнадзора от 28 октября 2022 г. № 179 «Об утверждении требований к подтверждению уничтожения персональных данных»;
- иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти;
- Устав АНО КУ ТМХ и иные локальные нормативные правовые акты.
2. ТЕРМИНЫ И СОКРАЩЕНИЯ
2.1. В настоящем документе применены следующие термины с соответствующими определениями:
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Информация - сведения (сообщения, данные) независимо от формы их представления.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном действующим законодательством Российской Федерации.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.2. В настоящем документе используются следующие сокращения (обозначения) с соответствующими расшифровками:
ИСПДн - Информационная система персональных данных
ЛНА - Локальный нормативный акт
НПА - Нормативный правовой акт
ПДн - Персональные данные
ФЗ-152 - Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
ФИС ФРДО - Федеральная информационная система «Федеральный реестр сведений о документах об образовании и (или) о квалификации, документах об обучении»
3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. ПДн обрабатываются в АНО КУ ТМХ в целях выполнения возложенных законодательством Российской Федерации на АНО КУ ТМХ функций, полномочий и обязанностей, осуществления прав и законных интересов АНО КУ ТМХ в рамках осуществления видов деятельности, предусмотренных Уставом и иными ЛНА АНО КУ ТМХ.
3.2. Целями обработки ПДн работников являются:
- реализация обязательств в рамках трудовых отношений, а также обязательств, связанных с трудовыми отношениями, предусмотренных действующим законодательством Российской Федерации (в частности, требований Трудового кодекса Российской Федерации, Налогового кодекса Российской Федерации, Федерального закона Российской Федерации от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» и т.д.);
- регулирование трудовых отношений с работниками АНО КУ ТМХ (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль качества выполняемой работы, обеспечение сохранности имущества и т.д.);
- предоставление работникам АНО КУ ТМХ дополнительных гарантий и компенсаций, в том числе добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;
- формирование справочных материалов для внутреннего информационного обеспечения деятельности АНО КУ ТМХ;
- реализация пропускного режима на территории АНО КУ ТМХ.
3.3. Целью обработки ПДн близких родственников работников является предоставление социальных льгот и компенсаций работникам и членам семьи работников в соответствии с действующим законодательством Российской Федерации.
3.4. Целями обработки ПДн соискателей являются:
- подбор персонала на открытые вакансии;
- реализация пропускного режима на территории АНО КУ ТМХ.
3.5. Целями обработки ПДн участников программ обучения и/или развития являются:
- организация и проведение мероприятий по обучению и/или развитию;
- оказание образовательных услуг, в том числе предоставление сведений о документах об образовании и (или) о квалификации, документах об обучении в ФИС ФРДО;
- контроль посещаемости слушателей программ обучения и/или развития;
- проведение аналитических и статистических исследований в сфере обучения и развития;
- идентификации участников в информационных системах АНО КУ ТМХ в целях предоставления участникам персонализированных сервисов, связи с участником в случае необходимости (в том числе направления уведомлений, запросов и т.д.), а также обработки запросов и заявок на мероприятия;
- реализация пропускного режима на территории АНО КУ ТМХ.
3.6. Целью обработки ПДн контрагентов, представителей контрагентов и партнеров является подготовка, заключение, исполнение и прекращение договоров с контрагентами и иными лицами в случаях, предусмотренных действующим законодательством.
4. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Обработка ПДн в АНО КУ ТМХ осуществляется с учетом необходимости обеспечения защиты прав и свобод работников и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
- законности и справедливости целей и способов обработки ПДн;
- соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн;
- соответствия объема и характера обрабатываемых ПДн, способов обработки ПДн целям обработки ПДн;
- достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн избыточных по отношению к целям, заявленным при сборе ПДн;
- недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих ПДн;
- хранение ПДн осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
- уничтожение ПДн либо обезличивание осуществляется по достижении целей их обработки или в случае утраты необходимости в их достижении, если срок хранения ПДн не установлен законодательством Российской Федерации, ФЗ-152 и другими документами, определяющими такой срок;
- обеспечения надлежащей защиты ПДн;
- обеспечения конфиденциальности и безопасности обрабатываемых ПДн.
5. ПЕРЕЧЕНЬ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ В АНО КУ ТМХ
5.1. АНО КУ ТМХ, являясь оператором ПДн, осуществляет обработку ПДн работников АНО КУ ТМХ и других субъектов персональных данных, не состоящих с АНО КУ ТМХ в трудовых отношениях.
5.2. Субъектами персональных данных, обработка которых осуществляется АНО КУ ТМХ, являются:
- Работники и бывшие работники АНО КУ ТМХ;
- близкие родственники и члены семьи работников АНО КУ ТМХ;
- кандидаты на замещение вакантных должностей в АНО КУ ТМХ;
- участники программ обучения и развития;
- клиенты и контрагенты АНО КУ ТМХ (физические лица);
- представители/работники клиентов и контрагентов АНО КУ ТМХ (юридические лица).
5.3. Обрабатываемые персональные данные АНО КУ ТМХ получает:
- непосредственно у самого субъекта персональных данных;
- от лиц, не являющихся субъектами персональных данных;
- из общедоступных источников персональных данных.
6. ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В АНО КУ ТМХ
6.1. Сведениями, составляющими ПДн, является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и месторождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация.
6.2. Перечень ПДн, обрабатываемых в АНО КУ ТМХ, определяется в соответствии с законодательством Российской Федерации, и ЛНА АНО КУ ТМХ с учетом целей обработки ПДн, указанных в пункте 3 Политики.
6.3. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в АНО КУ ТМХ не допускается.
6.4. Обработка биометрических ПДн в АНО КУ ТМХ допускается только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации.
7. ПРАВА И ОБЯЗАННОСТИ АНО КУ ТМХ В КАЧЕСТВЕ ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Обязанности АНО КУ ТМХ в качестве оператора ПДн:
- организовывать обработку ПДн в соответствии с требованиями ФЗ-152;
- обеспечивать защиту ПДн, обрабатываемых в АНО КУ ТМХ от их неправомерного использования или утраты;
- получать ПДн только у субъекта персональных данных. В случаях, когда ПДн можно получить только у третьих лиц, делать это исключительно с письменного согласия субъекта персональных данных;
- осуществлять ознакомление и обучение работников АНО КУ ТМХ, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации и ЛНА АНО КУ ТМХ в области ПДн;
- своевременно и в соответствии с требованиями законодательства Российской Федерации реагировать на обращения и запросы субъектов персональных данных и их законных представителей;
- сообщать в установленном порядке субъектам персональных данных или их представителям информацию о наличии ПДн, относящихся к соответствующим субъектам, предоставлять возможность ознакомления с этими ПДн при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации;
- сообщать в уполномоченный орган по защите прав субъекта персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса;
- прекращать обработку и уничтожать ПДн в случаях, предусмотренных законодательством Российской Федерации в области ПДн;
- совершать иные действия, предусмотренные законодательством Российской Федерации в области ПДн
7.2. Права АНО КУ ТМХ в качестве оператора персональных данных:
- обрабатывать ПДн субъекта персональных данных в соответствии с заявленной целью;
- обрабатывать общедоступные ПДн физических лиц;
- поручать обработку ПДн другому лицу с согласия субъекта персональных данных и на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели обработки, обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также требования к защите обрабатываемых ПДн в соответствии с ФЗ-152;
- предлагать субъекту персональных данных оформить персональное письменное согласие на обработку/передачу ПДн;
- требовать от субъекта персональных данных предоставления достоверных ПДн, необходимых для исполнения договора, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных ФЗ-152;
- отказывать в предоставлении ПДн в случаях, предусмотренных частью 6 статьи 14 и частью 2 статьи 20 ФЗ-152. В случае отказа, при обращении субъекта персональных данных или его представителя, в предоставлении субъекту персональных данных его ПДн или информации о наличии в АНО КУ ТМХ его ПДн, давать в письменной форме мотивированный ответ, содержащий ссылку на положение ФЗ-152, являющееся основанием для такого отказа;
- привлекать к дисциплинарной ответственности работников АНО КУ ТМХ, к должностным обязанностям которых относится обработка ПДн, за нарушение требований к защите ПДн;
- иные права, предусмотренные ФЗ-152.
8. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Субъект персональных данных имеет право:
8.1. - получать информацию, касающуюся обработки его ПДн в АНО КУ ТМХ, в том числе и об источниках их получения;
- требовать блокирования или уничтожения своих ПДн в случае, если ПДн являются неполными, устаревшими, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- требовать извещения всех лиц, которым ранее были сообщены недостоверные или неполные его ПДн, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия АНО КУ ТМХ в качестве оператора персональных данных при обработке его ПДн;
- отозвать свое согласие на обработку ПДн;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
- иные права, предусмотренные ФЗ-152.
9. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Обработка ПДн в АНО КУ ТМХ производится в соответствии с требованиями законодательства Российской Федерации и ЛНА АНО КУ ТМХ работниками структурных подразделений АНО КУ ТМХ и организациями, осуществляющими такую обработку, на основании договоров на оказание соответствующих услуг АНО КУ ТМХ.
9.2. Обработка ПДн в АНО КУ ТМХ включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
9.3. Обработка ПДн субъектов персональных данных осуществляется как на бумажных носителях, так и с использованием средств автоматизации (с помощью средств вычислительной техники) путем:
- получения оригиналов необходимых документов;
- копирования оригиналов документов;
- внесения сведений в учетные формы на бумажных и электронных носителях;
- формирования ПДн в ходе кадровой работы;
- внесения ПДн в информационные системы.
9.4. Сбор, запись, систематизация, накопление (обновление, изменение) ПДн осуществляется путем получения ПДн непосредственно от субъектов персональных данных, и с согласия субъекта персональных данных на обработку его ПДн, если иное не предусмотрено ФЗ-152.
9.5. Обработка ПДн, разрешенных субъектом персональных данных для распространения, осуществляется в АНО КУ ТМХ на основании согласия субъекта персональных данных на распространение с соблюдением установленных субъектом персональных данных запретов и условий на обработку ПДн.
9.6. АНО КУ ТМХ осуществляет обработку ПДн без согласия субъекта персональных данных на обработку его ПДн:
- для достижения целей, предусмотренных законом РФ;
- для осуществления и выполнения обязанностей, возложенных законодательством РФ на АНО КУ ТМХ, как на Оператора персональных данных;
- для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ;
- для осуществления прав и законных интересов АНО КУ ТМХ или третьих лиц с соблюдением условий, при которых не нарушаются права и свободы субъекта персональных данных;
- в случае, если обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- в случае, если обработка ПДн необходима для научной, творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
- в случае, если обработка ПДн осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПДн;
- обрабатываемые ПДн подлежат опубликованию или обязательному раскрытию в соответствии с ФЗ-152.
9.7. В целях внутреннего информационного обеспечения АНО КУ ТМХ может создавать справочники, адресные книги, информационные системы и другие источники, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено ФЗ-152, могут включаться его ПДн.
9.8. В АНО КУ ТМХ используются следующие информационные системы, обрабатывающие ПДн субъектов персональных данных: корпоративная электронная почта, система электронного документооборота; система нормативно-справочной информации, система управления закупочной деятельностью, система управления персоналом, система организации обучения, система управления карьерой и преемственностью, корпоративные сайты и информационные порталы.
9.9. Пользователь ИСПДн может самостоятельно, своими действиями, по своему усмотрению, раскрывать неопределенному кругу лиц (публиковать в информационных системах) информацию, которая может включать ПДн, в том числе: фамилия, имя, отчество, пол, дата рождения, город местонахождения, место работы, должность, сведения об образовании, профессиональном опыте, трудоустройстве, ссылки на профили в социальных сетях, дополнительную контактную информацию (электронную почту, мессенджеры), другую информацию о себе в свободной форме. Добавленная пользователем в профиль информация становится доступной неограниченному кругу лиц, с учетом настроек отображения информации профиля в ИСПДн.
9.10. Ввод в эксплуатацию новых ИСПДн производится только после выполнения процедур оценки эффективности принимаемых мер по обеспечению безопасности обрабатываемых в них ПДн.
9.11. Доступ к ПДн имеют работники АНО КУ ТМХ, которым это необходимо для исполнения должностных обязанностей и с соблюдением принципов персональной ответственности. Перечень лиц, имеющих доступ к ПДн, утверждается приказом.
9.12. При передаче ПДн субъекта персональных данных, работники АНО КУ ТМХ, осуществляющие обработку ПДн, должны соблюдать следующие требования:
- не сообщать ПДн субъекта персональных данных третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных ФЗ-152;
- не сообщать ПДн субъекта персональных данных в коммерческих целях без его письменного согласия;
- не отвечать на вопросы, связанные с передачей персональной информации по телефону, факсу, электронной почте;
- предупредить лиц, получающих ПДн субъекта персональных данных о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что правило соблюдено. Лица, получающие ПДн субъекта персональных данных, обязаны соблюдать режим конфиденциальности;
- разрешать доступ к ПДн субъекта персональных данных только лицам, определенным приказом АНО КУ ТМХ, при этом указанные лица должны иметь право получать только те ПДн, которые необходимы для выполнения конкретных функций;
- не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключение тех сведений, которые относятся к вопросу о возможности выполнения работников трудовой функции;
- передавать ПДн субъекта персональных данных представителям субъекта персональных данных в порядке, установленном Трудовым кодексом Российской Федерации, и ограничить эту информацию только теми ПДн субъекта персональных данных, которые необходимы для выполнения указанными представителями их функций.
9.13. Трансграничная передача ПДн АНО КУ ТМХ может осуществляться при соблюдении требований и в порядке, установленном законодательством Российской Федерации в области ПДн.
9.14. АНО КУ ТМХ осуществляет необходимые мероприятия для поддержания точности, достаточности, а в необходимых случаях актуальности по отношению к целям обработки обрабатываемых ПДн.
9.15. АНО КУ ТМХ производит обработку ПДн не дольше, чем этого требуют цели обработки ПДн.
9.16. В АНО КУ ТМХ организовано хранение ПДн в течение времени, установленного требованиями.
9.17. При достижении целей обработки, в случае утраты необходимости в достижении этих целей, по окончанию сроков хранения ПДн, обрабатываемые данные подлежат уничтожению.
10. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. В АНО КУ ТМХ принимаются необходимые правовые, технические и организационные меры для защиты данных от несанкционированного доступа, изменения, раскрытия или уничтожения ПДн, путем внутренних проверок процессов сбора, хранения и обработки данных и мер безопасности, а также осуществления мер по обеспечению физической безопасности данных для предотвращения несанкционированного доступа к ИСПДн, в которых АНО КУ ТМХ хранит ПДн.
10.2. Меры по обеспечению безопасности ПДн при их обработке в ИСПДн устанавливаются в соответствии с ЛНА В АНО КУ ТМХ, регламентирующими вопросы обеспечения безопасности ПДн при их обработке в ИСПДн АНО КУ ТМХ.
10.3. Меры, необходимые и достаточные для обеспечения выполнения В АНО КУ ТМХ обязанностей оператора ПДн, предусмотренные ФЗ-152, включают:
- принятие ЛНА и иных документов в области обработки и защиты ПДн;
- организацию обучения и проведение методической работы с работниками структурных подразделений В АНО КУ ТМХ, и работниками, занимающими должности, включенные в перечень должностей структурных подразделений В АНО КУ ТМХ, при замещении которых осуществляется обработка ПДн;
- получение согласий субъектов персональных данных на обработку их ПДн, за исключением случаев, предусмотренных законодательством Российской Федерации и случаев, указанных в пункте 9.6 Политики;
- обеспечение раздельного хранения ПДн и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории ПДн;
- обеспечение безопасности ПДн при их передаче по открытым каналам связи;
- хранение материальных носителей ПДн с соблюдением условий, обеспечивающих сохранность ПДн и исключающих несанкционированный доступ к ним;
- иные меры, предусмотренные ФЗ-152.
10.4. В АНО КУ ТМХ назначается лицо, ответственное за организацию обработки ПДн.
10.5. Контроль за соблюдением структурными подразделениями АНО КУ ТМХ ФЗ-152 и ЛНА АНО КУ ТМХ в области ПДн, в том числе требований к защите ПДн, осуществляется с целью проверки соответствия обработки ПДн в структурных подразделениях АНО КУ ТМХ ФЗ-152 и ЛНА АНО КУ ТМХ в области ПДн, в том числе требованиям к защите ПДн, а также принятых мер, направленных на предотвращение и выявление нарушений ФЗ-152 в области ПДн, выявления возможных каналов утечки и несанкционированного доступа к ПДн, устранения последствий таких нарушений.
10.6. Внутренний контроль за соблюдением структурными подразделениями АНО КУ ТМХ ФЗ-152 и ЛНА АНО КУ ТМХ в области ПДн, в том числе требований к защите ПДн, осуществляется лицом, назначаемым приказом по АНО КУ ТМХ, ответственным за организацию обработки ПДн в АНО КУ ТМХ.
11. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
11.1. Настоящая Политика согласовывается с советом учредителей АНО КУ ТМХ и утверждается приказом Руководителя (директора) и является обязательной для исполнения всеми работниками АНО КУ ТМХ.
11.2. АНО КУ ТМХ, как Оператор персональных данных, несет ответственность за соответствие обработки и обеспечение безопасности ПДн законодательству о персональных данных.
11.3. Работники АНО КУ ТМХ несут дисциплинарную, гражданско-правовую, административную и уголовную ответственность за несоблюдение принципов и условий обработки ПДн субъектов персональных данных, а также за разглашение или незаконное использование ПДн в соответствии с ФЗ-152.
11.4. ПДн относятся к конфиденциальной информации. Режим конфиденциальности ПДн снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.
11.5. Субъект персональных данных может получить любые разъяснения по интересующим вопросам, касающимся обработки его ПДн, обратившись в АНО КУ ТМХ с помощью электронной почты info@tmh-university.ru.
11.6. Настоящая Политика подлежит изменению в случае принятия нормативных актов, устанавливающих новые требования по обработке и защите ПДн или внесения изменений в действующие НПА.
Настоящее Положение вступает в силу с момента его утверждения и действует бессрочно (до внесения соответствующих изменений и дополнений или принятия новой редакции Положения).
1.1. Политика в области организации обработки и обеспечения безопасности персональных данных (далее – Политика) в Автономной некоммерческой организации дополнительного профессионального образования «Корпоративный университет ТМХ» (далее - АНО КУ ТМХ), устанавливает единые принципы и правила в отношении целей сбора персональных данных, способов и порядка обработки персональных данных различных категорий субъектов персональных данных, а также определяет основные меры, реализуемые АНО КУ ТМХ для защиты персональных данных.
1.2. Настоящая Политика разработана в целях реализации требований пункта 2 части 1 статьи 18.1 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» и действует в отношении всех персональных данных, которые АНО КУ ТМХ получает от субъектов персональных данных.
1.3. Положения Политики служат основой для организации работы по обработке персональных данных в АНО КУ ТМХ, в том числе, для разработки локальных нормативных актов, регламентирующих в АНО КУ ТМХ вопросы обработки и защиты персональных данных работников и других субъектов персональных данных.
1.4. Настоящая Политика является документом, к которому обеспечивается неограниченный доступ. Для обеспечения неограниченного доступа Политика подлежит размещению на официальном сайте АНО КУ ТМХ.
1.5. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных в АНО КУ ТМХ.
1.6. Политика разработана и определяется в соответствии со следующими нормативными правовыми актами:
- Конституция Российской Федерации;
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
- Федеральный закон от 29 декабря 2012 г. № 273-ФЗ «Об образовании в Российской Федерации»;
- Трудовой кодекс Российской Федерации;
- Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;
- постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- постановление Правительства Российской Федерации от 06 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
- постановление Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- постановление Правительства Российской Федерации от 31 мая 2021 г. № 825 «О федеральной информационной системе «Федеральный реестр сведений о документах об образовании и (или) о квалификации, документах об обучении»;
- постановление Правительства Российской Федерации от 10 января 2023 № 6 «Об утверждении Правил принятия решения о запрещении или об ограничении трансграничной передачи персональных данных уполномоченным органом по защите прав субъектов персональных данных и информирования операторов о принятом решении»
- постановление Правительства Российской Федерации от 16 января 2023 г. № 24 «Об утверждении Правил принятия решения уполномоченным органом по защите прав субъектов персональных данных о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан»;
- приказ Федеральной службы по техническому и экспортному контролю России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
- приказ Роскомнадзора от 5 августа 2022 г. № 128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных»;
- приказ Роскомнадзора от 28 октября 2022 г. № 179 «Об утверждении требований к подтверждению уничтожения персональных данных»;
- иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти;
- Устав АНО КУ ТМХ и иные локальные нормативные правовые акты.
2. ТЕРМИНЫ И СОКРАЩЕНИЯ
2.1. В настоящем документе применены следующие термины с соответствующими определениями:
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Информация - сведения (сообщения, данные) независимо от формы их представления.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном действующим законодательством Российской Федерации.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.2. В настоящем документе используются следующие сокращения (обозначения) с соответствующими расшифровками:
ИСПДн - Информационная система персональных данных
ЛНА - Локальный нормативный акт
НПА - Нормативный правовой акт
ПДн - Персональные данные
ФЗ-152 - Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
ФИС ФРДО - Федеральная информационная система «Федеральный реестр сведений о документах об образовании и (или) о квалификации, документах об обучении»
3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. ПДн обрабатываются в АНО КУ ТМХ в целях выполнения возложенных законодательством Российской Федерации на АНО КУ ТМХ функций, полномочий и обязанностей, осуществления прав и законных интересов АНО КУ ТМХ в рамках осуществления видов деятельности, предусмотренных Уставом и иными ЛНА АНО КУ ТМХ.
3.2. Целями обработки ПДн работников являются:
- реализация обязательств в рамках трудовых отношений, а также обязательств, связанных с трудовыми отношениями, предусмотренных действующим законодательством Российской Федерации (в частности, требований Трудового кодекса Российской Федерации, Налогового кодекса Российской Федерации, Федерального закона Российской Федерации от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» и т.д.);
- регулирование трудовых отношений с работниками АНО КУ ТМХ (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль качества выполняемой работы, обеспечение сохранности имущества и т.д.);
- предоставление работникам АНО КУ ТМХ дополнительных гарантий и компенсаций, в том числе добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;
- формирование справочных материалов для внутреннего информационного обеспечения деятельности АНО КУ ТМХ;
- реализация пропускного режима на территории АНО КУ ТМХ.
3.3. Целью обработки ПДн близких родственников работников является предоставление социальных льгот и компенсаций работникам и членам семьи работников в соответствии с действующим законодательством Российской Федерации.
3.4. Целями обработки ПДн соискателей являются:
- подбор персонала на открытые вакансии;
- реализация пропускного режима на территории АНО КУ ТМХ.
3.5. Целями обработки ПДн участников программ обучения и/или развития являются:
- организация и проведение мероприятий по обучению и/или развитию;
- оказание образовательных услуг, в том числе предоставление сведений о документах об образовании и (или) о квалификации, документах об обучении в ФИС ФРДО;
- контроль посещаемости слушателей программ обучения и/или развития;
- проведение аналитических и статистических исследований в сфере обучения и развития;
- идентификации участников в информационных системах АНО КУ ТМХ в целях предоставления участникам персонализированных сервисов, связи с участником в случае необходимости (в том числе направления уведомлений, запросов и т.д.), а также обработки запросов и заявок на мероприятия;
- реализация пропускного режима на территории АНО КУ ТМХ.
3.6. Целью обработки ПДн контрагентов, представителей контрагентов и партнеров является подготовка, заключение, исполнение и прекращение договоров с контрагентами и иными лицами в случаях, предусмотренных действующим законодательством.
4. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Обработка ПДн в АНО КУ ТМХ осуществляется с учетом необходимости обеспечения защиты прав и свобод работников и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
- законности и справедливости целей и способов обработки ПДн;
- соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн;
- соответствия объема и характера обрабатываемых ПДн, способов обработки ПДн целям обработки ПДн;
- достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн избыточных по отношению к целям, заявленным при сборе ПДн;
- недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих ПДн;
- хранение ПДн осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
- уничтожение ПДн либо обезличивание осуществляется по достижении целей их обработки или в случае утраты необходимости в их достижении, если срок хранения ПДн не установлен законодательством Российской Федерации, ФЗ-152 и другими документами, определяющими такой срок;
- обеспечения надлежащей защиты ПДн;
- обеспечения конфиденциальности и безопасности обрабатываемых ПДн.
5. ПЕРЕЧЕНЬ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ В АНО КУ ТМХ
5.1. АНО КУ ТМХ, являясь оператором ПДн, осуществляет обработку ПДн работников АНО КУ ТМХ и других субъектов персональных данных, не состоящих с АНО КУ ТМХ в трудовых отношениях.
5.2. Субъектами персональных данных, обработка которых осуществляется АНО КУ ТМХ, являются:
- Работники и бывшие работники АНО КУ ТМХ;
- близкие родственники и члены семьи работников АНО КУ ТМХ;
- кандидаты на замещение вакантных должностей в АНО КУ ТМХ;
- участники программ обучения и развития;
- клиенты и контрагенты АНО КУ ТМХ (физические лица);
- представители/работники клиентов и контрагентов АНО КУ ТМХ (юридические лица).
5.3. Обрабатываемые персональные данные АНО КУ ТМХ получает:
- непосредственно у самого субъекта персональных данных;
- от лиц, не являющихся субъектами персональных данных;
- из общедоступных источников персональных данных.
6. ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В АНО КУ ТМХ
6.1. Сведениями, составляющими ПДн, является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и месторождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация.
6.2. Перечень ПДн, обрабатываемых в АНО КУ ТМХ, определяется в соответствии с законодательством Российской Федерации, и ЛНА АНО КУ ТМХ с учетом целей обработки ПДн, указанных в пункте 3 Политики.
6.3. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в АНО КУ ТМХ не допускается.
6.4. Обработка биометрических ПДн в АНО КУ ТМХ допускается только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации.
7. ПРАВА И ОБЯЗАННОСТИ АНО КУ ТМХ В КАЧЕСТВЕ ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Обязанности АНО КУ ТМХ в качестве оператора ПДн:
- организовывать обработку ПДн в соответствии с требованиями ФЗ-152;
- обеспечивать защиту ПДн, обрабатываемых в АНО КУ ТМХ от их неправомерного использования или утраты;
- получать ПДн только у субъекта персональных данных. В случаях, когда ПДн можно получить только у третьих лиц, делать это исключительно с письменного согласия субъекта персональных данных;
- осуществлять ознакомление и обучение работников АНО КУ ТМХ, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации и ЛНА АНО КУ ТМХ в области ПДн;
- своевременно и в соответствии с требованиями законодательства Российской Федерации реагировать на обращения и запросы субъектов персональных данных и их законных представителей;
- сообщать в установленном порядке субъектам персональных данных или их представителям информацию о наличии ПДн, относящихся к соответствующим субъектам, предоставлять возможность ознакомления с этими ПДн при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации;
- сообщать в уполномоченный орган по защите прав субъекта персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса;
- прекращать обработку и уничтожать ПДн в случаях, предусмотренных законодательством Российской Федерации в области ПДн;
- совершать иные действия, предусмотренные законодательством Российской Федерации в области ПДн
7.2. Права АНО КУ ТМХ в качестве оператора персональных данных:
- обрабатывать ПДн субъекта персональных данных в соответствии с заявленной целью;
- обрабатывать общедоступные ПДн физических лиц;
- поручать обработку ПДн другому лицу с согласия субъекта персональных данных и на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели обработки, обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также требования к защите обрабатываемых ПДн в соответствии с ФЗ-152;
- предлагать субъекту персональных данных оформить персональное письменное согласие на обработку/передачу ПДн;
- требовать от субъекта персональных данных предоставления достоверных ПДн, необходимых для исполнения договора, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных ФЗ-152;
- отказывать в предоставлении ПДн в случаях, предусмотренных частью 6 статьи 14 и частью 2 статьи 20 ФЗ-152. В случае отказа, при обращении субъекта персональных данных или его представителя, в предоставлении субъекту персональных данных его ПДн или информации о наличии в АНО КУ ТМХ его ПДн, давать в письменной форме мотивированный ответ, содержащий ссылку на положение ФЗ-152, являющееся основанием для такого отказа;
- привлекать к дисциплинарной ответственности работников АНО КУ ТМХ, к должностным обязанностям которых относится обработка ПДн, за нарушение требований к защите ПДн;
- иные права, предусмотренные ФЗ-152.
8. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Субъект персональных данных имеет право:
8.1. - получать информацию, касающуюся обработки его ПДн в АНО КУ ТМХ, в том числе и об источниках их получения;
- требовать блокирования или уничтожения своих ПДн в случае, если ПДн являются неполными, устаревшими, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- требовать извещения всех лиц, которым ранее были сообщены недостоверные или неполные его ПДн, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия АНО КУ ТМХ в качестве оператора персональных данных при обработке его ПДн;
- отозвать свое согласие на обработку ПДн;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
- иные права, предусмотренные ФЗ-152.
9. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Обработка ПДн в АНО КУ ТМХ производится в соответствии с требованиями законодательства Российской Федерации и ЛНА АНО КУ ТМХ работниками структурных подразделений АНО КУ ТМХ и организациями, осуществляющими такую обработку, на основании договоров на оказание соответствующих услуг АНО КУ ТМХ.
9.2. Обработка ПДн в АНО КУ ТМХ включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
9.3. Обработка ПДн субъектов персональных данных осуществляется как на бумажных носителях, так и с использованием средств автоматизации (с помощью средств вычислительной техники) путем:
- получения оригиналов необходимых документов;
- копирования оригиналов документов;
- внесения сведений в учетные формы на бумажных и электронных носителях;
- формирования ПДн в ходе кадровой работы;
- внесения ПДн в информационные системы.
9.4. Сбор, запись, систематизация, накопление (обновление, изменение) ПДн осуществляется путем получения ПДн непосредственно от субъектов персональных данных, и с согласия субъекта персональных данных на обработку его ПДн, если иное не предусмотрено ФЗ-152.
9.5. Обработка ПДн, разрешенных субъектом персональных данных для распространения, осуществляется в АНО КУ ТМХ на основании согласия субъекта персональных данных на распространение с соблюдением установленных субъектом персональных данных запретов и условий на обработку ПДн.
9.6. АНО КУ ТМХ осуществляет обработку ПДн без согласия субъекта персональных данных на обработку его ПДн:
- для достижения целей, предусмотренных законом РФ;
- для осуществления и выполнения обязанностей, возложенных законодательством РФ на АНО КУ ТМХ, как на Оператора персональных данных;
- для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ;
- для осуществления прав и законных интересов АНО КУ ТМХ или третьих лиц с соблюдением условий, при которых не нарушаются права и свободы субъекта персональных данных;
- в случае, если обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- в случае, если обработка ПДн необходима для научной, творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
- в случае, если обработка ПДн осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПДн;
- обрабатываемые ПДн подлежат опубликованию или обязательному раскрытию в соответствии с ФЗ-152.
9.7. В целях внутреннего информационного обеспечения АНО КУ ТМХ может создавать справочники, адресные книги, информационные системы и другие источники, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено ФЗ-152, могут включаться его ПДн.
9.8. В АНО КУ ТМХ используются следующие информационные системы, обрабатывающие ПДн субъектов персональных данных: корпоративная электронная почта, система электронного документооборота; система нормативно-справочной информации, система управления закупочной деятельностью, система управления персоналом, система организации обучения, система управления карьерой и преемственностью, корпоративные сайты и информационные порталы.
9.9. Пользователь ИСПДн может самостоятельно, своими действиями, по своему усмотрению, раскрывать неопределенному кругу лиц (публиковать в информационных системах) информацию, которая может включать ПДн, в том числе: фамилия, имя, отчество, пол, дата рождения, город местонахождения, место работы, должность, сведения об образовании, профессиональном опыте, трудоустройстве, ссылки на профили в социальных сетях, дополнительную контактную информацию (электронную почту, мессенджеры), другую информацию о себе в свободной форме. Добавленная пользователем в профиль информация становится доступной неограниченному кругу лиц, с учетом настроек отображения информации профиля в ИСПДн.
9.10. Ввод в эксплуатацию новых ИСПДн производится только после выполнения процедур оценки эффективности принимаемых мер по обеспечению безопасности обрабатываемых в них ПДн.
9.11. Доступ к ПДн имеют работники АНО КУ ТМХ, которым это необходимо для исполнения должностных обязанностей и с соблюдением принципов персональной ответственности. Перечень лиц, имеющих доступ к ПДн, утверждается приказом.
9.12. При передаче ПДн субъекта персональных данных, работники АНО КУ ТМХ, осуществляющие обработку ПДн, должны соблюдать следующие требования:
- не сообщать ПДн субъекта персональных данных третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных ФЗ-152;
- не сообщать ПДн субъекта персональных данных в коммерческих целях без его письменного согласия;
- не отвечать на вопросы, связанные с передачей персональной информации по телефону, факсу, электронной почте;
- предупредить лиц, получающих ПДн субъекта персональных данных о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что правило соблюдено. Лица, получающие ПДн субъекта персональных данных, обязаны соблюдать режим конфиденциальности;
- разрешать доступ к ПДн субъекта персональных данных только лицам, определенным приказом АНО КУ ТМХ, при этом указанные лица должны иметь право получать только те ПДн, которые необходимы для выполнения конкретных функций;
- не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключение тех сведений, которые относятся к вопросу о возможности выполнения работников трудовой функции;
- передавать ПДн субъекта персональных данных представителям субъекта персональных данных в порядке, установленном Трудовым кодексом Российской Федерации, и ограничить эту информацию только теми ПДн субъекта персональных данных, которые необходимы для выполнения указанными представителями их функций.
9.13. Трансграничная передача ПДн АНО КУ ТМХ может осуществляться при соблюдении требований и в порядке, установленном законодательством Российской Федерации в области ПДн.
9.14. АНО КУ ТМХ осуществляет необходимые мероприятия для поддержания точности, достаточности, а в необходимых случаях актуальности по отношению к целям обработки обрабатываемых ПДн.
9.15. АНО КУ ТМХ производит обработку ПДн не дольше, чем этого требуют цели обработки ПДн.
9.16. В АНО КУ ТМХ организовано хранение ПДн в течение времени, установленного требованиями.
9.17. При достижении целей обработки, в случае утраты необходимости в достижении этих целей, по окончанию сроков хранения ПДн, обрабатываемые данные подлежат уничтожению.
10. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. В АНО КУ ТМХ принимаются необходимые правовые, технические и организационные меры для защиты данных от несанкционированного доступа, изменения, раскрытия или уничтожения ПДн, путем внутренних проверок процессов сбора, хранения и обработки данных и мер безопасности, а также осуществления мер по обеспечению физической безопасности данных для предотвращения несанкционированного доступа к ИСПДн, в которых АНО КУ ТМХ хранит ПДн.
10.2. Меры по обеспечению безопасности ПДн при их обработке в ИСПДн устанавливаются в соответствии с ЛНА В АНО КУ ТМХ, регламентирующими вопросы обеспечения безопасности ПДн при их обработке в ИСПДн АНО КУ ТМХ.
10.3. Меры, необходимые и достаточные для обеспечения выполнения В АНО КУ ТМХ обязанностей оператора ПДн, предусмотренные ФЗ-152, включают:
- принятие ЛНА и иных документов в области обработки и защиты ПДн;
- организацию обучения и проведение методической работы с работниками структурных подразделений В АНО КУ ТМХ, и работниками, занимающими должности, включенные в перечень должностей структурных подразделений В АНО КУ ТМХ, при замещении которых осуществляется обработка ПДн;
- получение согласий субъектов персональных данных на обработку их ПДн, за исключением случаев, предусмотренных законодательством Российской Федерации и случаев, указанных в пункте 9.6 Политики;
- обеспечение раздельного хранения ПДн и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории ПДн;
- обеспечение безопасности ПДн при их передаче по открытым каналам связи;
- хранение материальных носителей ПДн с соблюдением условий, обеспечивающих сохранность ПДн и исключающих несанкционированный доступ к ним;
- иные меры, предусмотренные ФЗ-152.
10.4. В АНО КУ ТМХ назначается лицо, ответственное за организацию обработки ПДн.
10.5. Контроль за соблюдением структурными подразделениями АНО КУ ТМХ ФЗ-152 и ЛНА АНО КУ ТМХ в области ПДн, в том числе требований к защите ПДн, осуществляется с целью проверки соответствия обработки ПДн в структурных подразделениях АНО КУ ТМХ ФЗ-152 и ЛНА АНО КУ ТМХ в области ПДн, в том числе требованиям к защите ПДн, а также принятых мер, направленных на предотвращение и выявление нарушений ФЗ-152 в области ПДн, выявления возможных каналов утечки и несанкционированного доступа к ПДн, устранения последствий таких нарушений.
10.6. Внутренний контроль за соблюдением структурными подразделениями АНО КУ ТМХ ФЗ-152 и ЛНА АНО КУ ТМХ в области ПДн, в том числе требований к защите ПДн, осуществляется лицом, назначаемым приказом по АНО КУ ТМХ, ответственным за организацию обработки ПДн в АНО КУ ТМХ.
11. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
11.1. Настоящая Политика согласовывается с советом учредителей АНО КУ ТМХ и утверждается приказом Руководителя (директора) и является обязательной для исполнения всеми работниками АНО КУ ТМХ.
11.2. АНО КУ ТМХ, как Оператор персональных данных, несет ответственность за соответствие обработки и обеспечение безопасности ПДн законодательству о персональных данных.
11.3. Работники АНО КУ ТМХ несут дисциплинарную, гражданско-правовую, административную и уголовную ответственность за несоблюдение принципов и условий обработки ПДн субъектов персональных данных, а также за разглашение или незаконное использование ПДн в соответствии с ФЗ-152.
11.4. ПДн относятся к конфиденциальной информации. Режим конфиденциальности ПДн снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.
11.5. Субъект персональных данных может получить любые разъяснения по интересующим вопросам, касающимся обработки его ПДн, обратившись в АНО КУ ТМХ с помощью электронной почты info@tmh-university.ru.
11.6. Настоящая Политика подлежит изменению в случае принятия нормативных актов, устанавливающих новые требования по обработке и защите ПДн или внесения изменений в действующие НПА.
Настоящее Положение вступает в силу с момента его утверждения и действует бессрочно (до внесения соответствующих изменений и дополнений или принятия новой редакции Положения).
Оставить заявку
Оставьте заявку и мы мы свяжемся с вами в ближайшее время