Федеральное государственное автономное образовательное учреждение дополнительного профессионального образования
Москва «30» октября 2017г.
Настоящая Политика конфиденциальности персональных данных (далее – Политика конфиденциальности) действует в отношении всей информации, которую Федеральное государственное автономное образовательное учреждение дополнительного профессионального образования «Академия стандартизации, метрологии и сертификации (учебная) (далее Академия) расположенная на доменном имени www.asms.ru, может получить о Пользователе во время использования сайта Академии, программ и услуг Академии.
1.Общие положения
1.1. Настоящий документ определяет политику ФГАОУ ДПО АСМС (далее по тексту - «Оператор») в отношении обработки персональных данных и излагает систему основных принципов, цели, условия и способы обработки персональных данных, перечень субъектов и обрабатываемых у Оператора персональных данных, права и обязанности Оператора при обработке персональных данных, права и обязанности субъектов персональных данных, а также реализуемые у Оператора мероприятия по защите персональных данных.
1.2. Действие настоящей Политики распространяется на все операции, совершаемые у Оператора с персональными данными с использованием средств автоматизации или без их использования.
1.3. Настоящая Политика составлена в соответствии с требованиями законодательства в области защиты персональных данных и подлежит актуализации в случае изменения законодательства РФ о персональных данных.
1.4. Положения настоящей Политики служат основой для разработки локальных нормативных актов Оператора, регламентирующих вопросы обработки персональных данных работников и других субъектов персональных данных.
1.5. В Политике используются следующие основные понятия:
персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
1.6. Оператор осуществляет свою деятельность по адресу:
юридический адрес: 109443, Москва, Волгоградский проспект, д.90, корп.1
фактический адрес: 109443, Москва, Волгоградский проспект, д.90, корп. 1
телефон 8-499-175-24-14
e-mail: prvoronina@asms.ru
1.7. Основные права и обязанности Оператора.
Оператор имеет право:
- Требовать от субъекта ПДн предоставления достоверных сведений о себе в порядке и объеме, предусмотренном законодательством РФ, а в случае их изменений (для работников) своевременно уведомлять об этом Оператора;
- Довести до субъекта (ов) ПДн информацию о юридических последствиях отказа в предоставлении своих ПДн, если обязанность предоставления ПДн субъектом установлена федеральным законом;
- В случае отзыва субъектом ПДн согласия на обработку ПДн, продолжить обработку ПДн, без согласия субъекта ПДн, при наличии оснований, предусмотренных законодательством Российской Федерации.
Оператор обязан:
- Осуществлять обработку персональных данных на законной и справедливой основе;
- Обеспечивать защиту прав и свобод субъекта персональных данных при обработке его персональных данных;
- При обработке персональных данных обеспечивать их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
- Не допускать обработку персональных данных, избыточных или несовместимых с целями сбора персональных данных и ограничивать обработку персональных данных достижением конкретных, заранее определенных и законных целей;
- Обеспечить защиту ПДн субъекта (ов) от неправомерного их использования, утраты или искажения в порядке, установленном действующим законодательством;
- Осуществлять обработку ПДн субъекта только в соответствии с законодательством РФ;
- Представлять субъектам ПДн по их запросу или их представителям информацию, касающуюся обработки их ПДн, в порядке, установленном законодательством Российской Федерации и нормативными документами Оператора;
- Предоставлять субъекту ПДн его персональные данные в доступной форме, при этом в них недолжны, содержатся ПДн, относящиеся к другим субъектам ПДн.
- Не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
- Знакомить работников, непосредственно осуществляющих обработку ПДн, с положениями действующего законодательства Российской Федерации о ПДн, в том числе с требованиями к обработке и защите ПДн, локальными нормативными актами;
- Принимать необходимые организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий;
- Осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных Федеральному закону №152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных;
- Для защиты ПДн соблюдать ряд мер организационно-технического характера: порядок приема, учета посетителей; порядок охраны территории, зданий, помещений; порядок доступа в помещения, предназначенные для хранения и обработки ПДн.
1.8. Основные права и обязанности субъекта (ов) персональных данных.
Субъект имеет право:
На получение информации, касающейся обработки его ПДн, в том числе содержащей:
подтверждение факта обработки ПДн Оператором; правовые основания и цели обработки ПДн; применяемые Оператором способы обработки ПДн; сведения о лицах, которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании законодательства РФ; обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн; сроки обработки ПДн, в том числе сроки их хранения; порядок осуществления субъектом ПДн прав, предусмотренных федеральным законом;
- Отозвать согласие на обработку ПДн;
- Обжаловать в суде действия или бездействия Оператора при обработке и защите его ПДн;
- На защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
- Осуществлять иные права, предусмотренные законодательством Российской Федерации.
Субъект обязан:
- Предоставить Оператору достоверные сведения о себе в порядке и объеме, предусмотренном законодательством РФ, а в случае их изменений (для работников) своевременно уведомить об этом Оператора.
2. Принципы и цели обработки персональных данных
2.1. Являясь оператором персональных данных Академия, осуществляет обработку персональных данных работников и других субъектов персональных данных, не состоящих с Академией в трудовых отношениях.
2.2. Обработка персональных данных осуществляется с учетом необходимости обеспечения защиты прав и свобод работников и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
- не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных соответствует
заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
- при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператором принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных, или неточных персональных данных;
- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
- обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2.3. Оператором определены следующие цели обработки персональных данных: соблюдения законов и иных нормативных правовых актов, выполнения договорных обязательств, ведения кадрового делопроизводства; осуществление бухгалтерского учета; подбор, оценки знаний, обучения, подготовки и развития персонала; обеспечения социальных льгот и гарантий работников; расчета и начисления заработной платы по трудовым договорам; заключения и исполнения трудовых договоров, гражданско-правовых договоров с физическими и юридическими лицами; расчета налоговых отчислений; формирования отчетности или подготовки предусмотренных в законодательстве заявлений, уведомлений и т.д. в ИФНС и внебюджетные фонды; участия в конференциях, учебных мероприятиях и семинарах; обеспечения личной безопасности работников; прием обращения граждан и подготовка ответов; обеспечения сохранности имущества; обеспечения контроля количества и качества выполняемой работы; обеспечения безопасных условий труда; формирования общедоступных источников персональных данных; оказание услуг; организация учебного процесса и контроль качества образования.
3. Правовые основания обработки персональных данных
Правовыми основаниями обработки персональных данных являются:
руководствуясь требованиями Конституции РФ (ст.23, 24), Трудового кодекса РФ (ст.86-90), Гражданского кодекса РФ, Налогового кодекса РФ, Федеральным законом от 30.12.2008 №307-Ф3 "Об аудиторской деятельности", Федеральным законом от 01.04.1996 №27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования", Федеральным законом от 06.12.2011 № 402-ФЗ "О бухгалтерском учете", Федеральным законом от 24.07.1998 № 125-ФЗ "Об обязательном социальном страховании от несчастных случаевна производстве и профессиональных заболеваниях", Федеральным законом от 06.04.2011 № 63-Ф3 "Об электронной подписи", Федеральным законом от 29.12.2012 № 273-ФЭ " Об образовании в Российской федерации", Федеральным законом от 02.05.2006 № 59-ФЗ "О порядке рассмотрения обращения граждан", Постановлением Правительства РФ от 16.04.2003 №225 «О трудовых книжках», Постановлением Правительства РФ от 27.11.2006 №719 «О воинском учете», Постановлением Правительства Российской Федерации от 01.11.2012 №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"; Постановлением Правительства Российской Федерации от 15.09.2008 №687 "Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", Уставом ФГАОУ ДПО АСМС.
Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике обработки персональных данных в соответствии с ч. 2 ст. 18.1. ФЗ-152.
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
4.1. При определении объема и содержания обрабатываемых ПДн Оператор руководствуется Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами;
4.2. Оператор не допускает обработку персональных данных, избыточных или несовместимых с целями сбора персональных данных и ограничивает обработку персональных данных достижением конкретных, заранее определенных и законных целей.
4.3. Оператор не осуществляет обработку специальных категорий персональных данных лиц, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
Специальные категории персональных данных обрабатываются Оператором только при наличии согласия в письменной форме субъекта персональных данных, при этом Оператор выполняет требования к осуществлению обработки специальных категорий персональных данных, предусмотренные Федеральным законом РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г. и Трудовым кодексом РФ.
4.4. Оператор осуществляет обработку биометрических персональных данных только при наличии согласия в письменной форме субъекта персональных данных.
4.5. Оператор осуществляет обработку персональных данных следующих субъектов персональных данных:
4.5.1 Работников, состоящих или состоявших в трудовых отношениях с Оператором - в составе и в сроки, необходимые для достижения целей, предусмотренных в разделе 2 настоящей Политики. Оператор обрабатывает персональные данные работников в рамках правоотношений, урегулированных Трудовым Кодексом Российской Федерации от 30 декабря 2001 г. № 197-ФЗ (далее — ТК РФ), в том числе главой 14 ТК РФ, касающейся защиты персональных данных работников.
Оператор обрабатывает следующие персональные данные работников:
фамилия, имя, отчество; год, месяц, дата и место рождения; реквизиты документа, удостоверяющего личность; гражданство; идентификационный номер налогоплательщика; номер свидетельства обязательного пенсионного страхования;адрес фактического места проживания и регистрации по месту жительства и (или) по месту пребывания; номера телефонов; фотографии; сведения об образовании (включая научные степени и звания), профессии, специальности и квалификации, сведения о повышении квалификации, профессиональной переподготовке; сведения о доходах; сведения о занимаемых ранее должностях и стаже работы, сведения о воинском учете; сведения о семейном положении и составе семьи; номер расчетного счета и номер банковской карты; данные о наградах, почетных званиях; категория инвалидности и данные заключения МСЭК (при наличии).
4.5.2 Соискателей на замещение вакантных должностей, в том числе и иностранных граждан - в составе и в сроки, необходимые для принятия Оператором решения о приеме либо отказе в приеме на работу, с согласия субъектов персональных данных.
Оператор обрабатывает следующие персональные данные соискателей:
фамилию, имя, отчество, год, месяц, дату рождения, биографические данные, сведения об образовании, в том числе о повышении квалификации, дополнительном образовании, информация о владении иностранными языками, информация о владении компьютером, сведения о ранее занимаемых должностях и стаже работы, данные о предыдущих местах работы, номер телефона, адрес электронной почты.
4.5.3 Физических лиц, являющихся представителями контрагентов Оператора (поставщиков, заказчиков, подрядчиков и т.д., потенциальных и существующих клиентов, партнеров), либо их учредителями, акционерами, бенефициарами - в составе и в сроки, необходимые для осуществления взаимодействия с контрагентами в целях подготовки, заключения, исполнения и прекращения договоров гражданско-правового характера оказание услуг и выполнение работ с контрагентами; обеспечения должной осмотрительности при выборе контрагента.
Оператор обрабатывает следующие персональные данные: фамилия, имя, отчество, паспортные данные (серия, номер, кем и когда выдан), должность.
4.5.4 Физических лиц, заключивших с Оператором договоры гражданско-правового характера.
Оператор обрабатывает персональные данные физических лиц по договорам гражданско-правового характера в рамках правоотношений с Оператором, урегулированных частями второй и четвертой Гражданского Кодекса Российской Федерации, необходимые для осуществления взаимодействия с контрагентами в целях подготовки, заключения, исполнения и прекращения договоров гражданско-правового характера.
Оператор обрабатывает следующие персональные данные: фамилия, имя, отчество, дата и место рождения, адрес регистрации и фактического проживания; дата регистрации по месту жительства; паспортные данные (серия, номер, кем и когда выдан); номера телефонов (мобильного, домашнего); идентификационный номер налогоплательщика; номер страхового свидетельства обязательного пенсионного страхования; номер расчетного счета; номер банковской карты.
4.5.5 Физических лиц, являющихся участниками образовательного
процесса.
Оператор обрабатывает ПДн обучающихся в целях организации учебного процесса и контроля качества образования; формирования возможностей онлайн образования, в частности, посредством единой информационной образовательной среды (rMS - Learning Management System) и иных платформ Академии; учета посещаемости и успеваемости; для формирования личного дела слушателя.
Оператор обрабатывает следующие персональные данные: фамилия, имя, отчество, число, месяц, год рождения, сведения об образовании, месте работы, занимаемой должности, стаже работы, адрес регистрации и фактического проживания, номера телефонов.
5. Порядок и условия обработки персональных данных
5.1. При обработке персональных данных обеспечиваются их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
5.2. Оператор не допускает объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.
5.3. Оператор осуществляет обработку персональных данных с использованием средств автоматизации и без их использования. При этом Оператор выполняет требования к автоматизированной и неавтоматизированной обработке персональных данных, предусмотренные Федеральным законом РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г. и принятыми в соответствии с ним нормативными правовыми актами.
5.4. У Оператора разработаны и введены в действие документы, устанавливающие порядок обработки и обеспечения безопасности персональных данных, которые обеспечивают соответствие требованиям Федерального закона РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г. и принятыми в соответствии с ним нормативными правовыми актами.
5.5. Персональные данные, позволяющие определить субъекта, хранятся не дольше, чем этого требуют цели их обработки, и подлежат уничтожению по достижении целей обработки персональных данных, или утраты необходимости в их достижении. Законодательством РФ могут устанавливаться специальные сроки хранения отдельных видов документов, содержащих персональные данные. В этом случае указанные документы подлежат уничтожению по истечению установленных сроков хранения.
5.6. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, выявление неправомерной обработки персональных данных, а также ликвидация или реорганизация юридического лица.
5.7. Оператор получает все персональные данные работников у них самих. Если данные работника, возможно, получить только у третьей стороны, Оператор заранее уведомляет об этом работника и получает его письменное согласие. Операторсообщает работнику о целях, источниках, способах получения, а также о характере подлежащих получению данных и последствиях отказа работника дать письменное согласие на их получение.
5.8. Оператор обрабатывает персональные данные работников с их письменного согласия, предоставляемого на срок действия трудового договора. Оператор обрабатывает персональные данные уволенных работников в течение срока, установленного п. 5 ч. 3 ст. 24 части первой Налогового Кодекса Российской Федерации от 31 июля 1998 г. № 146-ФЗ, ч. 1 ст. 29 Федерального закона «О бухгалтерском учёте» от 6 декабря 2011 г. № 402-ФЗ и иными нормативными правовыми актами.
5.9. Оператор обрабатывает персональные данные соискателей в течение срока, необходимого для принятия решения о приеме либо отказе в приеме на работу. В случае отказа в приеме на работу Оператор прекращает обработку персональных данных соискателя в течение 30 дней в соответствии с ч. 4 ст. 21 ФЗ «О персональных данных». Если соискатель предоставил согласие на внесение его в кадровый резерв, Оператор может продолжить обработку персональных данных в течение срока, указанного в согласии.
5.10. Обработка персональных данных о физических лицах, являющихся представителями контрагентов, учредителями, акционерами, бенефициарами осуществляется без согласия субъектов персональных данных.
5.11. Оператор обрабатывает персональные данные физических лиц по договорам гражданско-правового характера в течение сроков действия, заключенных с ними договоров. Оператор может обрабатывать персональные данные физических лиц по договорам гражданско-правового характера после окончания сроков действия заключенных с ними договоров в течение срока, установленного п. 5 ч. 3 ст. 24 части первой НК РФ, ч. 1 ст. 29 ФЗ «О бухгалтерском учёте» и иными нормативными правовыми актами.
5.12. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.
5.13. Конкретные обязанности по хранению документов возлагаются на лиц, осуществляющих обработку персональных данных, в соответствии с их трудовыми функциями и закрепляются в трудовых договорах, должностных инструкциях и иных регламентирующих документах Оператора.
5.14. Оператор блокирует обрабатываемые персональные данные при выявлении недостоверности обрабатываемых персональных данных или неправомерных действий в отношении субъекта в следующих случаях:
- по требованию субъекта персональных данных;
- по требованию уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзора);
- по результатам внутренних контрольных мероприятий.
Оператор уничтожает персональные данные в следующих случаях:
- по достижению цели обработки персональных данных (в том числе по истечении установленных сроков хранения);
- отзыва субъектом согласия на обработку своих персональных данных, когда это согласие является обязательным условием обработки персональных данных;
- невозможности устранения допущенных при их обработке нарушений;
- получения соответствующего предписания от уполномоченного органа по защите прав субъектов персональных данных.
5.15. При предоставлении ГЩн третьим лицам Оператор соблюдает следующие требования:
- не сообщать ПДн работника третьим лицам, без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, предусмотренных законодательством РФ (для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательствомРоссийской Федерации об исполнительном производстве, по мотивированным запросам правоохранительных органов и иных органов государственной власти в рамках установленных полномочий);
- передавать ПДн работника его законным, полномочным представителям в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми ПДн, которые необходимы для выполнения указанными представителями их функции;
- осуществлять передачу ПДн в пределах Оператора в соответствии с локальными нормативными актами.
5.16. Оператор в целях выполнения требований нормативных документов РФ и выполнения условий договорных отношений предоставляет ПДн следующим третьим лицам:
- Налоговая служба РФ - в целях выполнения требований налогового законодательства, отправки отчетности по работникам Общества. Предоставляются паспортные данные, финансовая информация (сумма начислений за расчетный период по форме № 2-НДФЛ).
- Пенсионный фонд РФ - в целях выполнения требований пенсионного законодательства, отправки отчетности по работникам Общества. Предоставляются паспортные данные, данные о месте жительства, финансовая информация (суммаmначислений за расчетный период, сумма удержанных пенсионных взносов).
- Предоставление ПДн правоохранительным и судебным органам с целью исполнения запросов, полученных от правоохранительных и судебных органов по находящихся в их производстве делам.
- Иным третьим лицам в случаях, предусмотренных законодательством РФ или договором.
Передача ПДн третьим лицам по договору осуществляется на условиях соблюдения конфиденциальности и обеспечения безопасности ПДн, согласно требованиям Федерального закона «О персональных данных».
Пересылка конвертов (пакетов) с документами, содержащими ПДн, может производиться фельдъегерской связью, заказными или ценными почтовыми отправлениями.
5.17. Передача материальных носителей между подразделениями Оператора осуществляется уполномоченными работниками в соответствии с запросом или письменным поручением руководителя подразделения Оператора.
5.18. Передача ПДн при их обработке в информационных системах Оператора осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных и технических мер, обеспечивающих нейтрализацию актуальных угроз безопасности согласно части 5 статьи 19 Федерального закона «О персональных данных».
5.19. Запрещается передача ПДн по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны и через сеть международного информационного обмена (сети связи общего пользования, Интернет) без применения соответствующих организационных и технических мер защиты.
5.20. Передача ПДн через сеть международного информационного обмена (сети связи общего пользования, Интернет) должна осуществляться с применением мер, обеспечивающих сокрытие информации от неавторизованных лиц (криптография, шифрование).
5.21. Передача ПДн, включенных в справочные материалы для внутреннего информационного обеспечения деятельности Оператора, (фамилия, имя, отчество; место работы; занимаемая должность; номера рабочих телефонов; адреса корпоративной электронной почты) между подразделениями Оператора может осуществляться по корпоративным каналам связи.
5.22. Пересылка материальных носителей, непосредственная их передача сторонним адресатам осуществляется только с письменного указания руководителя подразделения Оператора, осуществляющего отправку документа.
5.23. В целях информационного обеспечения у Оператора могут создаваться общедоступные источники персональных данных субъектов, в том числе справочники и адресные книги. В общедоступные источники персональных данных с письменного согласия субъекта могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты и иные персональные данные, сообщаемые субъектом персональных данных. Сведения о субъекте должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта либо по решению суда или иных уполномоченных государственных органов.
5.24. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ-152 «О персональных данных».
5.25. Информация журнала, технологии «cookies» и «web beacons»: Сайты и ПО Оператора производят сбор типовой технической информации журнала сеанса использования, включая IP-адрес, тип и язык используемого системного ПО устройства (операционной системы, браузера), а также данные о времени посещения и адресе веб-сайтов, с которых осуществлялся переход по ссылкам на сайты Оператора. С целью обеспечения эффективного управления сайтами, содействия в настройке интерфейса пользователя ПО, Оператор может использовать файлы cookies (небольшие по размеру текстовые файлы, хранящиеся в браузере посетителя, сохраняющие параметры настройки интерфейса пользователя), технологии web beacons (веб-маяки — электронные изображения, которые используются для учета количества посещений определенной страницы, не собирая при этом никакой идентификационной информации) совместно с tracking pixels (пиксели слежения), технологии сервисов «Яндекс.Метрика» (Яндекс® аналитика) и «Google Analytics» (Google® аналитика), позволяющие сайтам и ПО производить подсчет количества посетителей, зашедших на определенную страницу сайтов и обеспечивать доступ к определенным функциям сайтов и ПО. Собранная типовая техническая информация используется исключительно в статистических целях. Оператор не использует ПДн в целях личной идентификации кого-либо из субъектов ПДн. Используя сайты и ПО, субъект ПДн дает свое согласие на то, чтобы Оператор мог загружать cookie-файлы на устройство субъекта ПДн (формировать их с использованием сайтов и ПО) согласно описанным выше условиям. Субъект ПДн имеет возможность управлять cookie-файлами, обратившись в настройки браузера. Е5 случае удаления cookie- файлов будут удалены все данные о предпочтениях субъекта ПД (в частности о настройках браузера при работе с данными сайтами), включая предпочтение об отказе от использования cookie-файлов. В случае блокирования cookie-файлов изменения могут отразиться на интерфейсе пользователя, и некоторые компоненты сайтов и ПО могут стать недоступными.
5.26. Все сведения, которые относятся к ПДн, ставшие известны Оператору в связи с осуществлением процесса обработки таких данных —- являются конфиденциальной информацией и охраняются действующим законодательством Российской Федерации. Оператор предпринимает соответствующие меры для защиты такой информации. Работники Оператора и иные лица, которые получили доступ к обрабатываемым ПДн в обязательном порядке подписывают обязательство о неразглашении конфиденциальной информации и предупреждаются о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения положений действующего законодательства Российской Федерации в области обработки и защиты ПДн.
6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
6.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки, Оператор актуализирует персональные данные, а обработку прекращает соответственно.
6.2. Оператор уничтожает ПДн в следующих случаях:
- достижения целей обработки ПДн или утраты необходимости в их достижении;
-истечения срока хранения документов;
-в других случаях, предусмотренных законодательством РФ.
6.3. Уничтожение документов, содержащих ПДн, в том числе черновиков, бракованных листов и испорченных копий производиться работниками, выполняющими обработку ПДн.
6.4. Уничтожение документов на бумажном носителе осуществляется с использованием специальных технических средств, либо иными способами, исключающими возможность восстановления данных.
6.5. Уничтожение ПДн хранящихся в АИС, на АРМ и на внешних (съемных) электронных носителях осуществляется путём удаления информации без возможности дальнейшего восстановления.
6.6. В процессе уничтожения ПДн исключается возможность ознакомления посторонних лиц.
6.7. Инвентаризация и отбор к уничтожению ПДн работников Оператора осуществляется на основании соответствующих внутренних локальных нормативных документов.
6.8. Обращения субъектов ПДн (предоставление сведений о порядке обработки ПДн, целях обработки ПДн, отзыв согласия на обработку ПДн и т.п.) обрабатываются подразделениями Оператора, осуществляющими обработку ПДн, в отношении которых поступил запрос.
6.9. В целях реализации своих прав и законных интересов, субъект ПДн вправе обратиться к Оператору за предоставлением информации, касающейся обработки и защиты ПДн, по следующему адресу электронной почты prvoronina@asms.ru или направив письмо по адресу: 109443, Москва, Волгоградский проспект, д.90, корп. 1.
6.10. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором (номер договора, дата заключения договора и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператора, подпись субъекта ПДн или его представителя.
6.11. Запрос может быть также направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
6.12. В случае если в обращении (запросе) субъекта ПДн не отражены указанные сведения, то ему направляется мотивированный отказ.
6.13. В случае если запрашиваемые сведения были предоставлены для ознакомления субъекту ПДн по его запросу, он вправе обратиться повторно к Оператору или направить повторный запрос в целях получения этих сведений и ознакомления с ними не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса.
6.14. До истечения этого срока, субъект ПДн вправе обратиться повторно к Оператору или направить повторный запрос в случае, если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными выше, должен содержать обоснование направления повторного запроса
.6.15. Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона «О персональных данных» в том случае, если доступ субъекта ПДн его ПДн нарушает права и Законные интересы третьих лиц.
6.16. Ответы на письменные запросы субъектов ПДн и организаций направляются инициатору в письменной форме, способом, обеспечивающем конфиденциальность ПДн. Если субъект ПДн или организация не обладают правами доступа к запрашиваемой информации или запрос не соответствует требованиям Федерального закона «О персональных данных», в таком случае подразделением, обрабатывающим запрос, направляется мотивированный отказ в предоставлении запрашиваемой информации.
6.17. Оператор ведет учет обращений (запросов) субъектов ПДн.
7. Заключительные положения
Настоящая Политика является общедоступной.
Настоящая Политика может быть пересмотрена в любом из следующих случаев:
- при изменении законодательства Российской Федерации в области обработки и защиты персональных данных;
- в случаях получения предписаний от компетентных государственных органов на устранение выявленных несоответствий требованиям действующего законодательства в области персональных данных;
- при появлении необходимости в изменении процесса обработки ПДн, связанной с деятельностью Оператора.
Иные права и обязанности Оператора, как оператора персональных данных определяются законодательством Российской Федерации в области персональных данных.
Должностные лица Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.
Контроль исполнения требований настоящей Политики осуществляется должностным лицом:
- ответственным за организацию обработки персональных данных.
Политика конфиденциальности размещена на странице по адресу ПОЛИТИКА ФГАОУ ДПО АСМС В ОТНОШЕНИИ
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обновлено «30» октября 2017г.