Политика государственного автономного учреждения «Центр оценки профессионального мастерства и квалификаций педагогов»

1.      Общие положения

1.1.       Политика государственного автономного учреждения «Центр оценки профессионального мастерства и квалификаций педагогов» (далее - Центр) расположенного по адресу: г. Екатеринбург, ул. Карла Маркса, д. 5,  4 этаж, в отношении обработки персональных данных (далее - Политика) определяет основные принципы обработки персональных данных (далее - ПДн, сокращенно ПДн) и защиты прав субъектов ПДн, ПДн которых обрабатываются Центром (далее - Оператором).

1.2.       Политика разработана в целях обеспечения защиты прав и свобод субъекта ПДн при обработке его ПДн, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.3.       Настоящая Политика является общедоступным документом и подлежит публикации на официальном сайте Оператора в сети Интернет.

1.4.       Действие настоящей Политики распространяется на все операции, совершаемые Оператором с персональными данными с использованием средств автоматизации или без их использования.

1.5.       Настоящая Политика вступает в силу с момента ее утверждения и действует до утверждения её изменения или введения в действие Политики в отношении обработки ПДн в новой редакции.

1.6.       Настоящая Политика сохраняет свое действие в случае изменения наименования организации, расторжения трудового договора с руководителем организации.

1.7.       В случае реорганизации (слияния, присоединения, разделения, выделения, преобразования) организации настоящая Политика сохраняет свое действие в течение всего срока реорганизации, а при ликвидации организации – в течение всего срока проведения ликвидации.

1.8.       В случае изменения организационно-правовой формы организации, настоящая Политика сохраняет свое действие в течение трех месяцев со дня данных изменений.

1.9.       Положения настоящей Политики служат основой для разработки Оператором локальных нормативных актов, детализирующих вопросы обработки и защиты ПДн.

2.      Основные понятия

В настоящей Политике используются следующие основные понятия:

1)            персональные данные, ПДн – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн);

2)            оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с персональными данными;

3)            субъект ПДн – физическое лицо, ПДн которого обрабатываются;

4)            обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;

5)            автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники;

6)            неавтоматизированная обработка ПДн — обработка ПДн выполняемая без использования компьютерных систем, исключительно при участии человека и с применением физических носителей.

7)            информация – сведения (сообщения, данные) независимо от формы их представления;

8)            документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель;

9)            конфиденциальность ПДн – обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным работников, требование не допускать их распространения без согласия работника или иного законного основания.

10)       информационная система ПДн (далее – ИСПДн) – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;

11)       система защиты ПДн – организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки ПДн), а также используемые в информационной системе информационные технологии;

12)       ПДн, разрешенные субъектом ПДн для распространения – ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения;

13)       общедоступные ПДн – ПДн, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

14)       блокирование ПДн - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);

15)       использование ПДн – действия (операции) с персональными данными, совершаемые должностным лицом Оператора в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов ПДн, либо иным образом затрагивающих их права и свободы или права;

16)       обезличивание ПДн – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн;

17)       предоставление (передача) ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;

18)       накопление ПДн — это действия, направленные на формирование исходного, несистематизированного массива ПДн;

19)       распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц;

20)       уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн;

21)       обработка биометрических ПДн — это процесс работы с сведениями, характеризующими физиологические и биологические особенности человека, на основании которых можно установить его личность;

22)       трансграничная передача ПДн - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3.      Правовые основания обработки ПДн

Правовым основанием обработки ПДн являются:

-               Конституция Российской Федерации;

-               Трудовой кодекс Российской Федерации;

-               Гражданский кодекс Российской Федерации;

-               Налоговый кодекс Российской Федерации;

-               Федеральный закон от 27.07.2006 г. № 152-ФЗ «О ПДн» (далее по тексту – Закон о ПДн);

-               Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

-               Федеральный закон от 29.12.2012 г. № 273-ФЗ «Об образовании в Российской Федерации»;

-               иные нормативные правовые акты Российской Федерации;

-               Устав Центра;

-               договоры с контрагентами;

-               договоры, заключаемые между Оператором и субъектами ПДн;

-               согласие субъектов ПДн на обработку ПДн (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Оператора);

-               иные основания, когда согласие на обработку ПДн не требуется в силу закона.

4.  Порядок и условия обработки ПДн

4.1. Обработка ПДн в Центре осуществляется на основе следующих принципов:

– Законности, справедливой основы и прозрачности в отношении Субъекта ПДн;

– Ограничения обработки ПДн достижением конкретных, заранее определенных и законных целей (ограничение цели);

– Недопущения обработки ПДн, несовместимой с целями сбора ПДн;

– Недопущения объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;

– Обработки только тех ПДн, которые отвечают целям их обработки;

– Соответствия содержания и объема обрабатываемых ПДн заявленным целям обработки;

– Недопущения обработки ПДн, избыточных по отношению к заявленным целям их обработки (принцип минимизации ПДн);

– Обеспечения точности, достаточности и актуальности ПДн по отношению к целям обработки ПДн (принцип точности);

– Уничтожения ПДн по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Обществом допущенных нарушений ПДн, если иное не предусмотрено законодательством РФ (принцип ограничения хранения ПДн);

– Обеспечение безопасности ПДн, включая защиту от несанкционированной или незаконной обработки и случайной потери, уничтожения или повреждения, с использованием соответствующих технических или организационных мер (принцип целостности и конфиденциальности).

4.2. Центр не принимает решения, порождающие юридические последствия в отношении Субъекта ПДн или иным образом затрагивающих его права и законные  интересы, на основании исключительно автоматизированной обработки ПДн, за исключением случаев, предусмотренных законодательством РФ, или при наличии согласия в письменной форме Субъекта ПДн.

4.3. Правомерность обработки ПДн основывается на следующих требованиях и условиях:

– Субъект ПДн дал согласие на обработку его ПДн для одной или нескольких целей;

– Обработка необходима в рамках исполнения договора, в т.ч. по поручению контрагента;

– Обработка необходима в рамках соблюдения обязательств Оператора;

– Обработка необходима для защиты жизненно важных интересов Субъекта ПДн.

4.4. Центр производит обработку ПДн, в т.ч. при следующих условиях:

– Обработка ПДн необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъекта ПДн;

– Осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию, в соответствии с законодательством РФ.

4.5. Центр осуществляет действия с ПДн: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, уничтожение.

4.6. Обработка ПДн в Центре осуществляется следующими способами:

– Неавтоматизированная обработка ПДн;

– Автоматизированная обработка ПДн с телекоммуникационных сетям или без таковой;

– Смешанная обработка ПДн.

4.7. В целях информационного обеспечения Центра могут создаваться внутренние справочные материалы с письменного согласия Субъекта ПДн. 

4.8. Центр вправе разместить свои информационные системы с обрабатываемыми ПДн в центрах обработки данных, облачной вычислительной инфраструктуре.

4.9. Центр и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия Субъекта ПДн, если иное не предусмотрено законодательством РФ.

    4.10. Центр не осуществляет обработку специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, судимости физических лиц, за исключением сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения работником/работником контрагента трудовой функции в соответствии с законодательством РФ.

4.11. Центр вправе поручить обработку ПДн другому лицу с согласия Субъекта ПДн, если иное не предусмотрено законодательством РФ. Центр несет ответственность перед Субъектом ПДн за действия лиц, которым Центр поручает обработку ПДн. Такая обработка ПДн осуществляется только на основании договора, заключенного между Центром и третьим лицом, в котором должны быть определены:

– Перечень действий (операций) с ПДн, которые будут совершаться третьим лицом, осуществляющим обработку ПДн;

– Цели обработки ПДн;

– Обязанности третьего лица соблюдать конфиденциальность ПДн и обеспечивать их безопасность при обработке, а также требования к защите обрабатываемых ПДн, установленных законодательством РФ.

4.12. Центр вправе передавать ПДн Субъектов ПДн третьим лицам, в т.ч. контрагентам Центра, организаторам перевозок и другим юридическим лицам, только с согласия Субъекта ПДн, если иное не предусмотрено законодательством РФ, на основании заключаемого с третьими лицами договора. Все третьи лица, которым осуществляется передача ПДн Субъектов ПДн, обязаны соблюдать принципы и правила обработки ПДн, предусмотренные законодательством РФ.

4.12. Центр вправе передавать ПДн органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным законодательством РФ, без согласия Субъекта ПДн.

4.13. ПДн Субъектов ПДн, обрабатываемые Центром, подлежат уничтожению в случае:

– Достижения целей обработки ПДн или утраты необходимости в достижении этих целей;

– Отзыва согласия Субъекта ПДн на обработку его ПДн (за исключением случаев, предусмотренных законодательством РФ);

– Получение от Субъекта ПДн требования об удалении его ПДн (за исключением случаев, предусмотренных законодательством РФ);

– Прекращения деятельности Общества.

4.14. Хранение ПДн осуществляется в форме, позволяющей определить Субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, кроме случаев, когда срок хранения ПДн не установлен законодательством РФ, договором с контрагентом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект ПДн.

4.15. При сборе ПДн, в т.ч. посредством сети «Интернет», Центром обеспечена запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ.

4.16. В случае подтверждения факта неточности ПДн или неправомерности их обработки в Центре, ПДн подлежат актуализации, а обработка их прекращается.

4.17. При достижении целей обработки ПДн, а также в случае отзыва Субъектом ПДн согласия на их обработку ПДн подлежат уничтожению, если:

– Иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект ПДн;

– Оператор не вправе осуществлять обработку без согласия Субъекта ПДн на основаниях, предусмотренных законодательством РФ;

– Иное не предусмотрено иным соглашением между Оператором и контрагентом и / или Оператором и Субъектом ПДн.

4.18. При обращении или запросе в письменной или электронной форме Субъекта ПДн или его законного представителя, на доступ к своим ПДн Центр при подготовке ответа на такое обращение или исполнении такого запроса руководствуется требованиями законодательства РФ, а также условиями договора с контрагентом (если применимо).

В зависимости от информации, предоставленной в запросе, принимается решение о предоставлении доступа Субъекту ПДн (его законному представителю) к его ПДн, обрабатываемым в Обществе.

В случае, если данных предоставленных Субъектом ПДн или его законным представителем недостаточно для идентификации Субъекта ПДн или предоставление ПДн нарушает конституционные права и свободы других лиц, Центр подготавливает мотивированный ответ, содержащий ссылку на положение ч. 8 ст. 14 ФЗ-152 или иного федерального закона, являющего основанием для такого отказа, в срок, не превышающий 10 рабочих дней со дня обращения Субъекта ПДн или его законного представителя.

Сведения о наличии ПДн предоставляются Субъекту ПДн при ответе на запрос в течение 10 рабочих дней с даты получения такого запроса.

В соответствии с ч. 4 ст. 20 ФЗ-152 Центр обязан сообщить в Уполномоченный орган по защите прав Субъектов ПДн (далее – РКН) по запросу информацию, необходимую для осуществления полномочий РКН, в течение 10 рабочих дней с даты получения такого запроса.

Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Обществом в адрес РКН мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

5.      Цели обработки ПДн

Обработка ПДн осуществляется для достижения конкретных, заранее определенных и законных целей:

– заключение и прекращение трудовых договоров, договоров гражданско-правового характера;

– организация кадрового делопроизводства и бухгалтерского учета учреждения, обеспечение соблюдения законов;

– организация и проведение процедур добровольной независимой оценки профессиональной квалификации педагогических кадров;

– организация и проведение различных мероприятий;

– привлечение и отбор кандидатов на работу в учреждение, в т.ч. предоставление обратной связи кандидатам на вакансии;

– обратная связь с субъектами ПДн, в том числе обработка их запросов и обращений;

– исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физических лиц, взносов во внебюджетные фонды и страховых взносов во внебюджетные фонды, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование;

– осуществление иных функций, полномочий и обязанностей, возложенных на Оператора законодательством РФ.

6.      Категории субъектов ПДн

К категориям субъектов ПДн в целях настоящей Политики относятся:

-               Работники Оператора;

-               Бывшие работники Оператора;

-               Родственники работников Оператора;

-               Кандидаты на замещение вакантных должностей;

-               Пользователи сайта Оператора;

-               Соискатели на прохождение профессионального экзамена по независимой оценке квалификации;

-               Участники мероприятий;

-               Посетители оператора;

-               Индивидуальные предприниматели и представители юридических лиц оказывающие услуги Оператору;

7.      Объем обрабатываемых ПДн по категориям и категории субъектов ПДн

В целях, определенных п. 4 настоящей Политики, Оператором обрабатываются следующие категории ПДн, с применением действий и способов обработки ПДн:

Категории субъектов ПДн	Категории ПДн	Действия	Способы обработки
Работники/бывшие работники	- - фамилия, имя, отчество; - - пол; - - дата рождения (число, месяц, год); - - место рождения (страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт); - - реквизиты документа, удостоверяющего личность (тип, серия и (или) номер, наименование выдавшего органа, дата выдачи, адрес регистрации, дата регистрации по месту жительства); - - адрес фактического проживания (страна, область/край/округ, область, населенный пункт, улица, номер дома, квартира); - - уровень образования, реквизиты документа об образовании (вид документа, серия и номер, населенный пункт, образовательная организация, уровень образования, квалификация, год окончания, дата выдачи); - - документы о дополнительном образовании и профессиональной переподготовке (вид документа, серия и номер, населенный пункт, образовательная организация, квалификация, год окончания, дата выдачи); - данные трудовой книжки, вкладыша в трудовую книжку; - - идентификационный номер налогоплательщика (дата (число, месяц, год) и место постановки на учет, дата (число, месяц, год) выдачи свидетельства); - - страховой номер индивидуального лицевого счета; - - семейное положение; - - данные о ближайших родственниках; - - количество детей; - - наличие несовершеннолетних детей и лиц находящихся на иждевении; - - гражданство; - фотография; - контактные данные (фактический адрес, телефон, адрес электронной почты); - данные предварительного медицинского осмотра; - сведения о наградах, иных поощрениях и знаках отличия (название награды, поощрения, знака отличия, дата (число, месяц, год) присвоения, реквизиты документа о награждении или поощрении); - сведения о семейном положении (состояние в браке (холост (не замужем), женат (замужем), повторно женат (замужем), разведен(а), вдовец (вдова), с какого времени в браке, с какого времени в разводе, состав семьи, реквизиты свидетельства о заключении брака); - сведения о воинском учете (реквизиты удостоверения об отсрочке, приписного свидетельства, военного билета, сведения о воинском учете, дата постановки на учет, военкомат по месту постановки на учет, группа и категория учета, воинское звание, военная учетная специальность, прохождение военных сборов, специальный учет, номер команды, примечания)	-     сбор; -     систематизация; -     накопление; -     хранение; -     уточнение (обновление, изменение); -     использование; -     уничтожение.	-автоматизированный; -неавтоматизированный.
Родственники работников Оператора;	- - фамилия, имя, отчество; - - пол; - - дата рождения (число, месяц, год); - - место рождения (страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт); - - свидетельство о рождении (тип, серия и (или) номер, наименование выдавшего органа, дата выдачи, адрес регистрации, дата выдачи); - сведения о семейном положении (реквизиты свидетельства о заключении брака);	-     сбор; -     систематизация; -     накопление; -     хранение; -     уточнение (обновление, изменение); -     использование; -     уничтожение.	-автоматизированный; -неавтоматизированный.
Кандидаты на замещение вакантных должностей	- - фамилия, имя, отчество; - - пол; - - возраст; - - гражданство; - - сведения о желаемой работе (должность, профессия, график работы, готовность к командировкам, уровень желаемой заработной платы); - - контактная информация (электронный адрес, номер телефона); - - опыт работы (стаж, периоды работы, наименование работодателя, занимаемые должности, сфера деятельности, населённый пункт); - - должностные обязанности, опыт, навыки; - - уровень образования, образовательная организация, специальность, квалификация, год окончания, номер документа; - - сведения о дополнительном образовании и/или профессиональной переподготовке, повышении квалификации (образовательная организация, специальность, квалификация, год окончания, номер документа); - - семейное положение; - - наличие детей до 18 лет; - - наличие жилья.	-     сбор; -     систематизация; -     накопление; -     хранение; -     уточнение (обновление, изменение); -     использование; -     уничтожение.	-автоматизированный. -неавтоматизированный.
Пользователи сайта Оператора	- фамилия, имя, отчество(полностью); - муниципальное образование; - населенный пункт; - наименование образовательной организации; - занимаемая должность; - преподаваемый предмет (при условии заполнения соответствующей строки); - квалификационная категория (при условии заполнения соответствующей строки); - номер телефона; - электронная почта; - логин и пароль; - ip-адрес.	-     сбор; -     систематизация; -     накопление; -     хранение; -     уточнение (обновление, изменение); -     использование; –    уничтожение.	-автоматизированный; -неавтоматизированный.
Соискатели на прохождение профессионального экзамена по независимой оценке квалификации	- - фамилия, имя, отчество; - - пол; - - дата рождения (число, месяц, год); - - место рождения (страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт); - - реквизиты документа, удостоверяющего личность (тип, серия и (или) номер, наименование выдавшего органа, дата выдачи, адрес регистрации, дата регистрации по месту жительства); - - занимаемая должность; - - уровень образования, реквизиты документа об образовании (вид документа, серия и номер, населенный пункт, образовательная организация, уровень образования, квалификация, год окончания, дата выдачи); - - документы о дополнительном образовании и профессиональной переподготовке (вид документа, серия и номер, населенный пункт, образовательная организация, квалификация, год окончания, дата выдачи); - идентификационный номер налогоплательщика (только номер); - сведения о наградах, иных поощрениях и знаках отличия (название награды, поощрения, знака отличия, дата (число, месяц, год) присвоения, реквизиты документа о награждении или поощрении); - - страховой номер индивидуального лицевого счета; - - фотография; - контактные данные (фактический адрес, телефон, адрес электронной почты); -биометрия;	-     сбор; -     систематизация; -     накопление; -     хранение; -     уточнение (обновление, изменение); -     использование; –   уничтожение.	-автоматизированный; -неавтоматизированный.
Участники мероприятий	- - фамилия, имя, отчество; - - пол; - - ОГРН образовательной организации; - - место работы (наименование); - - дата рождения (число, месяц, год); - - место рождения (страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт); - - реквизиты документа, удостоверяющего личность (тип, серия и (или) номер, наименование выдавшего органа, дата выдачи, адрес регистрации, дата регистрации по месту жительства); - - сведения о званиях, наградах, иных поощрениях и знаках отличия (название награды, поощрения, знака отличия, дата (число, месяц, год) присвоения, реквизиты документа о награждении или поощрении); - - идентификационный номер налогоплательщика; - - страховой номер индивидуального лицевого счета; - - адрес места работы; - - занимаемая должность; - - преподаваемый предмет; - - уровень образования; - - наименование учебного заведения и годы окончания; - - специальность по диплому; - - квалификация по диплому; - - квалификационная категория; - - педагоческий стаж (при условии заполнения этой графы); - номер телефона; - электронная почта; - номер телефона и электронная почта места работы; - фамилия, имя, отчество директора и куратора (работодателя); - номер телефона и электронная почта, должность куратора;	-     сбор; -     систематизация; -     накопление; -     хранение; -     уточнение (обновление, изменение); -     использование; –   уничтожение.	-автоматизированный; -неавтоматизированный.
Посетители оператора	- - фамилия, имя, отчество; - - место работы (наименование); - - занимаемая должность; - - подпись; - - дата посещения; - -фото и видеофиксация;	-     сбор; -     систематизация; -     накопление; -     хранение; -     уточнение (обновление, изменение); -     использование; –   уничтожение.	-автоматизированный; -неавтоматизированный.
Индивидуальные предприниматели и представители юридических лиц оказывающие услуги Оператору	- - фамилия, имя, отчество представителя; - - должность; - - наименование организации; - - банковские реквизиты; - - подпись; - номер телефона; - электронная почта;	-     сбор; -     систематизация; -     накопление; -     хранение; -     уточнение (обновление, изменение); -     использование; –   уничтожение.	-автоматизированный; -неавтоматизированный.

                                                 8. Права субъекта ПДн

8. 1. Субъект ПДн вправе требовать от Оператора:

- уточнения его ПДн;

- блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

- принимать предусмотренные Законом о ПДн меры по защите своих прав.

8.2. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:

1) подтверждение факта обработки ПДн Оператором;

2) правовые основания и цели обработки ПДн;

3) применяемые оператором способы обработки ПДн;

4) наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федеральных законов;

5) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки ПДн, в том числе сроки их хранения;

7) порядок осуществления субъектом ПДн прав, предусмотренных Законом о ПДн;

8) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;

9) информацию о мерах, направленных на обеспечение выполнения Оператором обязанностей, предусмотренных Законом о ПДн;

10)   иные сведения, предусмотренные федеральными законами Российской Федерации.

8.3. Сведения, указанные в п. 8.2. настоящей Политики, должны быть предоставлены субъекту ПДн в доступной форме и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.

8.4. Сведения, указанные в п. 8.2. настоящей Политики, предоставляются субъекту ПДн или его представителю Оператором в течение 10 (десяти) рабочих дней с момента обращения либо получения Оператором запроса субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Оператором, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Оператор предоставляет сведения, указанные в п. 8.2. настоящей Политики, субъекту ПДн или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

8.5. В случае, если сведения, указанные в п. 8.2. настоящей Политики, а также обрабатываемые ПДн, были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в п. 8.2. настоящей Политики, и ознакомления с такими персональными данными не ранее чем через 30 (тридцать) дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.

8.6.       Субъект ПДн вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в п. 8.2. настоящей Политики, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п. 8.5. настоящей Политики, в случае, если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п. 8.4. настоящей Политики, должен содержать обоснование направления повторного запроса.

8.7.       Оператор вправе отказать субъекту ПДн в выполнении повторного запроса, не соответствующего условиям, предусмотренным п.п. 8.5, 8.6. настоящей Политики. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.

8.8.        Право субъекта ПДн на доступ к его персональным данным может быть ограничено в случаях, установленных федеральными законами.

8.9.       Если субъект ПДн считает, что Оператор осуществляет обработку его ПДн с нарушением требований Закона о ПДн или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.

8.10.   Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

9.      Порядок и условия обработки ПДн

9.1.    Оператор осуществляет обработку - сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

9.2.    Обработка ПДн осуществляется с соблюдением принципов и правил, предусмотренных Законом о ПДн, иными федеральными законами и нормативными правовыми актам Российской Федерации.

9.3.    Обработка ПДн Оператором ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только ПДн. Не допускается несоответствие заявленным целям обработки ПДн их содержания и объема.

9.4.    Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому, является субъект ПДн.

9.5.    Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

9.6.    Условием прекращения обработки ПДн может являться:

– Достижение целей обработки ПДн или в случае утраты необходимости в достижении этих целей;

– Достижение окончания срока хранения ПДн;

– Истечение срока действия согласия или отзыв согласия субъекта ПДн на обработку его ПДн;

– Выявление неправомерной обработки ПДн при обращении субъекта ПДн или его представителя, либо по запросу субъекта ПДн или его представителя, либо по запросу уполномоченного органа по защите прав субъектов ПДн Оператор осуществляет блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки;

– Выявление неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн Оператор осуществляет блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.

– Прекращение деятельности Оператора (ликвидация или реорганизация);

 - Наступление иных законных оснований.

9.7.    Оператор вправе поручить обработку ПДн другому лицу на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта. Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Законом о ПДн, соблюдать конфиденциальность ПДн, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о ПДн.

9.8.    Оператор, должностные лица и работники Оператора, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

9.9.    Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, оформляется отдельно от иных согласий субъекта ПДн на обработку его ПДн. Оператор обязан обеспечить субъекту ПДн возможность определить перечень ПДн по каждой категории ПДн, указанной в согласии на обработку ПДн, разрешенных субъектом ПДн для распространения.

9.10.   Оператор при обработке ПДн принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн, в том числе:

1)        назначение лица, ответственного за организацию обработки ПДн;

2)        принятие локальных нормативных актов и иных документов в области обработки и защиты ПДн;

3)        определение угроз безопасности ПДн при их обработке в информационных системах ПДн;

4)        применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах;

5)        получение согласий субъектов ПДн на обработку их ПДн, за исключением случаев, предусмотренных законодательством Российской Федерации;

6)        осуществление внутреннего контроля за принимаемыми мерами по обеспечению безопасности ПДн;

7)        иные меры, предусмотренные законодательством Российской Федерации и локальными нормативными актами Оператора в области ПДн.

10. Защита ПДн

В соответствии с требованиями правовых оснований обработки ПДн п.3 Оператором создана система защиты ПДн (далее - СЗПД), состоящая из подсистем правовой, организационной и технической защиты.

1) Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование системы защиты ПДн.

2) Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с:

-               Работниками Оператора;

-               Бывшими работниками Оператора;

-               Родственниками работников Оператора;

-               Кандидатами на замещение вакантных должностей;

-               Пользователями сайта Оператора;

-               Соискателями на прохождение профессионального экзамена по независимой оценке квалификации;

-               Участниками мероприятий;

-               Посетителями оператора;

-               Индивидуальными предпринимателями и представителями юридических лиц оказывающими услуги Оператору;

3) Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПДн.

Основными мерами защиты ПДн, используемыми Оператором, являются:

Назначение лица, ответственного за обработку ПДн в организации, которое осуществляет организацию обработки ПДн, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите ПДн.

Определение актуальных угроз безопасности ПДн при их обработке в ИСПД и разработка мер и мероприятий по защите ПДн.

Разработка политики в отношении обработки ПДн.

Установление правил доступа к ПДн, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПД.

Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.

Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.

Соблюдение условий, обеспечивающих сохранность ПДн и исключающих несанкционированный к ним доступ.

Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.

Восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

Обучение работников Оператора, непосредственно осуществляющих обработку ПДн, положениям законодательства РФ о ПДн, в том числе требованиям к защите ПДн, документам, определяющим политику Оператора в отношении обработки ПДн, локальным актам по вопросам обработки ПДн.

Осуществление внутреннего контроля и аудита.

Под инцидентом следует понимать любой факт, повлекший неправомерную передачу (предоставление, распространение, доступ) ПДн. Операторы обязаны уведомлять Роскомнадзор о таких фактах, повлекших нарушение прав субъектов ПДн.

Уведомление может быть первичным (должно быть представлено в течение 24 часов) или дополнительным (предоставляется в течение 72 часов).

Первичное уведомление должно содержать сведения о произошедшем инциденте, его возможных причинах, предполагаемом вреде субъекту ПДн, а также возможные меры по устранению вреда.

Дополнительное уведомление должно содержать сведения о результатах внутреннего расследования инцидента с указанием виновных лиц в случае, если в ходе расследования они были выявлены.

11. Актуализация, исправление, удаление

и уничтожение ПДн

11.1.        Оператор обязан предоставить безвозмездно субъекту ПДн или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту ПДн. В срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий 7 (семи) рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие ПДн. Оператор обязан уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.

11.2.   В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя либо уполномоченного органа по защите прав субъектов ПДн, Оператор обязан осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя, либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн, Оператор обязан осуществить блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.

11.3.   В случае подтверждения факта неточности ПДн, Оператор на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов обязан уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в течение 7 (семи) рабочих дней со дня представления таких сведений и снять блокирование ПДн.

11.4.   В случае выявления неправомерной обработки ПДн, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки ПДн невозможно, Оператор в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки ПДн, обязан уничтожить такие ПДн или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн Оператор обязан уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.

11.5.   В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, Оператор обязан с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов ПДн или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов ПДн:

1)                 в течение 24 (двадцати четырех) часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов ПДн, по вопросам, связанным с выявленным инцидентом;

2)                  в течение 72 (семидесяти) двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

11.6.   В случае достижения цели обработки ПДн Оператор обязан прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Оператором и субъектом ПДн либо, если Оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Законом о ПДн или другими федеральными законами.

11.7.   В случае отзыва субъектом ПДн согласия на обработку его ПДн Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Оператором и субъектом ПДн либо, если Оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных федеральными законами.

11.8.   В случае обращения субъекта ПДн к Оператору с требованием о прекращении обработки ПДн, Оператор в срок, не превышающий 10 (десяти) рабочих дней с даты получения им соответствующего требования, обязан прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку ПДн), за исключением случаев, предусмотренных федеральными законами. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

11.9.   В случае отсутствия возможности уничтожения ПДн в течение срока, указанного п.п. 10.1., 10.3., 10.5.-10.8. настоящей Политики, Оператор осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение ПДн в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.

11.10.    После истечения срока нормативного хранения документов, содержащих ПДн субъекта, или при наступлении иных законных оснований документы подлежат уничтожению. Условия и порядок уничтожения ПДн определены отдельным локальным нормативным актом Оператора.

12. Трансграничная передача ПДн

Оператором не осуществляется трансграничная передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

13. Обработка биометрических ПДн

Оператор не осуществляет обработку сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические ПДн), которые могут использоваться Центром для установления личности Субъекта ПДн. Центр не рассматривает фотографические изображения Субъектов ПДн, используемых им при осуществлении своей деятельности, как биометрические ПДн, в случаях, если не используется биометрическая система распознавания лица.

14. Ответственность за нарушение норм, регулирующих обработку

и защиту ПДн

Оператор, должностные лица и работники Оператора, виновные в нарушении положений законодательства Российской Федерации и внутренних локальных нормативных актов Оператора в области ПДн, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

15. Заключительные положения

14.1. Субъект ПДн может получить любые разъяснения по интересующим вопросам, касающимся обработки его ПДн, обратившись к Оператору с помощью электронной почты cok-66@ya.ru

14.2. Субъект ПДн может обновить, изменить или удалить ПДн, которые он предоставил, отправив соответствующий запрос на адрес электронной почты cok-66@ya.ru Также необходимо принять во внимание, что возможно сохранение части информации в той мере, в которой это необходимо для исполнения юридических обязательств, урегулирования споров, предотвращения мошенничества и защиты законных интересов

Оператора Центра). 

           14.3. Политика действует бессрочно и до замены ее новой версией. В новой версии будут отражены любые изменения Политики обработки ПДн Оператором.

14.4. Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу https://cok66.ru/