1.Общие положения
1.1. Обработка персональных данных осуществляется ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "ЦИФРОВЫЕ ОБРАЗОВАТЕЛЬНЫЕ ПРОДУКТЫ" (далее – Организация, оператор) на законной и справедливой основе, основными правовыми основаниями для обработки являются:
- Конституция РФ;
- Гражданский кодекс РФ;
- Трудовой кодекс РФ; в соответствии с требованиями:
- Федеральный закон РФ от 06.04.2011 г. № 63-ФЗ «Об электронной подписи»;
- Федеральный закон РФ от 07.07.2003 г. № 126-ФЗ «О связи»;
- Федеральный закон РФ от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
- Постановление Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
- Постановление Правительства РФ от 21.03.2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
- Устав Организации;
- Договоры и соглашения Организации;
- Согласия субъектов персональных данных.
1.2. Цель настоящей Политики в области обработки и защиты персональных данных ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "ЦИФРОВЫЕ
ОБРАЗОВАТЕЛЬНЫЕ ПРОДУКТЫ" (далее Политика) – обеспечение прав граждан при обработке их персональных данных, и принятие мер от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных субъектов.
1.3. Содержание и объем обрабатываемых персональных данных определяются исходя из целей обработки. Не обрабатываются персональные данные, избыточные или несовместимые по отношению к следующим основным целям:
а) оказания информационно-консультационных услуг в сфере разработки информационных систем;
б) заключение трудовых отношений с физическими лицами, подбор персонала;
в) заключение, продление договорных отношений;
г) идентификация сторон договоров, соглашений, сделок;
д) выполнение договорных обязательств, включая оказание услуг, предоставление прав на использование информационных ресурсов Организации в соответствии с правилами использования, лицензионными соглашениями, а также регистрация, идентификация лиц, являющихся пользователями информационных ресурсов, предоставление доступа к ресурсам и функциям, доступным только для зарегистрированных пользователей;
е) осуществление связи с физическими и юридическими лицами для направления им уведомлений, ответов на запросы, рассылок и информационных сообщений, а также сообщений маркетингового характера для продвижения продуктов и услуг Организации, как с использованием собственных программных продуктов, так и на основании договоров с партнерскими организациями;
ж) участие лиц в акциях и бонусных программах Организации;
з) защита законных интересов Организации, их партнеров и клиентов;
и) противодействие незаконным или несанкционированным действиям, мошенничеству при использовании потребителями и предоставлении потребителям продуктов и услуг Организации, обеспечение информационной безопасности.
1.4. К основным категориям субъектов персональных данных, чьи данные обрабатываются Оператором, относятся:
1.4.1. физические лица, состоящие или состоявшие в трудовых и гражданскоправовых отношениях с Организацией, а также лица, имеющие намерения вступить в такие отношения, например, кандидаты на замещение вакантных должностей;
1.4.2. физические лица, состоящие или состоявшие в трудовых и гражданскоправовых отношениях с контрагентами Организации, а также лица, имеющие намерения вступить в такие отношения;
1.4.3. физические лица, обратившиеся в Организацию с запросами, сообщениями, заявлениями, жалобами, предложениями с использованием контактной информации или средств сбора обратной связи;
1.4.4. участники мероприятий, организованных Организацией или организациями партнерами.
1.5. Передача третьим лицам персональных данных без письменного согласия не допускается. Режим конфиденциальности персональных данных снимается в случаях обезличивания или включения их в общедоступные источники персональных данных, если иное не определено законом.
1.6. Работники, в обязанность которых входит обработка персональных данных субъекта, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом, а также настоящей Политикой.
1.7. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.
1.8. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
1.9. Настоящая Политика утверждается руководителем Организации и является обязательной для исполнения всеми работниками, имеющими доступ к персональным данным субъекта.
1.10. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.
1.11. Действующая редакция хранится в месте нахождения Оператора по адресу: 1253159, Москва, 2-й Амбулаторный проезд, д. 8, стр. 3, пом. 405; электронная версия Политики – на сайте по адресу: https://dep-edu.ru/.
2. Термины и принятые сокращения
2.1. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
2.2. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
2.3. Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.4. Персональные данные, сделанные общедоступными субъектом персональных данных – ПД, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.
2.5. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.6. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.7. Оператор – организация, обрабатывающая персональные данные.
3.Понятие и состав персональных данных
3.1. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (далее – субъекту). К персональным данным субъекта, которые обрабатывает Организация.
3.2. К персональных данным, обрабатываемым Организацией, относятся данные, указанные в Перечне обрабатываемых Организацией данных.
4. Условия и основные принципы обработки, передачи и хранения персональных данных
4.1. Организация ведет обработку персональных данных субъекта с использованием средств автоматизации (автоматизированная обработка), и без использования таких средств (неавтоматизированная обработка).
4.2. Обработка персональных данных должна осуществляться на основе принципов:
а) законности целей и способов обработки персональных данных и добросовестности;
б) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям организации;
в) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
г) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
д) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;
е) уничтожения персональных данных после достижения целей обработки или в случае утраты необходимости в их достижении;
ж) личной ответственности работников организации за сохранность и конфиденциальность персональных данных, а также носителей этой информации.
4.3. Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения ПД, характере подлежащих получению ПД, перечне действий с ПД, сроке, в течение которого действует согласие и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.
4.4. Документы, содержащие ПД создаются путем:
а) копирования оригиналов документов (паспорт, свидетельство ИНН, и др.);
б) получения оригиналов необходимых документов (трудовая книжка, характеристика и др.);
г) получения копий документов по установленным между оператором и субъектом ПД каналам связи.
4.5. Обработка персональных данных осуществляется:
а) с согласия субъекта персональных данных на обработку его персональных данных;
б) в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей;
в) в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных).
5. Сведения о третьих лицах, участвующих в обработке персональных данных
5.1. В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных оператор в ходе своей деятельности предоставляет персональные данные следующим организациям: а) Федеральной налоговой службе Российской Федерации;
б) Пенсионному фонду России; г) Фонду социального страхования Российской Федерации; в) Федеральной службе государственной статистики Российской Федерации;
г) Фонду обязательного медицинского страхования Российской Федерации;
д) Банкам для начисления заработной платы (на основании договора);
е) Правоохранительным органам (в случаях, установленных законодательством);
ж) Кредитным организациям (с согласия субъекта);
з) Лицензирующим и/или контролирующим органам государственной власти и местного самоуправления.
5.2. Оператор может поручать обработку персональных данных другим лицам на основании договора с согласия субъекта персональных данных.
6. Обязанности оператора
6.1. В целях обеспечения прав и свобод человека и гражданина организации при обработке персональных данных субъекта обязано соблюдать следующие общие требования:
а) обработка персональных данных субъекта может осуществляться исключительно в законных целях;
б) персональные данные субъекта следует получать у него самого. Если персональные данные субъекта возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работники Российской Федерации должны сообщить субъектам о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение;
в) Организация не обрабатывает специальные категории персональных данных о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных законом;
г) предоставлять субъекту или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя;
д) хранение и защита персональных данных субъекта от неправомерного их использования или утраты обеспечивается учреждением, за счет его средств в порядке, установленном действующим законодательством Российской Федерации;
е) в случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта либо уполномоченного органа по защите прав субъектов персональных данных Организация обязана осуществить блокирование персональных данных на период проверки;
ж) в случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование;
з) в случае достижения цели обработки персональных данных Организация обязана незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней, и уведомить об этом субъекта, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;
и) в случае отзыва субъектом согласия на обработку своих персональных данных Организация обязана прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней, если иное не предусмотрено соглашением между организацией и субъектом. Об уничтожении персональных данных Организация обязана уведомить субъекта.
7. Особенности обработки сотрудниками / дистанционными работниками персональных данных и меры защиты ПД
7.1. Организация предпринимает необходимые меры защиты при обработке персональных данных (правовые, организационные и технические).
7.2. Меры по организации работы с персональными данными в организации и порядок общения по каналам связи между должностными лицами (в том числе лицами, осуществляющими трудовые обязанности удаленно или лицами, осуществляющими обработку персональных данных по поручению оператора в соответствии с законодательством Российской Федерации на основании заключенных договоров) предпринимаются для решения вопросов, связанных с использованием персональных данных.
7.2.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
7.2.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица. Информация и связанные с ней ресурсы должны быть доступны только для авторизованных пользователей.
7.2.3. Основными мерами защиты ПД, используемыми оператором, являются:
а) назначение приказом лиц ответственных за обработку ПД, которое осуществляет организацию обработки ПД, внутренний контроль за соблюдением оператором и его работниками требований к защите ПД;
б) разработка настоящей Политики в отношении обработки и защиты персональных данных;
в) установление правил доступа к ПД, а также обеспечения учета действий, совершаемых с ПД;
г) установление индивидуальных паролей доступа сотрудников в информационную систему и в аккаунт электронного почтового ящика в соответствии с производственными обязанностями;
д) применение сертифицированного антивирусного программного обеспечения с регулярно обновляемыми базами;
е) соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ посторонних лиц;
ж) обнаружение фактов несанкционированного доступа к персональным данным и принятия мер к его устранению;
з) осуществление внутреннего контроля и аудита.
7.3. Перечень адресов электронной почты, а также иные корпоративные каналы связи, которые используются для передачи любых персональных данных, включая файлы, их содержащие, устанавливаются отдельным локальным актом Организации. Указанный в таком акте перечень адресов и каналов содержит данные, необходимые для доступа в аккаунт, которые являются конфиденциальными и выдаются сотруднику под личную подпись ГПХ – на эл почту.
7.4. Организация предоставляет доступ к информационным системам средств связи с использованием технологии удаленного доступа (сервер провайдера 1dedic (по адресу - https://1dedic.ru/), в том числе к корпоративному чату (по адресу: https://crm.dep-edu.ru/), к сайту оператора (по адресу - https://dep-edu.ru/), аккаунту электронной почты, необходимого для выполнения сотрудниками своих служебных (трудовых) обязанностей.
7.4.1. Допущенному к персональным данным удаленному сотруднику необходимо использовать в работе только компьютерную технику со следующим рекомендованным сертифицированным антивирусным программным обеспечением:
1) ESET NOD32 2) AVIRA ANTIVIRUS
3) Стандартный защитник Windows (Начиная с Windows 10).
7.4.2. В качестве электронного канала связи используется только предоставленный оператором для этих целей канал, в соответствии с п. 7.3 настоящей Политики.
7.5. В случае выявления несанкционированного доступа к персональным данным следует немедленно сообщить непосредственному руководителю, для привлечения ITспециалистов с целью нейтрализации угрозы безопасности ПД.
7.6. Обязанность по организации возможности удаленной работы и(или) допуска работника к защищенной информации в организации, предупреждения и нейтрализации угроз безопасности ПД и информационных систем возлагается на IT-специалистов. В рамках реализации указанных функций IT-специалисты предпринимают следующие действия:
7.6.1. Идентификация и аутентификация субъектов доступа и объектов доступа;
7.6.2. Управление доступом субъектов доступа к объектам доступа;
7.6.3. Ограничение программной среды;
7.6.4. Защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные сотрудниками, допущенными в соответствии с п.7.3., и осуществляющими служебную деятельность по месту нахождения оператора;
7.6.5. Регистрация событий безопасности;
7.6.6. Антивирусная защита персональных компьютеров по месту нахождения оператора;
7.6.7. Обнаружение (предотвращение) вторжений;
7.6.8. Контроль (анализ) защищенности персональных данных;
7.6.9. Обеспечение целостности информационной системы и персональных данных;
7.6.10. Обеспечение доступности персональных данных;
7.6.11. Защита среды виртуализации;
7.6.12. Защита технических средств;
7.6.13. Защита информационных систем, их средств, систем связи и передачи данных собственными мерами оператора либо на основании заключенных договоров;
7.6.14. Выявление инцидентов, которые могут привести к сбоям или нарушению функционирования собственных информационных систем и (или) к возникновению угроз безопасности персональных данных, и реагирование на них.
8. Права субъекта
8.1. Право на доступ к информации о самом себе.
8.2. Право на определение форм и способов обработки персональных данных.
8.3. Право на отзыв согласия на обработку персональных данных.
8.4. Право ограничивать способы и формы обработки персональных данных путём не предоставления его согласия.
8.5. Право требовать изменение, уточнение, уничтожение информации о самом себе.
8.6. Право обжаловать неправомерные действия или бездействия по обработке персональных данных и требовать соответствующей компенсации в суде.
8.7. Право на дополнение персональных данных оценочного характера заявлением, выражающим его собственную точку зрения.
8.8. Право определять представителей для защиты своих персональных данных.
8.9. Право требовать от организации уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них изменениях или исключениях из них.
9. Порядок доступа к персональным данным субъекта
9.1. Персональные данные субъекта могут быть предоставлены третьим лицам только с письменного согласия субъекта.
9.2. Доступ субъекта к своим персональным данным предоставляется при обращении либо при получении запроса субъекта. Оператор обязан сообщить субъекту информацию о наличии персональных данных о нем, а также предоставить возможность ознакомления с ними в течение тридцати рабочих дней с момента обращения или получения запроса.
9.3. Запрос должен содержать номер основного документа, удостоверяющего личность Субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
9.4. Субъект имеет право на получение при обращении или при отправлении запроса информации, касающейся обработки его персональных данных, в том числе содержащей: а) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
б) способы обработки персональных данных, применяемые учреждением;
в) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
г) перечень обрабатываемых персональных данных и источник их получения;
д) сроки обработки персональных данных, в том числе сроки их хранения;
е) сведения о том, какие юридические последствия для субъекта может повлечь за собой обработка его персональных данных.
9.5. Сведения о наличии персональных данных должны быть предоставлены субъекту в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
9.6. Право субъекта на доступ к своим персональным данным ограничивается в случае, если предоставление персональных данных нарушает конституционные права и свободы других лиц.
10. Ответственность за разглашение персональных данных
10.1. Оператор несет ответственность за персональную информацию, которая находится в его распоряжении и закрепляет персональную ответственность работников за соблюдением, установленных в организации принципов уважения приватности.
10.2. Каждый работник Организации, получающий для работы доступ к материальным носителям персональным данных, несет ответственность за сохранность носителя и конфиденциальность информации.
10.3. За нарушение режима конфиденциальности персональных данных виновные лица несут административную, уголовную, гражданско-правовую, а также дисциплинарную ответственность в случаях, предусмотренных действующим законодательством Российской Федерации.
10.4. В случае если нарушение режима конфиденциальности персональных данных повлекло убытки для работодателя, виновный обязан возместить данные убытки в размерах и порядке, определяемых действующим законодательством Российской Федерации.
10.5. Привлечение к ответственности осуществляется в соответствии с приказом руководителя организации, выносимым на основании отчета специально созываемой для расследования каждого факта нарушения режима конфиденциальности персональных данных комиссии.
10.6. Организация обязуется поддерживать систему приема, регистрации и контроля рассмотрения жалоб субъектов, доступную с помощью телефонной, телеграфной или почтовой связи.
10.7. Любое лицо может обратиться к работнику Организации с жалобой на нарушение данной Политики. Жалобы и заявления по поводу соблюдения требований обработки данных рассматриваются в течение тридцати рабочих дней с момента поступления.
10.8. Работники Организации обязаны на должном уровне обеспечивать рассмотрение запросов, заявлений и жалоб субъектов, а также содействовать исполнению требований компетентных органов. Лица, виновные в нарушении требований настоящей Политики, привлекаются к установленной законодательством Российской Федерации ответственности.