Общие положения.
1. Настоящее Положение об обработке и защите персональных данных слушателей (далее – Положение) является локальным актом Автономной некоммерческой организации дополнительного профессионального образования «Учебный центр «МАЭБ» (далее - АНО ДПО «УЦ «МАЭБ»), регулирующим общие требования, порядок обработки и использования персональных данных слушателей АНО ДПО «УЦ «МАЭБ».
Положение разработано на основании нормативных правовых документов:
- Конституция Российской Федерации (ст. 24);
- Федеральный закон от 27.07.2006 № 149-ФЗ (ред. от 09.03.2021) "Об информации, информационных технологиях и о защите информации";
- Федеральный закон от 29 декабря 2012 г. № 273-ФЗ «Об образовании в Российской Федерации»;
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных" (с изменениями и дополнениями;
- Закон Российской Федерации от 07 февраля 1992 г.№ 2300-1 «О защите прав потребителей»;
- Постановление Правительства Российской Федерации от 15 сентября 2020 г. № 1441 «Об утверждении правил оказания платных образовательных услуг»;
- Постановление Правительства Российской Федерации от 5 августа 2013 г. № 662 «Об осуществлении мониторинга системы образования»;
- приказ Министерства образования и науки Российской Федерации от 01 июля 2013 г. № 499 «Об утверждении Порядка организации и осуществления образовательной деятельности по дополнительным профессиональным программам»;
- приказ Минпросвещения России от 26.08.2020 № 438 «Об утверждении Порядка организации и осуществления образовательной деятельности по основным программам профессионального обучения»;
- приказ Минобрнауки России от 23.08.2017 № 816 "Об утверждении Порядка применения организациями, осуществляющими образовательную деятельность, электронного обучения, дистанционных образовательных технологий при реализации образовательных программ";
- Устав Автономной некоммерческой организации дополнительного профессионального образования «Учебный центр «МАЭБ» (далее – АНО ДПО «УЦ «МАЭБ»);
- Положение об организации образовательного процесса АНО ДПО «УЦ «МАЭБ».
2. Положение определяет порядок работы (получения, обработки, использования, хранения и др.) с персональными данными обучающихся в соответствии с законодательством РФ и гарантии конфиденциальности сведений.
3. Персональные данные относятся к категории конфиденциальной информации.
4. Настоящее Положение имеет своей целью закрепление механизмов обеспечения прав обучающихся АНО ДПО «УЦ «МАЭБ» на сохранение конфиденциальности информации о фактах, событиях и обстоятельствах личной жизни.
1. Основные понятия
1.1. В Положении используются следующие понятия:
1.1.1. Оператор персональных данных (далее - оператор) – юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках настоящего Положения оператором является АНО ДПО «УЦ «МАЭБ».
1.1.2. Обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;
1.1.3. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). в том числе его фамилия, имя, отчество, год, месяц, дата рождения, адрес, семейное положение. Имущественное положение, образование, профессия и др. информация о физическом лице.
1.1.4. Субъект - субъект персональных данных. В рамках настоящего Положения субъектом являются слушатели Учебного центра.
1.1.5. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.1.6. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
1.1.7. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
1.1.8. Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или др. лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
1.1.9. Блокирование персональных данных - временное прекращение временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
1.1.10. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
1.1.11. Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
1.1.12. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.2. К персональным данным относятся:
1.2.1. Сведения, содержащиеся в основном документе, удовлетворяющем личность субъекта, в том числе адрес места жительства.
1.2.2. Сведения об образовании, квалификации или наличии специальных знаний или подготовки.
1.2.3. Место работы, должность.
1.2.4. Документы, содержащие информацию по повышению квалификации и переподготовке слушателя.
1.2.5. Номера мобильных телефонов.
2. Обработка персональных данных
2.1. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.2. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
2.3. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
2.4. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2.5. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
2.6. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем
2.7. В целях обеспечения прав и свобод человека и гражданина при обработке персональных данных обязаны соблюдаться следующие требования:
2.7.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения Конституции РФ, законов и иных нормативных актов РФ, обучения, обеспечения личной безопасности субъекта персональных данных, а также в целях обеспечения сохранности принадлежащего ему имущества и имущества оператора.
2.7.2. Персональные данные не могут быть использованы в целях причинения вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.
2.7.3. Субъекты персональных данных, имеют право ознакомиться с документами оператора, устанавливающими порядок обработки персональных субъектов, а также их права и обязанности в этой области.
2.7.4. Субъекты персональных данных не должны отказываться от своих прав на
сохранение и защиту тайн.
2.8. Получение персональных данных.
2.8.1. Все персональные данные следует получать непосредственно от субъекта персональных данных. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку свободно, своей волей и своем интересе.
2.8.2. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
2.8.3. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
2.8.4. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
2.8.5. Письменное согласие не требуется, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.
2.8.6. Согласие на обработку персональных данных может быть отказано субъектом персональных данных.
2.8.7. Запрещается получать и обрабатывать персональные данные субъекта о его политических, религиозных и иных убеждениях и частной жизни.
2.8.8. Запрещается получать и обрабатывать данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.
2.8.9. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись субъекта персональных данных.
3. Хранение и передача персональных данных
3.1. Хранение персональных данных субъектов осуществляется на бумажных и электронных носителях с ограниченным доступом.
3.2. При передаче персональных данных субъекта оператор обязан соблюдать следующие требования:
- Не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта или его законного представителя, за исключением случаев когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, предусмотренных федеральными законами;
- Предупредить лиц, получающих персональные данные субъекта о том, что эти данные могут быть использованы лишь в целях , для которых они сообщены. Лица, получающие персональные данные субъекта, обязаны соблюдать требования конфиденциальности;
- Не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия.
3.3 Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
3.4. Право на внутренний доступ (доступ внутри организации) к персональным данным субъекта имеют:
- Директор;
- Бухгалтер;
- Непосредственные сотрудники по направлению обучения;
- Ответственный за обновление программного обеспечения на ПК;
- Сам субъект, носитель данных.
4. Уничтожение персональных данных
Персональные данные субъектов хранятся не дольше, чем это требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством.
5. Права и обязанности субъектов персональных данных
5.1. Субъект персональных данных или его законный представитель обязан предоставлять персональные данные, соответствующие действительности.
5.2. В целях обеспечения защиты персональных данных субъект имеет право:
- требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, а также в целях ознакомления с обрабатываемыми персональными данными, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса;
- на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
- дополнить персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
- обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона или иным образом нарушает его права и свободы.
5.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
6. Права и обязанности оператора
6.1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами.
6.2. Оператор обязан:
- сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя;
- предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных;
- внести необходимые изменения, в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными;
- уничтожить персональные данные, в срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
- уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
6.3. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан дать (в тридцатидневный срок) в письменной форме мотивированный ответ.
6.4. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса информации. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
6.5. Для защиты персональных данных субъектов оператор обязан:
- предоставить субъекту по его просьбе его персональные данные в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных. Сведения предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя;
- немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных;
- разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
- предоставить субъекту персональных данных следующую информацию:
1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта персональных данных;
5) источник получения персональных данных.
- обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет".
6.6. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
6.7. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.8. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
- полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
- включающих в себя только фамилии, имена и отчества субъектов персональных данных;
- необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях.
6.9. Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных.
Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей.
Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.
7. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
7.1. Директор Учебного центра, разрешающий доступ сотрудника к конфиденциальному документу, содержащему персональные данные, несет персональную ответственность за данное разрешение.
7.2. Лица, виновные в нарушении норм, регулирующих получение, обработку защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Федеральными законами.
7.3. Лица, виновные в нарушении требований Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.