Политика защиты и обработки персональных данных

1. Общие положения

1.1 Настоящая Политика конфиденциальности и обработки персональных данных (далее – Политика) в Автономной некоммерческой организации дополнительного профессионального образования «Международный центр бизнес-образования» (далее - АНО ДПО «МЦБО», Компания, Организация) определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в АНО ДПО «МЦБО».

1.2 Настоящая Политика разработана в соответствии с: 

Трудовым кодексом Российской Федерации (далее – Трудовой кодекс РФ);

Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее –Федеральный закон «О персональных данных»);

Федеральным законом от 25 декабря 2008 г. № 273-ФЗ «О противодействии коррупции» (далее – Федеральный закон «О противодействии коррупции»);

Федеральным законом от 2 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» (далее – Федеральный закон «О порядке рассмотрения обращений граждан Российской Федерации»);

постановлением Правительства Российской Федерации от 6 июля 2008 г. № 512
«Об утверждении требований к материальным носителя биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;

постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке
в информационных системах персональных данных» (далее – Постановление № 1119);

Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

1.3 Обработка персональных данных в Компании осуществляется с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации в области персональных данных, а также настоящей Политикой.

1.4 Текст Политики доступен Субъектам персональных данных в сети Интернет  по доменам: https://yudaevschool24.online , https://yudaevschool24.space , https://yudaevschool.ru/  и их поддоменах.

1.5 Уведомление об отзыве согласия на обработку персональных данных направляется на адрес электронной почты [email protected].

2. Способы дачи согласия на условия, указанные в настоящей Политике

2.1. Пользователи Сайта дают согласие на обработку персональных данных при использовании сайтов  по доменам: https://yudaevschool24.online , https://yudaevschool24.space , https://yudaevschool.ru/  и их поддоменах, в соответствии с настоящей Политикой путем проставления галочки «согласен» или аналогичной ей при регистрации или нажатии на интерфейс Платформы в иных ее частях при наличии указания, что отправка данных осуществляется на условиях указанной Политики.

2.1.1. Дача такого согласия Пользователем Сайта означает также согласие на:

- использование его изображения, при загрузке этого изображения на Платформу или при участии в вебинарах, иных мероприятиях;

- получение Компанией персональных данных Пользователя Сайта от третьих лиц, в целях предоставления Пользователю функциональной возможности услуг по получению (в т.ч. по результатам поиска) релевантных интересам Пользователя товарных предложений и информации;

- записи телефонных разговоров Компанией, для повышения качества обслуживания, а также для сохранения доказательств в случае возникновения споров между Компанией и Пользователем Сайта.

2.1.2. Пользователь Сайта также понимает, что Платформа Компании не является общедоступным источником персональных данных. При этом в случае совершения Пользователем определенных действий его персональные данные могут стать доступны неопределенному кругу лиц, о чем Пользователь Сайта настоящим дает свое согласие.

2.1.3. Если Пользователь Сайта не согласен с условиями настоящей Политики, он не должен регистрироваться на Платформе и должен незамедлительно покинуть Сайт Компании.

2.2. Соискатели/Работники дают свое согласие с настоящей политикой при принятии на работу в Компанию, путем ознакомления и проставления своей подписи в листе согласования, а также подписания согласия на обработку персональных данных по форме Компании. Согласие может быть дано с применением простой электронной подписи в соответствии с локальными актами Компании.

2.2.1. Дача такого согласия Соискателем означает также согласие на:

- использование его изображения в результатах интеллектуальной деятельности Компании и ее рекламе, если трудовая функция или служебное задание такого Работника связаны с созданием результатов интеллектуальной деятельности или рекламы Компании;

- запись телефонных разговоров с использованием корпоративных номеров для сохранения доказательств при возникновении споров и контроля за выполнением Работниками своих трудовых обязанностей.

2.3. Представители Контрагентов, их контактные лица, а также представители субъектов персональных данных, уполномоченные на представление их интересов дают свое согласие на обработку персональных данных фактом обращения в Компанию и предоставления своих данных для коммуникации.

2.4. При обработке персональных данных родственников Работников Компания презюмирует, что Работники, предоставившие такие сведения, получили у родственников согласие на обработку таких персональных данных, если такая обработка осуществляется в иных целях, кроме как соблюдения законодательства РФ или соблюдения интереса Компании.

3. Основные понятия, используемые в настоящей Политике

3.1 Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

3.2 Сайт –  https://yudaevschool24.online , https://yudaevschool24.space , https://yudaevschool.ru/  и их поддомены, которые ссылаются на настоящую Политику конфиденциальности и обработки персональных данных, и через который АНО ДПО «МЦБО» собирает персональные данные любых лиц, посещающих данный Сайт.

3.3 Пользователь Сайта – лицо, которое имеет доступ к Сайту посредством сети Интернет и использует данный Сайт для своих целей (субъект персональных данных).

3.4 IP-адрес – это уникальный сетевой адрес узла в компьютерной сети, который построен по протоколу IP.

3.5 Cookies – это небольшой текстовый файл, который веб-сервер размещает на жестком диске компьютера Пользователя.

3.6 Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

3.7 Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:

- сбор;

- запись;

- систематизацию;

- хранение;

- уточнение (обновление, изменение);

- извлечение;

- использование;

- передачу (распространение, предоставление, доступ);

- обезличивание;

- удаление;

- уничтожение.

3.8. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

3.9. Клиент – физическое лицо, желающее заключить договор оказания услуг с Компанией или заключившее такой договор.

3.10. Субъект персональных данных (Субъект) – физическое лицо, персональные данные которого обрабатываются Компанией.

3.11. Распространение/предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

3.12. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

3.13. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

3.14. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному объекту персональных данных.

3.15. Партнер – физическое или юридическое лицо, с которым Компания вступила в гражданско-правовые отношения.

3.16. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

4. Категории субъектов персональных данных

4.1 К субъектам персональных данных, персональные данные которых обрабатываются в Компании в соответствии с настоящей Политикой, относятся:

  1. работники;
  2. граждане, претендующие на замещение должностей в Компании (далее – Соискатели);
  3. уволенные работники;
  4. родственники работников;
  5. физические лица:
  • состоявшие в договорных и иных гражданско-правовых отношениях с Компанией;
  • персональные данные которых поступили в Компанию в рамках исполнения заключенных Компанией договоров;
  • иные физические лица, выразившие свое согласие на обработку Компанией их персональных данных.

5. Категории персональных данных, обрабатываемых Компанией

5.1 Персональные данные Работника (Соискателя). Информация, предоставляемая Работником и Соискателем при поступлении на работу в Компанию, должна иметь документальную форму. При заключении трудового договора в соответствии со статьей 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет:

- фамилия, отчество, возраст, дата рождения;

- паспортные данные;

- сведения об образовании, специальности, квалификации, трудовом стаже, предыдущем месте работы;

- сведения о повышении квалификации и профессиональной переподготовке, прохождении аттестации;

- занимаемая должность и выполняемая работа;

- сведения о воинском учете;

- сведения о заработной плате и иных доходах Работника;

- сведения о социальных гарантиях и льготах и основаниях их предоставления;

- адрес места жительства, номер телефона;

- сведения о наличии/отсутствии судимости;

- сведения о дисциплинарных взысканиях;

- сведения об особом социальном статусе Работника;

- сведения об иных фактах, дающих основание для предоставление Работникам гарантий и компенсаций, предусмотренных законодательством;

- изображение работника.

5.2. Персональные данные Клиентов:

- фамилия, имя, отчество, возраст, дата рождения;

- паспортные данные;

- адрес места жительства;

- ИНН;

- СНИЛС;

- номер телефона;

- адрес электронной почты;

- сведения об образовании, специальности, квалификации;

- платежные реквизиты;

- информация, которую Клиент самостоятельно вносит при использовании Платформы Компании.

5.3. Персональные данные контрагентов, физических лиц, и индивидуальных предпринимателей и прочих лиц:

- фамилия, имя, отчество;

- паспортные данные;

- адрес места жительства;

- номер телефона;

- ИНН;

- СНИЛС (при заключении договора с физическим лицом);

- сведения о применяемой системе налогообложения;

- сведения о квалификации (при заключении договора с физическим лицом);

- адрес электронной почты;

- платежные реквизиты.

5.4. По общим положениям, обработка специальных персональных данных не осуществляется. К специальным персональным данным относятся:

- сведения о состоянии здоровья;

- сведения о расовой и национальной принадлежности;

- сведения о политических взглядах;

- сведения о религиозных или философских убеждениях;

- сведения о частной жизни.

5.5. Данные, которые автоматически предаются сервисами Сайта в процессе их использования с помощью установленного на устройстве Пользователя программного обеспечения, в том числе IP-адрес, данные файлов cookies, информация о браузере Пользователя(или иной программе, с помощью которой осуществляется доступ к сервисам), технические характеристики оборудования и программного обеспечения, используемых Пользователем, дата и время доступа к сервисам, адреса запрашиваемых страниц и иная подобная информация.

6. Цели и порядок обработки персональных данных субъектов персональных данных

6.1 Персональные данные Работников обрабатываются в целях соблюдения законов и иных нормативно-правовых актов, обеспечения задач кадровой работы, в том числе кадрового учета, делопроизводства, содействия в трудоустройстве и в осуществлении трудовой деятельности, формирования кадрового резерва, обучения и должностного роста, учета результатов исполнения должностных обязанностей, ведения справочной работы, обеспечения установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, противодействия коррупции, а также для реализации полномочий, возложенных законодательством Российской Федерации на Компанию (оператора персональных данных).

6.2 Персональные данные Соискателей обрабатываются в целях обеспечения соблюдения законов Российской Федерации и иных нормативных правовых актов, содействия в трудоустройстве, проверки деловых и личностных качеств, обеспечения соблюдения пропускного и объектового режимов в помещениях Компании, проведения переговоров о заключении трудового договора и заключения трудового договора.
6.3 Персональные данные уволенных Работников – в целях обеспечения соблюдения законов Российской Федерации и иных нормативных правовых актов, в том числе в части бухгалтерского и налогового учета, обеспечения архивного хранения документов, предоставления гарантий и компенсаций, установленных действующим законодательством и внутренними нормативными актами Компании.
6.4 Персональные данные родственников Работников - в целях обеспечения соблюдения законов Российской Федерации и иных нормативных правовых актов, предоставления гарантий и компенсаций Работникам Компании, установленных действующим законодательством и локальными нормативными актами Компании.
6.5 Персональные данные Клиентов – в целях исполнения заключенных договоров оказания платных образовательных услуг, в том числе для:

- установления и поддержания связи;

- осуществления звонков на номер мобильного телефона Клиента для предоставления сервисной информации об услугах Кампании;

- исполнения требований законодательства Российской Федерации при осуществлении образовательной деятельности;

- улучшения качества обслуживания и модернизации Сайта Кампании;

- регистрации Клиента на Онлайн-Платформе и управления учетной записью на Платформе;

- соблюдения законодательства в случае поступления в адрес Компании соответствующего запроса уполномоченных органов;

- реализации партнерских программ с третьими лицами, в том числе рекламных компаний;

- возврата денежных средств;

- статистических целях.

6.6. Персональные данные Пользователей Сайта:

- в целях идентификации Пользователя;

- предоставления Пользователю доступа к персонализированным ресурсам Сайта;
Установления с Пользователем обратной связи, включая направление уведомлений, запросов, касающихся использования Сайта, оказания услуг, обработку запросов и заявок от Пользователя;

- определения места нахождения Пользователя для обеспечения безопасности, предотвращения мошенничества;

- подтверждения достоверности и полноты персональных данных, предоставленных Пользователем;

- создания учетной записи для совершения покупок, если Пользователь дал согласие на создание учетной записи;

- осуществления рекламной деятельности с согласия Пользователя.

6.7 Обработка персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктами 5.1., 5.2., 5.3., 5.4. осуществляется работниками Отдела кадров и работниками иных структурных подразделений Компании, уполномоченными на обработку персональных данных (далее – работники, уполномоченные на обработку персональных данных).

6.8 Обработка персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктами 5.5. и 5.6. осуществляется работниками, уполномоченными на обработку персональных данных.

6.9 Обработка персональных данных субъектов персональных данных включает в себя следующие действия: сбор (получение), запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление уничтожение персональных данных.

6.10 Сбор (получение), запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 5.1. настоящего раздела, осуществляются путем:

- получения оригиналов необходимых документов;

- копирования оригиналов документов;

- внесения сведений в учетные формы (на бумажных и электронных носителях);

- формирования персональных данных в ходе кадровой работы;

- внесения персональных данных в автоматизированные информационные системы, оператором которых является Компания (далее – автоматизированные информационные системы), используемые в целях кадровой работы.

6.11. Сбор (получение), запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных, чьи данные обрабатываются в целях, определенных настоящим разделом.

6.12. При заключении договора оказания платных образовательных услуг Клиент предъявляет:

- паспорт или иной документ, удостоверяющий личность;

- документ, подтверждающий смену фамилии, если такое изменение имело место;

- СНИЛС;

- документ о получении высшего или среднего профессионального образования, либо справка из учебного заведения, подтверждающая получение Клиентом высшего или среднего профессионального образования на момент заключения договора об оказании платных образовательных услуг;

- платежные реквизиты.

6.13. В случае возникновения необходимости получения персональных данных субъектов персональных данных у третьей стороны, следует известить об этом субъектов персональных данных заранее, получить их письменное согласие и сообщить им о целях, предполагаемых источниках и способах получения персональных данных.

6.14. Запрещается получать, обрабатывать и приобщать к документам по кадровому учету работников Компании персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, частной жизни, членства в общественных объединениях, за исключением случаев, предусмотренных Трудовым кодексом и иными федеральными законами.

6.15. При сборе персональных данных работник Компании, уполномоченный на обработку персональных данных, осуществляющий сбор (получение) персональных данных непосредственно от субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 5.1., обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные по типовой форме.

7. Раскрытие (предоставление) персональных данных

7.1 Компания не предоставляет и не раскрывает сведения, содержащие персональные данные физических лиц без письменного согласия субъекта персональных данных, за исключением случаев, установленных федеральными законами.

7.2 Персональные данные субъекта персональных данных без его согласия могу быть переданы:

- в судебные органы в связи с осуществлением правосудия;

- в органы прокуратуры;

- в полицию;

- в Федеральную службу судебных приставов.

8. Права субъектов персональных данных

8.1 Субъекты, персональные данные которых обрабатываются в Компании, имеют право получить информацию относительно персональных данных, обрабатываемых Компанией, в объеме, предусмотренном 152-ФЗ РФ «О персональных данных», а также:

8.1.1 Получать полную информацию о своих персональных данных;

8.1.2 Иметь свободный бесплатный доступ к своим персональным данным, включая право на безвозмездное получение копий любой записи, содержащей персональные данные Субъекта. Сведения о наличии персональных данных должны быть предоставлены Субъекту персональных данных в доступной форме, и они не должны содержать персональных данных, относящихся к другим Субъектам персональных данных. Доступ к своим персональным данным предоставляется Субъекту персональных данных или его представителю при личном обращении, либо при получении соответствующего запроса.

8.1.3 Получать сведения о Компании, о месте ее нахождения, о наличии у Компании сведений о персональных данных, относящихся к соответствующему Субъекту персональных данных.

8.1.4 Требовать от Компании уточнения, исключения или исправления неполных, неверных, устаревших, неточных, незаконно полученных, или не являющихся необходимыми для заявленной цели обработки. А также принимать предусмотренные законом меры по защите своих прав.

8.1.5 Обжаловать в уполномоченный орган по защите прав Субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Компании при обработке и защите его персональных данных.

8.2 Компания вправе раскрывать (предоставлять) персональные данные субъектов персональных данных, в том числе персональные данные, полученные в рамках исполнения Компанией договорных обязательств, третьим лицам, действующим на основании агентских договоров или иных договоров, заключенных ими с Компанией при условии сохранения режима конфиденциальности таких персональных данных.

9. Обезличивание и уничтожение персональных данных

9.1 Обезличивание и уничтожение персональных данных субъектов персональных данных производится в следующих случаях:

9.1.1 по достижении целей их обработки или в случае утраты необходимости в их достижении в срок, не превышающий трех лет с момента достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной является субъект персональных данных, иным соглашением между Компанией и субъектом персональных данных либо если Компания не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами Российской Федерации;
9.1.2 в случае отзыва субъектом персональных данных согласия на обработку его персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных, в срок, не превышающий трех лет с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого является субъект персональных данных, иным соглашением между Компанией и субъектом персональных данных.

9.1.3 в случае истечения срока хранения персональных данных, определяемого в соответствии с законодательством Российской Федерации и внутренними документами Компании.

9.1.4 в случае предписания уполномоченного органа по защите прав субъектов персональных данных, иного уполномоченного органа или решения суда.

9.2 Персональные данные на бумажных носителях должны храниться в сейфах, запираемых металлических шкафах (ящиках).

9.3. Персональные данные хранятся в электронном виде в автоматизированных электронных системах Компании.

9.4. Срок хранения персональных данных, внесенных в автоматизированные информационные системы, должен соответствовать сроку хранения персональных данных на бумажных носителях.

9.5. Персональные данные при их обработке, осуществляемой без использования автоматизированных информационных систем, должны обособляться от иной информации, в частности, путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

9.6. Необходимо обеспечивать раздельное хранение персональных данных
на разных материальных носителях персональных данных, обработка которых осуществляется в разных целях.

9.7. Документы, содержащие персональные данные на бумажном носителе, уничтожаются в порядке, установленном законодательством Российской Федерации
об архивном деле и локальными нормативными актами об организации архивного хранения документов, образующихся в процессе деятельности АНО ДПО «МЦБО».

9.8. Уничтожение по окончании срока обработки персональных данных
на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

10. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

10.1 Работники Организации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъектов персональных данных, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

10.2 Директор Организации за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника, несет административную ответственность согласно действующему законодательству Российской Федерации, а также возмещает работнику ущерб, причиненный неправомерным использованием информации, содержащей персональные данные субъекта персональных данных.

11. Обеспечение безопасности персональных данных

11.1. Компания предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. Персональные данные, полученные Компанией в рамках законных целей, не распространяются, а также не предоставляются третьим лицам без согласия Субъекта персональных данных, если иное не предусмотрено федеральными законами.

11.2. В Компании реализуются следующие требования законодательства в области персональных данных;

11.2.1. требования о соблюдении конфиденциальности персональных данных;

11.2.2. требования к защите персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

11.3. Защита персональных данных достигается путем:

11.3.1. назначения ответственного за обработку и защиту персональных данных;

11.3.2. утверждения настоящей Политики;

11.3.3. Издания внутренних нормативных актов по вопросам обработки персональных данных;

11.3.4. ознакомления работников Компании, допущенных к обработке персональных данных с требованиями, установленными законодательством Российской Федерации в области персональных данных, настоящей Политикой, а также внутренними нормативными актами Компании.

11.3.5. организации надлежащего порядка работы с персональными данными, осуществляемой с использованием средств автоматизации (в том числе, использованием программного обеспечения, разграничения доступа к компьютерам, локальной сети, информационным системам, обрабатывающим персональные данные, установление порядка уничтожения персональных данных в информационных системах);

11.3.6. организации надлежащего порядка работы с персональными данными, осуществляемой без использования средств автоматизации (в том числе, организация надлежащего хранения документов, содержащих персональные данные, установление порядка уничтожения/обезличивания персональных данных, обрабатываемых без средств автоматизации);

11.3.7. организация доступа работников к информации, содержащей персональные данные Субъектов персональных данных, в соответствии с их должностными обязанностями;

11.3.8. осуществление внутреннего контроля и аудита соответствия обработки персональных данных федеральному закону и принятым в соответствии с ним нормативными правовыми актами, требованиям к защите персональных данных, настоящей Политике, внутренним актам Компании.