Политика в отношении обработки персональных данных

Политика ГБНОУ «Академии цифровых технологий» в отношении обработки персональных данных.

1. Общие положения

1.1. Настоящая Политика ГБНОУ «Академия цифровых технологий» в отношении обработки персональных данных (далее — Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон
о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина
при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Политика действует в отношении всех персональных данных, обработку которых осуществляется в ГБНОУ «Академия цифровых технологий» (далее – Академия/Оператор).

1.3. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.

1.4. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.

1.5. Основные понятия, используемые в Политике:

  • персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
  • оператор персональных данных (оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования.
  • автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
  • распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
  • предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
  • обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
  • информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий
    и технических средств.

2. Цели обработки персональных данных

2.1  ГБНОУ «Академия цифровых технологий» осуществляет обработку персональных данных в следующих целях:

  • осуществления деятельности, предусмотренной Уставом, действующим законодательством Российской Федерации;
  • заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством;
  • организации кадрового учета, обеспечения соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам;
  • ведения бухгалтерского учета;
  • ведения кадрового делопроизводства, содействия сотрудникам в трудоустройстве, обучении
    и продвижении по должности, пользования различного вида льготами, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц,
    а также единого социального налога, пенсионного законодательства при формировании
    и представлении персонифицированных данных о каждом получателе доходов, учитываемых
    при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»,
    «О персональных данных»;
  • осуществления пропускного режима;
  • заполнения и передачи в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
  • работой с обращениями граждан в соответствии с Федеральным законом от 02.05.2006
    № 59 ФЗ «О порядке рассмотрения обращений граждан в Российской Федерации».

3. Правовые основания обработки персональных данных

3.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:

  • Конституция Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • Трудовой кодекс Российской Федерации;
  • Налоговый кодекс Российской Федерации;
  • Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
  • Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
  • Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 №179;
  • Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 14.11.2022 №187;
  • Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27.10.2022 №178;
  • Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 №180;
  • иные нормативные правовые акты, регулирующие отношения, связанные
    с деятельностью Оператора.

3.2. Правовым основанием обработки персональных данных также являются:

  • устав Академии;
  • трудовые договоры, заключаемые между Оператором и субъектами персональных данных;
  • согласие субъектов персональных данных на обработку их персональных данных.

4. Принципы и условия обработки персональных данных

4.1. Принципы обработки персональных данных

Обработка персональных данных осуществляется на основе следующих принципов:

  • ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей;
  • недопущение обработки персональных данных, несовместимой с целями сбора персональных данных;
  • недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях несовместимых между собой;
  • обработки только тех персональных данных, которые отвечают целям их обработки;
  • соответствия содержания и объема обрабатываемых персональных данных
  • заявленным целям обработки;
  • недопущения обработки персональных данных, избыточных по отношению
    к заявленным целям их обработки;
  • обеспечения точности, достаточности и актуальности персональных данных
    по отношению к целям обработки персональных данных;
  • уничтожения либо обезличивания персональных данных по достижении целей
    их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений при обработке персональных данных, если иное не предусмотрено федеральным законом.

4.2. Условия обработки персональных данных

Оператор производит обработку персональных данных при наличии хотя бы одного
из следующих условий:

  • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
  • обработка персональных данных необходима для достижения целей, предусмотренных Законом Российской Федерации, для осуществления и выполнения возложенных законодательством Российской Федерации Оператора функций, полномочий и обязанностей;
  • обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению
    в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных
    или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  • обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей
    при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • осуществляется обработка персональных данных, доступ неограниченного круга лиц
    к которым предоставлен субъектом персональных данных либо по его просьбе
    далее – общедоступные персональные данные);
  • осуществляется обработка персональных данных, подлежащих опубликованию
    или обязательному раскрытию в соответствии с федеральным законом.

В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных рекомендуется указывать условия передачи персональных данных в адрес третьих лиц (например, наличие договора поручения на обработку персональных данных), в том числе, находящихся за пределами Российской Федерации (трансграничная передача).
При этом рекомендуется указать конкретное наименование и местонахождение соответствующих третьих лиц, цели осуществляемой (трансграничной) передачи, объем передаваемых персональных данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

4.3. Конфиденциальность персональных данных

Оператор и иные лица, получившие доступ к персональным данным, обязуются
не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

4.4. Общедоступные источники персональных данных

В целях информационного обеспечения Оператор может создавать общедоступные источники персональных данных субъектов. В общедоступные источники персональных данных
с письменного согласия субъекта могут включаться его фамилия, имя, отчество, адрес электронной почты и иные персональные данные, сообщаемые субъектом персональных данных.

По требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов сведения о субъекте персональных данных исключаются из общедоступных источников персональных данных Оператора.

4.5. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

К категориям субъектов персональных данных могут быть отнесены, в том числе:

  • работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;
  • клиенты и контрагенты оператора (физические лица);
  • представители/работники клиентов и контрагентов оператора (юридических лиц).

4.6. Специальные категории персональных данных

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, состояния здоровья, Оператором не осуществляется,
за исключением случаев, предусмотренных законодательством РФ:

если:

  • субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
  • персональные данные сделаны общедоступными субъектом персональных данных;
  • обработка персональных данных осуществляется в соответствии с законодательством
    о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
  • обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
  • обработка персональных данных осуществляется в соответствии с законодательством
    об обязательных видах страхования, со страховым законодательством.

Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась их обработка, если иное не установлено федеральным законом.

Обработка персональных данных о судимости может осуществляться Оператором исключительно в случаях и в порядке, которые определяются в соответствии
с законодательством Российской.

4.7. Биометрические персональные данные

Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные),
и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться Оператором только при наличии согласия в письменной форме субъекта персональных данных.

4.8. Поручение обработки персональных данных другому лицу

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом,
на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных.

5. Сроки обработки персональных данных

5.1. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, трудовым договором. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости
в достижении этих целей, если иное не предусмотрено федеральным законом.

6. Права субъекта персональных данных

6.1. Согласие субъекта персональных данных на обработку его персональных данных

 Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие
на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное
не установлено федеральным законом.

6.2. Права субъекта персональных данных

Субъект персональных данных имеет право на получение у Оператора информации, касающейся обработки его персональных данных, если такое право не ограничено
в соответствии с федеральными законами. Субъект персональных данных вправе требовать
от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в вышеуказанных целях.

Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы,
за исключением случаев, предусмотренных федеральными законами, или при наличии согласия
в письменной форме субъекта персональных данных.

Субъект персональных данных имеет право на защиту своих прав и законных интересов,
в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

7. Обеспечение безопасности персональных данных

7.1. Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных.

Для предотвращения несанкционированного доступа к персональным данным Оператором применяются следующие организационно-технические меры:

  • назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
  • ограничение состава лиц, имеющих доступ к персональным данным;
  • ознакомление субъектов с требованиями федерального законодательства и нормативных документов Оператора по обработке и защите персональных данных;
  • организация учета, хранения и обращения носителей информации;
  • определение угроз безопасности персональных данных при их обработке;
  • разработка системы защиты персональных данных на основе установленного уровня защищенности персональных данных при их обработке в информационных системах персональных данных и на основе модели угроз;
  • разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации;
  • регистрация и учет действий пользователей информационных систем персональных данных;
  • применение в необходимых случаях средств защиты информации (антивирусных средств, межсетевых экранов, средств обнаружения вторжений, средств анализа защищенности, средств криптографической защиты информации и т.д.);
  • в используемых браузерах настроена автоматическая очистка личных данных
    при их закрытии (кэш, cookies, история посещений и загрузок);
  • организация пропускного режима на территорию Оператора, охраны помещений
    с техническими средствами обработки персональных данных.

7.2. Не допускается раскрытие третьим лицам и распространение персональных данных
без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Согласие на обработку персональных данных не требуется в том случае,
если она осуществляется:

  • с общедоступными персональными данными;
  • на основании федерального закона, устанавливающего его цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке;
  • для статистических или научных целей (при условии обязательного обезличивания персональных данных);
  • требованию полномочных государственных органов — в случаях, предусмотренных федеральным законом.

7.3. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Фонд социального страхования
и другие уполномоченные органы исполнительной власти и организации осуществляется
в соответствии с требованиями законодательства Российской Федерации.

7.4. Под передачей персональных данных понимается операция:

  • по адресному размещению соответствующих данных на носителях и серверах, доступ
    к которым имеют работники Академии либо третьи лица;
  • по размещению персональных данных в источниках внутрикорпоративного документооборота;
  • по опубликованию в интересах Академии персональных данных в СМИ или на серверах Интернета в соответствии с нормами законодательства Российской Федерации.

7.5. Под блокированием персональных данных понимается временный запрет
на осуществление каких-либо операций с персональными данными, которые находятся
в информационных системах Оператора, в случаях, предусмотренных положениями локальных правовых актов Оператора и законодательства Российской Федерации.

7.6. Под хранением персональных данных понимается совокупность операций, направленных на обеспечение целостности соответствующих данных посредством
их размещения в информационных системах Оператора.

7.7. Под уничтожением персональных данных понимается операция по изъятию соответствующих данных из информационных систем Оператора, а также обеспечению невозможности их восстановления.

7.8. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.

8. Заключительные положения

Иные права и обязанности Оператора как оператора персональных данных определяются законодательством Российской Федерации в области персональных данных.

Должностные лица Оператора, виновные в нарушении норм, регулирующих обработку
и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.