Политика обработки персональных данных.
Общие положения.
Настоящая Политика обработки персональных данных (далее – Политика) определяет порядок обработки персональных данных в АНО ДПО УМКЦ «ЭНЕРГИЯ» (далее – Компания, Оператор), в том числе содержит описание мер по защите персональных данных, реализуемых Компанией. Политика разработана в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» (далее – Федеральный закон).
Для целей реализации настоящей Политики используются следующие основные понятия:
— персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
— оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
— обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
— автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
— распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
— предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
— блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
— уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
— обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
— информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Принципы и условия обработки персональных данных.
Принципы обработки персональных данных:
— Обработка персональных данных осуществляется на законной и справедливой основе.
— Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.
— Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
— Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
— Обрабатываются только те персональные данные, которые отвечают целям их обработки.
— Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки.
— При обработке персональных данных обеспечивается их точность и достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
— Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Условия обработки персональных данных.
Компания может производить обработку персональных данных:
— с согласия субъекта персональных данных на обработку его персональных данных;
— для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных на Оператора функций, полномочий и обязанностей;
— для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
— для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
— для осуществления информационной поддержки о всем спектре услуг и возможностей компании;
— в случае предоставления доступа к ним неограниченного круга лиц субъектом персональных данных либо по его просьбе (общедоступные персональные данные);
— в других случаях, предусмотренных Федеральным законом.
Специальные категории персональных данных.
Обработка Компанией специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, личной жизни, допускается в случаях, если:
— субъект персональных данных дал согласие в письменной форме на обработку этих персональных данных;
— персональные данные специальных категорий сделаны общедоступными субъектом персональных данных;
— обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
— обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
Биометрические персональные данные.
Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются Компанией для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия субъекта в письменной форме.
Поручение обработки персональных данных от другого лица.
Компания вправе осуществлять обработку персональных данных по поручению другого лица с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Компания при обработке персональных данных по поручению другого лица, обязана соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом.
Передача персональных данных.
Для достижения бизнес-целей Компании АНО ДПО УМКЦ «ЭНЕРГИЯ» может предоставлять обрабатываемые персональные данные субъекта организациям, с которыми у Компании заключен договор на оказание услуг. При этом Компания предупреждает организации, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требует от этих лиц подтверждения того, что это правило соблюдено.
Права субъекта персональных данных.
Согласие субъекта персональных данных на обработку его персональных данных.
Субъект персональных данных принимает решение о предоставлении его персональных данных и даёт согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
Подписывая Согласие на обработку персональных данных или проставляя галочку в соответствующем разделе на сайте Компании в соответствии с Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных» субъект персональных подтверждает свое согласие на обработку персональных данных АНО ДПО УМКЦ «ЭНЕРГИЯ» (г. Петрозаводск, пр-т А. Невского, 68) с целью информирования его о предоставлении услуг Компании, содействия в обучении, последующего сопровождения в случае необходимости.
При этом под персональными данными понимается любая информация, относящаяся к субъекту персональных данных, в том числе: фамилия, имя, отчество, биометрические персональные данные (фотография), гражданство, год, месяц, дата и место рождения, адрес (место жительства и место регистрации), контактные телефоны, адрес личной электронной почты, паспортные данные, семейное, социальное и имущественное положение, профессия, сведения о профессиональной деятельности (места работы и занимаемые должности), состояние здоровья, сведения об образовании и другая информация.
Согласие на обработку персональных данных действует со дня его подписания и может быть отозвано субъектом персональных данных, в этом случае Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, установленных Федеральным законом.
Права субъекта персональных данных.
Субъект персональных данных имеет право на получение у Компании информации, касающейся обработки его персональных данных, если такое право не ограничено федеральными законами. Субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путём осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных.
Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральным законодательством, или при наличии согласия в письменной форме субъекта персональных данных.
Если субъект персональных данных считает, что Компания осуществляет обработку его персональных данных с нарушением требований федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Компании в Уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.
Обеспечение безопасности персональных данных.
Безопасность персональных данных, обрабатываемых Компанией, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных.
Для предотвращения несанкционированного доступа к персональным данным Компанией применяются следующие организационно-технические меры:
— назначение должностных лиц, ответственных за организацию обработки персональных данных;
— внутренний контроль соответствия обработки персональных данных требованиями федерального законодательства и нормативных документов Компании по обработке и защите персональных данных, требованиям к защите персональных данных;
— размещение в открытом доступе в интернете документа, определяющего политику в отношении обработки персональных данных;
— обеспечение восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
— охранная и пожарная сигнализации в здании, физическая охрана информационной системы (технических средств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц;
— ограничение состава лиц, имеющих доступ к персональным данным;
— ознакомление работников, непосредственно осуществляющих обработку персональных данных с требованиями федерального законодательства и нормативных документов Компании по обработке и защите персональных данных;
— организация учёта, хранения и обращения носителей информации;
— определение угроз безопасности персональных данных при их обработке;
— разработка, внедрение и модификация системы защиты персональных данных;
— разграничение доступа пользователей к информационным ресурсам и программно- аппаратным средствам обработки и защиты информации;
— обеспечение восстановления персональных данных, уничтоженных или модифицированных вследствие несанкционированного доступа к ним;
— обеспечение контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищённости информационных систем персональных данных.
В качестве средств обеспечения безопасности используются:
— электронная цифровая подпись,
— антивирусные средства защиты информации, идентификация и проверка подлинности пользователя при входе в информационную систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;
— наличие средств восстановления системы защиты персональных данных.
Заключительные положения.
Иные права и обязанности Компании, как Оператора персональных данных, определяются законодательством Российской Федерации в области персональных данных.
Должностные лица Компании, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в установленном федеральным законодательством порядке.