Политика обработки персональных данных ЧОУ ДПО «ИТФИ»

1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

1.1. Персональные данные. Любая информация, относящаяся прямо или косвенно к определенному, или определяемому физическому лицу (субъекту персональных данных).
1.2. Обработка персональных данных. Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление и уничтожение персональных данных.
1.3. Блокирование персональных данных. Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
1.4. Предоставление персональных данных. Действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
1.5. Распространение персональных данных. Действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
1.6. Уничтожение персональных данных. Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
1.7. Оператор. Частное образовательное учреждение дополнительного профессионального образования «Информационные технологии финансовой индустрии».
1.8. Клиент. Юридическое или физическое лицо, имеющее договор на оказание услуг с Оператором.
1.9. Cookie. Небольшой фрагмент данных, который веб-сайт запрашивает у браузера, используемого на компьютере или на мобильном устройстве пользователя.

2. ОБЩИЕ ПОЛОЖЕНИЯ

2.1. Настоящая Политика определяет порядок и условия обработки Частным образовательным учреждением дополнительного профессионального образования «Информационные технологии финансовой индустрии» (ИНН 7456990163, ОГРН 1127400002146, регистрационный номер в реестре Операторов Роскомнадзора – 74-25-020981), зарегистрированным и действующим по законодательству России (далее - «Оператор»), информации о физическом лице, которая может быть получена Оператором от этого физического лица либо от его законного представителя (далее – «Субъект персональных данных»), при возникновении следующих отношений с Субъектом персональных данных:
– при использовании функций сайта https://makeitworkit.ru/, включая все его домены, поддомены и страницы, их содержимое, а также интернет-сервисы и программное обеспечение, предлагаемые Оператором к использованию на этом сайте (далее– «Сайт»);
– при обработке обращений, жалоб, запросов, сообщений, направляемых Оператором и Субъектом персональных данных друг другу.
2.2. Политика разработана в соответствии с Федеральным законом от 27 июля 2006 г. № 152 «О персональных данных».
2.3. Политика разработана в целях реализации требований законодательства в области обработки и обеспечения безопасности персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных Оператором.
2.4. Политика устанавливает:
– цели обработки персональных данных;
– категории и перечень персональных данных, которые обрабатываются Оператором;
– категории Субъектов, персональные данные которых обрабатываются Оператором;
– общие принципы обработки персональных данных;
– сроки обработки и хранения персональных данных;
– порядок уничтожения персональных данных.
2.5. Положения настоящей Политики являются основой для организации работ по обработке персональных данных Оператором.
2.6. К настоящей Политике предоставляется неограниченный доступ любому лицу, желающему с ней ознакомиться. Настоящая Политика размещается на официальном сайте Оператора в сети Интернет.
2.7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных в соответствии с частью 7 статьи 14 Федерального закона от 27 июля 2006 г. № 152 «О персональных данных».
2.8. Субъект персональных данных вправе требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2.9. Субъект персональных данных вправеполучить письменное уведомление о прекращении обработки его персональных данных в течение 30 дней с даты подачи отзыва.
2.10. Субъект персональных данных имеет иные права, определенные главой 3 Федерального закона от 27 июля 2006 г. № 152 «О персональных данных».
2.11. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.
2.12. При сборе персональных данных Оператор обязан предоставить Субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона от 27 июля 2006 г. № 152 «О персональных данных».
2.13. Оператор обязан соблюдать иные требования, определенные главой 4 Федерального закона от 27 июля 2006 г. № 152 «О персональных данных».

3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3.2. Обработка персональных данных Оператором осуществляется в целях:
– подготовка, заключение и исполнение гражданско-правового договора;
– обеспечение соблюдения пенсионного законодательства Российской Федерации;
– заполнение форм на сайте организации (обратная связь, заявки на обучение, оформление которых требует связи с заявителем и пр.)
– обеспечение соблюдения налогового законодательства Российской Федерации;
– обеспечение соблюдения трудового законодательства Российской Федерации;
– ведение кадрового и бухгалтерского учета.
3.3. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

4. ПРАВОВОЕ ОСНОВАНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Обработка персональных данных осуществляется на следующих правовых основаниях:
– обработка персональных данных осуществляется с согласия Субъекта персональных данных на обработку персональных данных, предоставленного в порядке, предусмотренном законодательством и настоящей Политикой;
– обработка персональных данных необходима для выполнения целей, установленных требованиями законодательства Российской Федерации, а также для реализации функций, полномочий и обязанностей, возложенных на Оператора законом;
– обработка персональных данных необходима для защиты прав и законных интересов Оператора или третьих лиц.
4.2. Политика разработана в соответствии со следующими нормативными правовыми актами Российской Федерации:
– Федеральным законом от 27 июля 2006 г. № 152 «О персональных данных»;
– Гражданским кодексом Российской Федерации;
– Налоговым кодексом Российской Федерации;
– Трудовым кодексом Российской Федерации;
– постановлением Правительства РФ от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
– Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
– а также иными действующими нормативно-правовыми актами Российской Федерации, регулирующими вопросы обработки и защиты персональных данных.

5. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разделе 3 настоящей Политики.
5.2. Оператор для цели подготовки, заключения и исполнения гражданско-правового договора обрабатывает данные работников, контрагентов, представителей контрагентов, клиентов, выгодоприобретателей по договорам:
– фамилия, имя, отчество;
– год рождения, месяц рождения, дата рождения;
– место рождения;
– пол;
– адрес электронной почты;
– адрес места жительства, адрес регистрации;
– номер телефона;
– СНИЛС;
– ИНН;
– гражданство;
– данные документа, удостоверяющего личность;
– номер лицевого счета.
Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение.
Срок обработки и хранения персональных данных: 5 лет с момента принятия решения о приеме.
5.3. Оператор для цели обеспечения соблюдения пенсионного законодательства РФ обрабатывает данные работников и уволенных работников:
– фамилия, имя, отчество;
– год рождения, месяц рождения, дата рождения;
– место рождения;
– пол;
– адрес регистрации;
– СНИЛС;
– ИНН;
– гражданство;
– данные документа, удостоверяющего личность;
– сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации).
Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение.
Срок обработки и хранения персональных данных: до расторжения трудового договора.
5.4. Оператор для цели заполнения форм на сайте организации (обратная связь, заявки на обучение, оформление которых требует связи с заявителем и пр.) обрабатывает данные посетителей сайта:
– фамилия, имя, отчество;
– год рождения;
– адрес электронной почты;
– номер телефона.
Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение.
Срок обработки и хранения персональных данных: до 3 лет с момента получения от Субъекта персональных данных заполненной формы.
5.5. Оператор для цели обеспечения соблюдения налогового законодательства РФ обрабатывает данные работников и уволенных работников:
– фамилия, имя, отчество;
– год рождения, месяц рождения, дата рождения;
– место рождения;
– семейное положение;
– доходы;
– пол;
– адрес электронной почты;
– адрес места жительства, адрес регистрации;
– номер телефона;
– СНИЛС;
– ИНН;
– гражданство;
– данные документа, удостоверяющего личность, данные документа, удостоверяющего личность за пределами Российской Федерации;
– реквизиты банковской карты;
– номер расчетного счета, номер лицевого счета.
Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение.
Срок обработки и хранения персональных данных: до расторжения трудового договора.
5.6. Оператор для цели обеспечения соблюдения трудового законодательства РФ обрабатывает данные работников и уволенных работников:
– фамилия, имя, отчество;
– год рождения, месяц рождения, дата рождения;
– место рождения;
– семейное положение, социальное положение;
– доходы;
– пол; адрес электронной почты;
– адрес места жительства, адрес регистрации;
– номер телефона;
– СНИЛС;
– ИНН;
– гражданство;
– данные документа, удостоверяющего личность, данные водительского удостоверения, данные документа, удостоверяющего личность за пределами Российской Федерации, данные документа, содержащиеся в свидетельстве о рождении;
– реквизиты банковской карты, номер расчетного счета, номер лицевого счета;
– профессия;
– должность;
– сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);
– отношение к воинской обязанности, сведения о воинском учете;
– сведения об образовании.
Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение.
Срок обработки и хранения персональных данных: до расторжения трудового договора.
5.7. Оператор для цели ведения кадрового и бухгалтерского учета обрабатывает данные работников, родственник работников и уволенных работников:
– фамилия, имя, отчество;
– год рождения, месяц рождения, дата рождения;
– место рождения;
– семейное положение, социальное положение;
– доходы;
– пол; адрес электронной почты;
– адрес места жительства, адрес регистрации;
– номер телефона;
– СНИЛС;
– ИНН;
– гражданство;
– данные документа, удостоверяющего личность, данные водительского удостоверения, данные документа, удостоверяющего личность за пределами Российской Федерации, данные документа, содержащиеся в свидетельстве о рождении;
– реквизиты банковской карты, номер расчетного счета, номер лицевого счета;
– профессия;
– должность;
– сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);
– отношение к воинской обязанности, сведения о воинском учете;
– сведения об образовании;
– фото-видео изображение лица.
Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение.
Срок обработки и хранения персональных данных: до расторжения трудового договора.

6. ИСПОЛЬЗОВАНИЕ ФАЙЛОВ COOKIE
6.1. Для корректной работы Сайта используются файлы Cookie, которые позволяют идентифицировать Субъекта персональных данных от других пользователей. Мы обрабатываем полученные данные с использованием системы сбора статистики Яндекс.Метрика. В зависимости от своего содержания, файлы могут классифицироваться как содержащие персональные данные (при наличии информации, позволяющей идентифицировать лицо), либо как содержащие технические данные.
6.2. Файлы Cookie, которые собираются на Сайте, представлены в Политике использования Cookie.
6.3. Субъект персональных данных вправе отказаться от сохранения и использования файлов Cookie на своем устройстве или удалить уже сохраненные файлы Cookie в настройках браузера. В том случае, если Субъект персональных данных откажется от обработки файлов Cookie, Сайт будет использовать только обязательные файлы Cookie.

7. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Обработка персональных данных осуществляется с использованием средств автоматизации, а также без использования таких средств (бумажные носители), на законной и справедливой основе.
7.2. Обработка персональных данных ограничивается достижением конкретных, законных целей, определенных в Разделе 3. Не допускается обработка персональных данных, не совместимая с целями обработки персональных данных.
7.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
7.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
7.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки и не являются избыточными по отношению к заявленным целям их обработки.
7.6. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Принимаются необходимые меры по удалению или уточнению неполных, или неточных данных.
7.7. Оператор не осуществляет обработку биометрических категорий персональных данных, касающихся физиологических и биологических особенностей человека, на основании которых можно установить его личность.
7.8. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных или срок, установленный в Разделе 3.
Персональные данные уничтожаются:
– по достижению целей обработки персональных данных;
– при прекращении деятельности Оператора как юридического лица;
– при отсутствии необходимости достижения цели Оператором;
– на основании письменного обращения субъекта персональных данных с требованием о прекращении обработки его персональных данных (Оператор прекратит обработку таких персональных данных в течение 30 дней с даты подачи отзыва, о чем будет направлено письменное уведомление субъекту).
7.9. При обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.
7.10. Порядок уничтожения персональных данных на всех типах носителей устанавливается в соответствии с Приказом Роскомнадзора от 28 октября 2022 г. № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных» и определен во внутренних нормативных документах Оператора.
7.11. Порядок уничтожения персональных данных при достижении цели их обработки, истечении срока их обработки или при наступлении иных законных оснований: лицо, ответственное за обработку персональных данных, производит гарантированное удаление информации методом многократной перезаписи с помощью специализированных программ с составлением акта об уничтожении персональных данных.
7.12. Оператор вправе осуществить передачу (способом доступа и предоставления) персональных данных третьим лицам, указанных в Перечне третьих лиц, допущенных к обработке персональных данных.
7.13. Оператор не предоставляет и не раскрывает сведения, содержащие персональные данные Субъектов, третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях защиты жизни и здоровья субъекта, а также в случаях, установленных федеральными законами.
7.14. Информация, представляющая собой персональные данные, предоставленные субъектом персональных данных Оператору, является конфиденциальной информацией и защищается Оператором в соответствии с требованиями законодательства Российской Федерации.
7.15. Оператор осуществляет обработку персональных данных граждан с использованием баз данных, находящихся на территории Российской Федерации.
7.16. Оператор осуществляет обработку персональных данных в соответствии с Федеральным законом от 27 июля 2006 г. №152 «О персональных данных». Стандарты защиты персональных данных в Российской Федерации могут отличаться от требований, действующих в иных юрисдикциях. При использовании Сайта Субъект персональных данных соглашается на такую передачу.
7.17. В целях обеспечения безопасности персональных данных при их обработке Оператором применяются необходимые и достаточные правовые, организационные и технические меры, направленные на защиту персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных. В том числе:
– работники Оператора, непосредственно осуществляющие обработку персональных данных для выполнения ими должностных обязанностей, в обязательном порядке под роспись знакомятся с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, и документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;
– Оператором назначен ответственный за организацию обработки персональных данных в информационной системе;
– организован режим обеспечения безопасности помещений, в которых размещена информационная система; препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
– организовано обеспечение сохранности носителей персональных данных;
– Приказом Генерального директора Оператора утверждены необходимые локальные правовые акты, устанавливающее процедуры, направленные на обеспечение безопасности персональных данных при их обработке, выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных;
– при обработке персональных данных, осуществляемой без использования средств автоматизации, выполняются требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
– используются средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации угроз;
– осуществляется внутренний контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

8. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ, УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

8.1. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.2. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Федерального закона от 27 июля 2006 г. № 152 «О персональных данных»., предоставляются Оператором Субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору следует направить Субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
8.3. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав Субъектов персональных данных, Оператор обязан с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав Субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав Субъектов персональных данных:
1) в течение двадцати четырех часов о произошедшем инциденте (первичное уведомление);
2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента (вторичное уведомление).
8.4. Оператор при первичном уведомлении уполномоченному органу по защите прав субъектов персональных данных выясняет и предоставляет сведения о:
– предполагаемых причинах возникновения инцидента, повлекшие нарушения прав субъектов персональных данных;
– предполагаемом вреде, нанесенном правам субъектов персональных данных;
– принятых мерах по устранению последствий соответствующего инцидента;
– лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом.
8.5. Оператор при вторичном уведомлении уполномоченному органу по защите прав субъектов персональных данных выясняет и предоставляет сведения о:
– результатах внутреннего расследования;
– лицах, действия которых стали причиной выявленного инцидента (при наличии).
8.6. Порядок направления уведомления об инциденте определен требованиями Приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 14 ноября 2022 г. №187 «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных».