ПОЛИТИКА
ЧАСТНОГО ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ ДОПОЛНИТЕЛЬНОГО
 ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ «1С-ОБРАЗОВАНИЕ»
В ОТНОШЕНИИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Общие положения

1.1. Настоящая политика (далее – «Политика») разработана в соответствии со ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – «Закон о ПДн») и является локальным нормативным документом Частного образовательного учреждения дополнительного профессионального образования «1С-ОБРАЗОВАНИЕ» (далее – «Учреждение»), определяющим ключевые направления его деятельности в области обработки и защиты персональных данных (далее – «ПДн»), оператором которых является Учреждение.

1.2. Политика разработана в целях реализации требований законодательства в области обработки и защиты ПДн как одна из правовых мер, направленных на обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн в Учреждении.

1.3. Положения Политики распространяются на отношения по обработке и защите ПДн, полученных Учреждением как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите ПДн, полученных до ее утверждения.

1.4. Положения Политики и другие локальные нормативные документы Учреждения в области защиты персональных данных распространяются на случаи обработки и защиты ПДн наследников (правопреемников) и (или) представителей субъектов ПДн, даже если эти лица в локальных нормативных документах Учреждения прямо не упоминаются, но фактически участвуют в правоотношениях с Учреждением.

1.5. Настоящая Политика публикуется на сайте Учреждения  http://1c.ru/rus/partners/training/uc1/edu-info.jsp  в целях возможности ознакомления с ней неограниченного круга лиц.

2 Основания и цели обработки персональных данных Учреждением

2.1. Обработка ПДн в Учреждении осуществляется в процессе ведения уставной деятельности Учреждения, в частности, в ходе трудовых и иных, непосредственно связанных с ними отношений, в которых Учреждение выступает в качестве работодателя.

2.2. В связи с трудовыми и иными непосредственно связанными с ними отношениями, в которых Учреждение выступает в качестве работодателя, обрабатываются ПДн лиц, претендующих на трудоустройство в Учреждение, работников Учреждения (далее - Работники) и бывших Работников – в соответствии с трудовым законодательством.

2.3. В связи с реализацией своих прав и обязанностей как юридического лица – в соответствии с ч. 2 ст. 22 Закона о ПДн – Учреждением также обрабатываются ПДн:

• физических лиц, являющихся контрагентами (возможными контрагентами) Учреждения по гражданско-правовым договорам, ПДн руководителей, членов коллегиальных исполнительных органов и представителей юридических лиц, ПДн иных физических лиц, представленные участниками закупки (торгов), в том числе данные, получаемые из открытых общедоступных реестров и информационных систем (ЕГРЮЛ, ЕГРИП, портал госзакупок и т.п.) – с целью заключения договоров в соответствии с требованиями законодательства и обеспечения выполнения договорных обязательств;
• граждан и представителей организаций, письменно обращающихся в Учреждение по вопросам его деятельности (помимо лиц, указанных в пунктах 2.2 Политики) и указывающих  в обращении (заявлении, претензии и т.п.) свои ПДн – с целью направления им ответов, предоставления информации.

2.4. ПДн получаются и обрабатываются Учреждением при наличии согласия субъекта ПДн или на основании федеральных законов и иных нормативных правовых актов Российской Федерации без согласия субъекта.

2.5. При наличии письменного согласия субъекта ПДн в процессе осуществления деятельности Учреждение в установленном порядке вправе поручить обработку ПДн третьим лицам. 

2.6. Учреждение предоставляет обрабатываемые им ПДн государственным и муниципальным органам, органам государственных внебюджетных фондов, а также  учреждениям, имеющим, в соответствии с федеральным законом, право на получение соответствующих ПДн. 

2.7. При обработке ПДн обеспечиваются их точность, достаточность, а при необходимости – и актуальность по отношению к целям обработки. Учреждение  принимает необходимые меры по удалению или уточнению неполных или неточных ПДн.

3. Принципы обеспечения безопасности персональных данных

3.1. Основной задачей обеспечения безопасности ПДн при их обработке в Учреждении является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения ПДн, разрушения (уничтожения) или искажения их в процессе обработки.

3.2. Для обеспечения безопасности ПДн Учреждение руководствуется следующими принципами:

1. 1. законность: защита ПДн основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты ПДн;
   2. комплексность: защита ПДн строится с использованием ряда правовых, организационных мер и функциональных возможностей имеющихся в Учреждении технических средств;
   3. непрерывность: защита ПДн обеспечивается на всех этапах их сбора, накопления, обработки, вплоть до уничтожения ПДн;
   4. своевременность: меры, обеспечивающие надлежащий уровень безопасности ПДн, принимаются до начала их обработки;
   5. устранение несоответствий и совершенствование мер: Учреждением производится своевременное устранение выявленных нарушений законодательства об обработке и защите ПДн, модернизация и наращивание мер и средств защиты ПДн, в том числе на основании оценки новых угроз безопасности ПДн;
   6. персональная ответственность: ответственность за обеспечение безопасности ПДн возлагается на конкретных Работников в пределах их обязанностей, связанных с обработкой и защитой ПДн;
   7. минимизация прав доступа: доступ к ПДн предоставляется Работникам только в объеме, необходимом для выполнения их должностных обязанностей;
   8. гибкость: обеспечение выполнения функций защиты ПДн при изменении объема и состава обрабатываемых ПДн;
   9. наблюдаемость и прозрачность: меры по обеспечению безопасности ПДн должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль, а также самими субъектами ПДн, в том числе в порядке получения ими письменных ответов на свои обращения;
   10. непрерывность контроля и оценки: устанавливаются процедуры периодических проверок соблюдения разработанных мер, результаты проверок фиксируются в журналах.

4 Доступ к обрабатываемым персональным данным

4.1. Доступ к обрабатываемым в Учреждении ПДн имеют Работники, уполномоченные приказом Учреждения, а также лица, которым Учреждение поручило обработку ПДн на основании заключенного договора.

4.2. Доступ Работников к обрабатываемым ПДн осуществляется в соответствии с их должностными обязанностями и требованиями локальных нормативных документов Учреждения.

4.3. Порядок доступа субъекта ПДн к его ПДн, обрабатываемым Учреждением, определяется в соответствии с законодательством и обеспечивается локальными нормативными документами Учреждения. 

4.4. Запросы и обращения субъектов ПДн для получения информации, касающейся обработки их ПДн, следует направлять ответственному за организацию обработки персональных данных Учреждения по

адресу: 129515, г. Москва,  ул.Цандера, д. 4, кор. 1

5. Реализуемые меры по защите персональных данных

5.1. Состав правовых, организационных и технических мер определяется, а локальные нормативные документы об обработке и защите ПДн утверждаются (издаются) Учреждением, исходя из требований Закона о ПДн, главы 14 Трудового кодекса Российской Федерации, а также иных нормативных правовых актов Российской Федерации об обработке и защите ПДн.

5.2. Учреждением осуществляется ознакомление работников Учреждения, непосредственно осуществляющих обработку ПДн, с положениями законодательства о ПДн, в том числе требованиями к защите ПДн, настоящей Политикой и иными локальными нормативными документами по вопросам обработки ПДн, при необходимости осуществляется обучение указанных работников по вопросам обработки и защиты ПДн.

5.3. При обработке ПДн применяются следующие организационные меры:

1. назначается Ответственный за организацию обработки ПДн;
2. осуществляется ограничение и разграничение доступа Работников;
3. осуществляется внутренний контроль и (или) аудит соответствия обработки ПДн Закону о ПДн и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, Политике и другим нормативным документам Учреждения;
4. проводятся иные меры, направленные на обеспечение исполнения обязанностей, предусмотренных Законом о ПДн, в частности, моделирование угроз и оценка рисков. 

5.4. При обработке ПДн применяются следующие технические меры:

1. устанавливается пропускной режим и физическая охрана помещений, используются запирающие устройства;
2. используются средства сигнализации и фиксации событий для обнаружение фактов несанкционированного доступа к ПДн и принятия соответствующих мер;
3. при обработке ПДн в информационных системах (ИСПДн) обеспечивается применение средств защиты информации для обеспечения соответствующего уровня защищенности, мер по восстановлению модифицированных или уничтоженных ПДн, мер для регистрации и учета всех действий, совершаемых с ПДн в информационной системе персональных данных. 

6. Персональные данные и иные данные (информация) Пользователя сайта могут собираться и использоваться при помощи сервиса Яндекс.Метрика (далее – сервис), который использует файлы cookies. Сервис принадлежит Обществу с ограниченной ответственностью «ЯНДЕКС» (далее – Яндекс), зарегистрированному по адресу: 119021, Россия, Москва, ул. Льва Толстого, д. 16. Яндекс обрабатывает указанную информацию в порядке, установленном в условиях использования сервиса Яндекс.Метрика. - Категории обрабатываемых данных: файлы «cookies» (куки-файлы). Файлы «cookie» – это фрагмент данных, отправленный сервером Учреждения и хранимый на устройстве Субъекта персональных данных. Содержимое такого файла может как относиться, так и не относиться к персональным данным, в зависимости от того, содержит ли такой файл персональные данные или содержит обезличенные технические данные. - Цель обработки персональных данных: анализ пользовательской активности с помощью сервиса «Яндекс. Метрика». - Категории субъектов персональных данных: все Пользователи Сайта, которые дали согласие на обработку файлов «cookie» (куки-файлы). - Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, передача (доступ, предоставление), блокирование, удаление, уничтожение персональных данных. - Срок обработки и хранения: срок обработки определяется достижением цели, срок хранения составляет 10 лет, либо до получения от субъекта персональных данных требования о прекращении обработки/отзыва согласия. - Способ отзыва: заявление об отзыве в письменном виде путём его направления на адрес электронной почты: [email protected]. - Субъект персональных данных вправе запретить своему оборудованию прием этих данных или ограничить прием этих данных. При отказе от получения таких данных или при ограничении приема данных функции Сайта могут работать некорректно. Субъект персональных данных обязуется сам настроить свое оборудование таким способом, чтобы оно обеспечивало адекватный его желаниям режим работы и уровень защиты данных файлов «cookie», а Учреждение не предоставляет технологических и правовых консультаций на темы подобного характера. - Порядок уничтожения персональных данных при достижении цели их обработки или при наступлении иных законных оснований: лицо, ответственное за обработку персональных данных, производит стирание данных методом перезаписи (замена всех единиц хранения информации на «0») с составлением акта об уничтожении персональных данных.

Ред. от 15.01.2015 г.