1. Общие положения. Правовые основания обработки персональных данных
1.1. Настоящая Политика обработки персональных данных в Ассоциации дополнительного профессионального образования «Многофункциональный центр прикладных квалификаций машиностроения» (далее – Политика) разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» (далее - Закон о персональных данных), иными нормативными правовыми актами Российской Федерации в области персональных данных и определяет основные принципы, цели, условия обработки персональных данных в Ассоциации дополнительного профессионального образования «Многофункциональный центр прикладных квалификаций машиностроения» (далее – Ассоциация), а также сведения о реализуемых в Ассоциации требованиях к защите персональных данных.
1.2. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в Ассоциации вопросы обработки персональных данных кандидатов для приема на работу, работников, обучающихся Ассоциации и других субъектов персональных данных.
2. Основные понятия
2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
2.2. Оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.3. Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
2.4. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
2.5. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.6. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.7. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.8. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.9. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.10. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.11. Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
3. Принципы обработки персональных данных
3.1. Обработка персональных данных в Ассоциации осуществляется на основе следующих принципов:
- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
- не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
- при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Ассоциация принимает необходимые меры по удалению или уточнению не полных или неточных данных;
- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
- обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4. Цели обработки персональных данных
4.1. Ассоциация осуществляет обработку персональных данных в следующих целях:
- обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Ассоциации;
- осуществления деятельности, предусмотренной Уставом Ассоциации;
- осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Ассоциацию, в том числе по исполнению налогового законодательства Российской Федерации в связи с исчислением и уплатой налогов на доходы физических лиц, предоставлению персональных данных в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
- оказания образовательных услуг, организации образовательного процесса, осуществления функций, полномочий и обязанностей, возложенных на Ассоциацию Федеральным законом от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»;
- привлечения и отбора кандидатов на работу в Ассоциацию;
- организации кадрового учета, ведения кадрового делопроизводства;
- содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы, обеспечения сохранности имущества;
- взаимодействия с контрагентами при подготовке, заключении, исполнении и прекращении гражданско-правовых договоров;
- обеспечения пропускного и внутриобъектового режимов на территории Ассоциации;
- защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных;
- в иных законных целях.
5. Перечень субъектов, персональные данные которых обрабатываются Ассоциацией
5.1. В Ассоциации обрабатываются персональные данные следующих категорий субъектов:
- обучающихся;
- кандидатов для приема на работу;
- работников Ассоциации;
- лиц, получающих доход, но не состоящих в трудовых отношениях с Ассоциацией;
- контрагентов, в том числе персональные данные представителя, руководителя, участника (учредителя, акционера) или сотрудника контрагента;
- иных физических лиц, обращающихся в Ассоциацию по вопросам ее деятельности;
- иных субъектов персональных данных, для обеспечения реализации целей обработки, указанных в разделе 4.
6. Права субъектов персональных данных
6.1. Субъект персональных данных имеет право:
- получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами;
- требовать от Ассоциации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными, или не являются необходимыми для заявленной цели обработки;
- на отзыв согласия на обработку персональных данных;
- принимать предусмотренные законом меры по защите своих прав, обжаловать в органе по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Ассоциации, осуществляемые при обработке его персональных данных;
- осуществлять иные права, предусмотренные законодательством Российской Федерации.
7. Перечень персональных данных, обрабатываемых Ассоциацией
7.1. Перечень персональных данных, обрабатываемых Ассоциацией, определяется в соответствии с законодательством Российской Федерации в локальных нормативных актах Ассоциации с учетом целей обработки персональных данных, указанных в разделе 4.
7.2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни в Ассоциации не осуществляется, за исключением случаев, предусмотренных законодательством РФ.
7.3. Обработка сведений о состоянии здоровья субъекта персональных данных осуществляется в соответствии с действующим законодательством.
8. Порядок и условия обработки персональных данных
8.1. Обработка персональных данных в Ассоциации осуществляется с согласия субъекта персональных данных на обработку его персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
8.2. Доступ к обрабатываемым персональным данным разрешается только специально уполномоченным работникам Ассоциации, при этом указанные работники имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций.
8.3. Ассоциация без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.
8.4. Ассоциация осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
8.5. Обработка персональных данных в Ассоциации осуществляется следующими способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка персональных данных.
8.6. Ассоциация при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, в том числе:
- назначает лица, ответственного за организацию обработки персональных данных;
- принимает локальные нормативные акты, регулирующие отношения в сфере обработки и защиты персональных данных;
- знакомит работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Ассоциации в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;
- создает необходимые условия для работы с персональными данными;
- применяет организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
- хранит персональные данные с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ;
- принимает иные меры, предусмотренные законодательством Российской Федерации в области персональных данных
8.7. Сроки обработки и хранения персональных данных в Ассоциации определяются в соответствии со сроком действия трудовых, гражданско-правовых отношений между субъектом персональных данных и Ассоциацией, сроком исковой давности, сроками хранения документов, содержащих персональные данные, установленными Приказом Росархива от 20.12.2019 N 236 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения", в соответствии иными требованиями законодательства Российской Федерации, а также сроком действия согласия субъекта на обработку его персональных данных.
9. Ответы на запросы субъектов на доступ к персональным данным
9.1. Информация, касающаяся обработки персональных данных, предоставляется Ассоциацией субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.
9.2. Запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
- подпись субъекта персональных данных или его представителя.
9.3. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
9.4. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
9.5. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
9.6. Перечень информации предоставляемой Ассоциацией и порядок ее предоставления установлен Законом о персональных данных.
10. Уточнение, блокирование и уничтожение персональных данных
10.1. В случае выявления и подтверждения факта неточности персональных данных Ассоциация на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений.
10.2. В случае выявления неправомерной обработки персональных данных Ассоциация осуществляет блокирование неправомерно обрабатываемых персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, Ассоциация в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные.
10.3. При достижении целей обработки персональных данных, либо в случае отзыва субъектом персональных данных согласия на их обработку (если сохранение персональных данных более не требуется для целей обработки персональных данных) Ассоциация прекращает обработку и уничтожает персональные данные, если иное не предусмотрено:
- договором, стороной которого, выгодоприобретателем, или поручителем, по которому является субъект персональных данных;
- иным соглашением между Ассоциацией и субъектом персональных данных;
- Законом о персональных данных или другими федеральными законами в области персональных данных.