Политика обработки персональных данных
ПОЛИТИКА ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Общие положения.
1.1. Настоящая политика обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных», и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые АНО Институт опережающих исследований «Управление человеческими ресурсами» им. Е.Л.Шифферса (АНО Институт опережающих исследований) (ОГРН 1047796169266, ИНН 7722509304), далее – Оператор, с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Основные определения, использующиеся в Политике
— Персональные данные любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
— Оператор государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
— Обработка персональных данных любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
— Автоматизированная обработка персональных данных обработка персональных данных с помощью средств вычислительной техники;
— Распространение персональных данных действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
— Предоставление персональных данных действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
— Блокирование персональных данных временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
— Уничтожение персональных данных действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
— Обезличивание персональных данных действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
— Информационная система персональных данных совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
— Трансграничная передача персональных данных передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
— Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://shiffersinstitute.com;
— Персональные данные Пользователя – любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю веб-сайта https://shiffersinstitute.com;
Пользователь – любой посетитель веб-сайта https://shiffersinstitute.com;
1.3. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее размещения на сайте Оператора, если иное не предусмотрено новой редакцией Политики.
1.4. Настоящая Политика утверждается и вводится в действие приказом директора и является обязательной для исполнения всеми работниками, имеющими доступ к персональным данным сотрудников.
2. Правовые основания обработки персональных данных
Обработка персональных данных Оператором производится на основании Главы 14 Трудового Кодекса Российской Федерации, Закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации», Указа Президента от 06.03.97г. № 188 «Об утверждении Перечня сведений конфиденциального характера», Устава АНО Институт опережающих исследований, Лицензии Департамента образования и науки города Москвы на осуществление образовательной деятельности от 09.04.2020г. № 040762.
Оператор обрабатывает персональные данные Субъектов персональных данных, только в случае получения Заявления о согласии субъекта на обработку его персональных данных.
Оператор обрабатывает персональные данные Пользователя только в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы, расположенные на сайте https://shiffersinstitute.com. Заполняя соответствующие формы и/или отправляя свои персональные данные Оператору, Пользователь выражает свое согласие с данной Политикой.
Оператор обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов «cookie» и использование технологии JavaScript).
3. Права и обязанности Оператора и Субъекта персональных данных
3.1. Субъект персональных данных имеет право:
3.1.1. получать сведения в операторе обработки ПДн субъекта:
— о месте его нахождения, наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с таким персональными данными;
— субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей 1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки; 2) способы обработки персональных данных, применяемых оператором; 3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; 4) перечень обрабатываемых персональных данных и источник их получения; 5) сроки обработки персональных данных, в том числе сроки хранения; 6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных;
3.1.2. сведения должны быть предоставлены субъекту персональных данных оператором в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектом персональных данных, за исключением случаев если эти имеются законные основания для раскрытия таких персональных данных;
3.1.3. требовать от оператора уточнения его персональных данных, их блокирования или уничтожения, в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
3.1.4 отозвать данное Оператору разрешение на обработку своих персональных данных;
3.1.5. принимать предусмотренные законом меры по защите своих прав;
3.2. Оператор при сборе персональных данных обязан:
3.2.1. обеспечить безопасность обработки персональных данных;
3.2.1.1. принимать необходимые организационно -технические меры для защиты персональных данных от неправомерного или случайного доступа к ним;
3.2.2. до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о начале обработки персональных данных;
3.2.3. при получении персональных данных оператор персональных данных до начала обработки получить у субъекта этих персональных данных письменное разрешение на их обработку;
3.2.4. предоставить субъекту персональных данных по требованию все имеющиеся сведения о целях, условиях обработки, способах защиты его персональных данных;
3.2.4.1. уничтожить или блокировать соответствующие персональные данные, внести в них необходимые изменения по предоставлению субъектом персональных данных соответствующего запроса;
3.2.5. сообщать в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию необходимую для осуществления деятельности указанного органа.
4. Цели обработки персональных данных.
4.1. Оператор собирает и обрабатывает персональные данные в целях осуществления научной, образовательной и другой уставной деятельности, ведения кадровой работы и бухгалтерского учета
4.1.1. Персональные данные собираются и обрабатываются с целью:
— обеспечения соблюдения законов и иных нормативных правовых актов при реализации уставной деятельности Оператора
— использования персональных данных в информационных системах Оператора
— передача данных в государственные инспекции и другие уполномоченные организации (по запросам);
5. Объем и категории персональных данных, категории субъектов персональных данных.
Оператор собирает обрабатывает и хранит персональные данные кандидатов на замещение вакантных должностей; работников, в том числе уволенных, физических лиц, заключивших договора гражданско-правового характера, посетителей сайта, клиентов и контрагентов оператора (физических лиц); заказчиков, а также персональные данные других субъектов персональных данных (представителей/работников), полученные от контрагентов оператора (юридических лиц), необходимые для оказания услуги, исполнения соглашения или договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
5.1. Объем обрабатываемых персональных данных кандидатов на замещение вакантных должностей Оператора.
5.1.1.При заполнении анкеты для проведения конкурса (собеседования) на замещение вакантной должности специалист по кадровым вопросам получает согласие на обработку следующих персональных данных: Фамилия, имя, отчество, дата рождения, образование, квалификация, профессиональная подготовка, контактный телефон, электронный адрес;
5.1.2. Целью обработки данных кандидата на замещение вакантной должности является принятие работодателем решения о приеме на работу либо отказе соискателю;
5.1.3. В дальнейшем, в случае отказа в приеме на работу, персональные данные кандидата должны быть уничтожены в течение 30 дней. В случае принятия решения о приеме на работу, заполняется новое согласие на обработку персональных данных в соответствии с новыми целями.
5.2. Объем обрабатываемых персональных данных работников Оператора
5.2.1. При приеме на работу специалист по кадровым вопросам получает согласие Работника на обработку следующих персональных данных:
— общие сведения (Фамилия, имя, отчество, дата рождения, место рождения, образование, профессия, стаж работы паспортные данные, адрес места жительства, контактный телефон, электронный адрес, ); сведения о воинском учете; иные данные, необходимые при приеме на работу в соответствии с требованиями трудового законодательства.
5.2.1.1. В дальнейшем в личную карточку работника по форме Т2 вносятся сведения:
— о переводах на другую работу;
— об аттестации, повышении квалификации, профессиональной переподготовке;
— о социальных льготах, на которые работник имеет право в соответствии с законодательством.
5.2.2. Цели обработки персональных данных работников Института:
— ведение кадрового учета;
— учет рабочего времени работников;
— расчет заработной платы работников;
— ведение налогового учета;
— ведение воинского учета;
— представление отчетности в государственные органы;
— архивное хранение данных.
5.3. При увольнении работников Оператор, проводит хранение и обработку ПДн только в случаях и в сроки, предусмотренные законодательством Российской Федерации
5.3.1. Оператор, в лице сотрудника, ответственного по кадровым вопросам, проводит хранение и обработку ПДн уволенных работников в следующем объеме:
— документы, необходимые для исчисления, удержания и перечисления налогов хранятся в течение пяти лет;
— базы данных отпусков хранятся пять лет;
— приказы о дисциплинарных взысканиях три года;
— трудовые договоры хранятся семьдесят пять лет, если делопроизводство по ним закончено 1 января 2003 года и пятьдесят лет, если позже;
5.3.2. Целью обработки данных уволенных сотрудников является передача данных в государственные инспекции и другие организации (по запросам) в соответствии с требованиями законодательства Российской Федерации
5.3.3. В дальнейшем, по достижении целей обработки и/или прекращения их обработки Оператором, ПДн уволенных работников подлежат архивированию или по истечении срока хранения уничтожению.
5.4. Объем обрабатываемых Оператором персональных данных при заключении договора гражданско-правового характера с физическими лицами.
5.4.1. При заключении договора гражданско-правового характера с физическими лицами (далее – Исполнитель по договору ГПХ) специалист по кадровым вопросам получает согласие на обработку следующих персональных данных: Фамилия, имя, отчество, дата и место рождения; сведения о месте регистрации, проживании; паспортные данные; контактная информация (телефон, электронный адрес); сведения о постановке на налоговый учет (ИНН); сведения о регистрации в Пенсионном фонде (номер страхового свидетельства); сведения об открытых банковских счетах;
5.4.2. Целью обработки данных Исполнителей по договору ГПХ является
— исполнение обязательств по договору;
— ведение финансово-хозяйственной деятельности;
5.4.3. В дальнейшем, по достижении целей обработки или по истечении срока хранения в соответствии с законодательством персональные данные Исполнителей по договору ГПХ подлежат уничтожению.
5.5. Объем обрабатываемых Оператором персональных данных Пользователя сайта.
5.5.1. Состав персональных данных Посетителей сайта, обрабатываемых Оператором: Фамилия, имя, отчество; контактные данные (электронный адрес; номер телефона);
Также на сайте происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика и Гугл Аналитика и других).
5.5.2. Цель обработки персональных данных Пользователя — информирование Пользователя посредством отправки электронных писем; предоставление доступа Пользователю к информации и/или материалам, содержащимся на вебсайте.
Обезличенные данные Пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания.
5.5.3. Обработка ПДн Пользователей прекращается в случае получения отзыва Согласия на обработку Персональных данных в письменной форме.
5.6. Объем обрабатываемых Оператором персональных данных физических лиц необходимых для оказания услуги, исполнения соглашения или договора, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
5.6.1. Оператор, в лице ответственного за обработку ПДн, обрабатывает персональные данные клиентов и контрагентов оператора (физических лиц); заказчиков, а также персональные данные других субъектов персональных данных (представителей/работников), полученные от контрагентов оператора (юридических лиц), необходимые для оказания услуги, исполнения соглашения или договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных (далее – Клиенты/Заказчики физические лица) в следующем объеме:
Фамилия, имя, отчество, место работы, должность, контактный телефон, электронный адрес
5.6.2. Целью обработки персональных данных Клиентов/Заказчиков физических лиц является
— исполнение обязательств по договору;
— ведение финансово-хозяйственной деятельности;
5.6.3. В дальнейшем, по достижении целей обработки или по истечении срока хранения, персональные данные субъектов персональных данных (представителей/работников), полученные от контрагентов оператора (юридических лиц), необходимые для оказания услуги, исполнения соглашения или договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных лиц подлежат уничтожению.
5.7. Объем обрабатываемых Оператором персональных данных физических лиц необходимых для оказания услуги, исполнения соглашения или договора на оказание образовательных услуг (далее – Слушателей курсов ДПО).
5.7.1. Оператор, в лице ответственного за обработку ПДн, обрабатывает персональные данные клиентов, подавших заявление на прохождение Дополнительной профессиональной программы в следующем объеме:
Фамилия, имя, отчество; дата рождения, адрес регистрации (проживания), гражданство; данные документа удостоверяющего личность; сведения об образовании: (наименование учебного заведения, специальность и квалификация, серия и №_ диплома, дата выдачи диплома); контактные данные (электронный адрес; номер телефона); страховой номер индивидуального лицевого счета лица — СНИЛС (для всех граждан Российской Федерации).
5.7.2. Целью обработки данных физических лиц необходимых для оказания услуги, исполнения соглашения или договора на оказание образовательных услуг является
— исполнение обязательств по договору (в том числе оформление документов об прохождении образовательной программы);
— ведение финансово-хозяйственной деятельности;
— исполнение требований Постановления Правительства РФ от 31.10.2020 N 1776 и Рособрнадзора.
5.7.3. В дальнейшем, по достижении целей обработки или по истечении срока хранения в соответствии с законодательством персональные данные Слушателей курсов ДПО подлежат уничтожению.
5.8. Оператор не собирает и не обрабатывает специальные категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, кроме случаев, когда требование к обработке данной категории двнных не обусловлено требованиями законодательства РФ.
6. Порядок и условия обработки персональных данных.
6.1. Оператор в соответствии с целями обработки ПДн может производить следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление доступа), обезличивание, блокирование, удаление, уничтожение
6.2. Для обработки ПДн уполномоченное лицо оператора использует смешанный способ обработки данных, без передачи по внутренней сети юридического лица, с передачей по сети Интернет.
6.3. Сроком обработки ПД считается период от начала обработки ПД до ее прекращения.
6.3.1. Началом срока обработки для каждой из категорий субъектов персональных данных ПД для кандидатов на замещение вакантных должностей будет дата заполнения Анкеты соискателя для работников, в том числе уволенных — дата начала действия трудового договора, для физических лиц, заключивших договора гражданско- правового характера – дата начала действия договора ГПХ, для посетителей сайта – дата заполнения регистрационной формы на сайте https://shiffersinstitute.com, для клиентов и контрагентов оператора (физических лиц); заказчиков, а также персональные данные других субъектов персональных данных (представителей/работников), полученные от контрагентов оператора (юридических лиц) — Клиентов/Заказчиков физических лиц, необходимые для оказания услуги, исполнения соглашения или договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных – дата начала действия договора (соглашения); для физических лиц — Слушателей курсов ДПО — дата начала действия договора на оказание образовательных услуг.
6.3.2. Дата прекращения срока обработки персональных данных определяется наступлением одного из следующих событий. Организация прекращает обрабатывать ПД, если:
•достигнуты цели их обработки;
•истек срок действия согласия субъекта или он отозвал согласие на обработку персональных данных;
•обнаружена неправомерная обработка персональных данных;
•прекращена деятельность организации.
6.4. Оператор в праве передавать без письменного согласия субъекта персональные данные органам дознания и следствия или иным уполномоченным органам по основаниям предусмотренным законодательством.
6.5. Оператор устанавливает следующие сроки обработки и хранения персональных данных:
— Персональные данные кандидатов на вакантные должности, в том числе тех кто не был оформлен на работу 30 дней с момента вынесения отрицательного решения.
— Персональные данные, обрабатываемые в целях основной деятельности, — в течение срока действия гражданско-правового договора и срока исковой давности после его завершения;
— Персональные данные, обрабатываемые в связи с трудовыми отношениями, в течение действия трудового договора и 75 лет после завершения действия трудового договора, и 50 лет в отношении договоров заключенных после 2003 года;
6.6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.
6.6.1. В случае выявления неточности персональных данных оператор обязан в срок, не превышающий трех рабочих дней с даты выявления этого факта, внести необходимые изменения, в случае невозможности уточнения уничтожить или блокировать ПДн, а также уведомить о своих действиях субъекта персональных данных, если субъект предоставит сведения о том, что данные устарели, недостоверны или получены незаконно.
6.6.2. Уничтожение ПД производится в следующих случаях:
— в случае обнаружения неправомерности обработки персональных данных в срок не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора; при невозможности обеспечить ее правомерность (ч. 3 ст. 21 закона № 152-ФЗ), оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя.
— при достижении цели, ради которой оператор собирал и обрабатывал данные (ч. 4 ст. 21 закона № 152-ФЗ) оператор должен уничтожить ПДн в срок не превышающий 30 рабочих дней, если иное не предусмотрено договором или иными соглашениями;
— в случае, если субъект персональных данных требует ликвидировать их в связи с недостоверностью или неправомерностью их использования (ч. 1 ст. 14, ч. 3 ст. 20 закона № 152-ФЗ) оператор обязан уничтожить ПДн субъекта в срок не превышающий 7 рабочих дней с момента поступления соответствующего заявления;
— в случае, если субъект персональных данных отзывает согласие на обработку данных (ч. 5 ст. 21 закона № 152-ФЗ) информация о нем должна быть уничтожена в течение 30 дней со дня отзыва согласия, если для целей обработки сохранять данные больше не нужно.
6.6.2.1. Оператор может продолжить обработку ПДн случае наличия в договоре (соглашении) между Оператором и субъектом персональных данных специально оговоренного пункта или при наличии у Оператора законных оснований.
6.7. По запросу субъекта персональных данных (его представителя) оператор обязуется сообщить о наличии у него его персональных данных, а также предоставить возможность ознакомления с ними».
7. Трансграничная передача персональных данных
7.1. Оператор не осуществляет трансграничную передачу персональных данных.
7.2. В случае возникновения необходимости осуществить трансграничную передачу данных оператор до начала осуществления трансграничной передачи персональных данных обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надежная защита прав субъектов персональных данных.
7.3. Трансграничная передача персональных данных на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только в случае наличия отдельного согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является субъект персональных данных.
8. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
8.1. Работники Организации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
8.2. Директор Организации за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника, несет административную ответственность согласно ст. 5.27 и 5.39 Кодекса об административных правонарушениях Российской Федерации, а также возмещает работнику ущерб, причиненный неправомерным использованием информации, содержащей персональные данные работника.
9. Заключительные положения
9.1. Субъект персональных данных может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты info@shiffersinstitute.com.
9.2. В данном документе будут отражены любые изменения политики обработки персональных данных Оператором. Политика действует бессрочно до замены ее новой версией.
9.3. Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу: https://shiffersinstitute.com/personalnye-dannye.
