Политика в отношении обработки персональных данных

1.ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика обработки и защиты персональных данных (Политика конфиденциальности персональной информации) (далее – Политика) определяет порядок обработки персональных данных и меры по обеспечению их безопасности в Частном учреждении дополнительного профессионального образования «Учебный центр Торгово-промышленной палаты Нижегородской области», ИНН: 5260118331 (далее – ЧУ ДПО «Учебный центр ТПП НО», оператор, работодатель) с целью защиты прав субъектов персональных данных при обработке предоставленной ими персональной информации.
1.2. Политика разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
1.3. В настоящей Политике используются следующие термины и определения:
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
обезличивание персональных данных – действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;
обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
оператор – организация (ЧУ ДПО «Учебный центр ТПП НО»), осуществляющая обработку персональной информации, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных;
работник – физическое лицо, состоящее или состоявшее в ЧУ ДПО «Учебный центр ТПП НО» в трудовых отношения.
1.4. В ЧУ ДПО «Учебный центр ТПП НО» обрабатываются следующие персональные данные:
- фамилия, имя, отчество;
- пол;
- дата и место рождения;
- гражданство;
- сведения о знании иностранных языков;
- данные об образовании (наименование учебного заведения, год окончания, документ об образовании, квалификация, специальность);
- профессия;
- трудовая деятельность
- семейное положение;
- данные о членах семьи (степень родства, Ф. И. О., год рождения, паспортные данные, включая прописку и место рождения);
- данные о документах, удостоверяющих личность;
- адрес места регистрации и фактического проживания;
- фотографическое изображение;
- номер телефона (домашний, сотовый);
- сведения о воинском учёте;
- сведения о состоянии здоровья работника, необходимые работодателю для определения пригодности для выполнения поручаемой работы и предупреждения профессиональных заболеваний, предусмотренные действующим законодательством Российской Федерации;
- сведения об аттестации, повышении квалификации, профессиональной переподготовке работника;
- сведения об имеющихся наградах (поощрениях), почётных званиях;
- сведения о номере и серии страхового свидетельства государственного пенсионного страхования;
- сведения об идентификационном номере налогоплательщика;
- сведения о социальных льготах (в соответствии с действующим законодательством Российской Федерации);
- иные сведения, необходимые работодателю в соответствии с действующим законодательством Российской Федерации в области персональных данных, с помощью которых можно идентифицировать субъекта персональных данных.

2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обработка персональных данных в ЧУ ДПО «Учебный центр ТПП НО» осуществляется на основе следующих принципов:
– обработка персональных данных осуществляется на законной и справедливой основе;
– обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
– не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
– обработке подлежат только персональные данные, которые отвечают целям их обработки;
– содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
– при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. ЧУ ДПО «Учебный центр ТПП НО» принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
– хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
– обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом № 152-ФЗ или другими федеральными законами.

3. ОБРАБОТКА, ПЕРЕДАЧА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА

3.1. Согласно настоящему разделу Политики, персональные данные обрабатываются с целью применения и исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ними отношений, в том числе:
- при содействии в трудоустройстве;
- ведении кадрового и бухгалтерского учета;
- содействии работникам в получении образования и продвижении по службе;
- оформлении награждений и поощрений;
- предоставлении со стороны ЧУ ДПО «Учебный центр ТПП НО» установленных законодательством условий труда, гарантий и компенсаций;
- заполнении и передаче в уполномоченные органы требуемых форм отчетности;
- обеспечении личной безопасности работников и сохранности имущества;
- осуществлении контроля за количеством и качеством выполняемой работы.
3.2. К субъектам, персональные данные которых обрабатываются в ЧУ ДПО «Учебный центр ТПП НО» в соответствии с настоящим разделом Политики, относятся:
- кандидаты для приема на работу;
- работники;
- бывшие работники;
- члены семей работников – в случаях, когда согласно законодательству сведения о них предоставляются работником;
- иные лица, персональные данные которых ЧУ ДПО «Учебный центр ТПП НО» обязано обрабатывать в соответствии с трудовым законодательством и иными актами, содержащими нормы трудового права.
3.3. Все персональные данные работника работодатель может получить только от него самого. В случаях, когда работодатель может получить необходимые персональные данные работника только у третьего лица, работодатель в обязательном порядке уведомляет об этом работника и получает от него письменное согласие.
3.4. Работодатель в обязательном порядке сообщает работнику о целях, способах и источниках получения персональных данных, а также о перечне подлежащих получению персональных данных и возможных последствиях отказа работника дать письменное согласие на их получение.
3.5. При изменении персональных данных работник письменно уведомляет работодателя о таких изменениях в срок, не превышающий 10 рабочих дней с момента их изменения.
3.6. Персональные данные работника являются конфиденциальной информацией и не могут быть использованы работодателем или любым иным лицом в личных целях.
3.7. При определении объема и содержания персональных данных работника работодатель руководствуется настоящей Политикой, Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, иными федеральными законами.
3.8. Работодатель, работник и его представители совместно разрабатывают меры защиты персональных данных работника.
3.9. Работник не должен отказываться от своих прав на сохранение и защиту тайны.
3.10. Обработка персональных данных работника осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов; содействия работнику в трудоустройстве, обучении и продвижении по службе; обеспечения личной безопасности работника; контроля количества и качества выполняемой работы; обеспечения сохранности имущества работодателя.
3.11. Работодатель обрабатывает в информационных системах с использованием средств автоматизации следующие категории персональных данных работника, обеспечивает их защиту с учетом определенного типа угроз безопасности и уровня защищенности персональных данных:
Категория персональных данных только – общие персональные данные.
Перечень персональных данных:
- фамилия, имя, отчество;
- пол;
- год, месяц, дата рождения;
- место рождения;
- адрес места регистрации и фактический адрес;
- семейное положение;
- образование;
- профессия;
- доходы.
Категория работников – все работники.
Тип угрозы – угрозы 3 типа.
Уровень защищенности – 3 уровень защищенности.
Срок обработки и хранения – 3 года с момента прекращения трудовых отношений.
3.12. При 3-м уровне защищенности персональных данных работодатель:
- обеспечивает режим безопасности помещений, в которых размещена информационная система, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
- обеспечивает сохранность носителей персональных данных;
- утверждает перечень работников, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
- использует средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации;
- назначает должностное лицо (работника), ответственного за обеспечение безопасности персональных данных в информационной системе.
3.13. Работодатель обрабатывает без использования средств автоматизации следующие категории персональных данных работника, которые хранятся на бумажных носителях, и обеспечивает их защиту:
Категория персональных данных только – общие персональные данные.
Перечень персональных данных:
- фамилия, имя, отчество;
- пол;
- год, месяц, дата рождения;
- место рождения;
- адрес места регистрации и фактический адрес;
- семейное положение;
- образование;
- профессия;
- доходы.
Категория работников – все работники.
Срок обработки и хранения – 3 года с момента прекращения трудовых отношений.
3.14. Работодатель при обработке персональных данных работника на бумажных носителях в целях обеспечения их защиты:
- назначает должностное лицо (работника), ответственного за обработку персональных данных;
- ограничивает допуск в помещения, в которых хранятся документы, содержащие персональные данные работников.
Иные права, обязанности, действия работников, в трудовые обязанности которых входит обработка персональных данных работника, определяются должностными инструкциями.
3.15. Все сведения о передаче персональных данных работника учитываются для контроля правомерности использования данной информации лицами, ее получившими.
3.16. Передача персональных данных по запросам третьих лиц, если такая передача прямо не предусмотрена законодательством Российской Федерации, допускается исключительно с согласия работника на обработку его персональных данных в части их предоставления или согласия на распространение персональных данных.
3.17. Передача информации, содержащей сведения о персональных данных работников, по телефону, в связи с невозможностью идентификации лица, запрашивающего информацию, запрещается.
3.18 Персональные данные работника хранятся в сейфе на бумажных носителях: трудовая книжка, личная карточка, личное дело и на электронных носителях с ограниченным доступом.
3.19. Право доступа к персональным данным работника имеет:
- директор;
- методист.
3.20. Работодатель за свой счет обеспечивает защиту персональных данных работника от неправомерного их использования или утраты в порядке, установленном законодательством Российской Федерации.
3.21. Работодатель принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам, в частности, относятся:
1) назначение работодателем ответственного за организацию обработки персональных данных;
2) издание работодателем документов, определяющих его политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на работодателя не предусмотренные законодательством Российской Федерации полномочия и обязанности. Хранение персональных данных должно осуществляться в форме;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике работодателя в отношении обработки персональных данных, локальным актам работодателя;
5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных, соотношение указанного вреда и принимаемых работодателем мер, направленных на обеспечение выполнения обязанностей, предусмотренных названным Федеральным законом;
6) ознакомление работников работодателя, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику работодателя в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
3.22. Работодатель знакомит работника с настоящей Политикой и их правами в области защиты персональных данных под подпись.
3.23. Работодатель осуществляет передачу персональных данных работника только в соответствии с настоящей Политикой и законодательством Российской Федерации.
3.24. Работодатель предоставляет персональные данные работника только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей, в соответствии с настоящей Политикой и законодательством Российской Федерации.
3.25. Работодатель не вправе получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни.
3.26. В случаях, непосредственно связанных с вопросами трудовых отношений, работодатель вправе получать и обрабатывать персональные данные работника о его личной жизни, только с письменного согласия работника.
3.27. Работодатель не вправе получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или профсоюзной деятельности, за исключением случаев, предусмотренных законодательством Российской Федерации.
3.28. Работодатель не вправе предоставлять персональные данные работника в коммерческих целях без письменного согласия работника.
3.29. Согласие на обработку персональных данных, разрешенных работником для распространения, оформляется отдельно от иных согласий работника на обработку его персональных данных. Работодатель обеспечивает работнику возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных работником для распространения.
3.30. В согласии на обработку персональных данных, разрешенных работником для распространения, работник вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных работодателем неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ работодателя в установлении работником запретов и условий, предусмотренных настоящим пунктом, не допускается.
3.31. Установленные работником запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных им для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.
3.32. Работодатель обеспечивает работнику свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством.
3.33. Работодатель по требованию работника предоставляет ему полную информацию о его персональных данных и обработке этих данных.
3.34. Работник в целях обеспечения защиты своих персональных данных, хранящихся у работодателя, имеет право:
- получать полную информацию о своих персональных данных, их обработке, хранении и передаче;
- определять своих представителей для защиты своих персональных данных;
- требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушениями настоящей Политики и законодательства Российской Федерации.
3.35. При отказе работодателя исключить или исправить персональные данные работника работник вправе заявить работодателю в письменном виде о своем несогласии с соответствующим обоснованием;
- требовать от работодателя извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.
3.36. Если работник считает, что работодатель осуществляет обработку его персональных данных с нарушением требований Закона о персональных данных или иным образом нарушает его права и свободы, работник вправе обжаловать действия или бездействие работодателя в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

4. ОБРАБОТКА, ПЕРЕДАЧА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ И КОНТРАГЕНТОВ

4.1. Персональные данные Клиента или Контрагента относятся к категории конфиденциальной информации.
К понятию «Клиенты» также относятся абитуриенты и обучающиеся в ЧУ ДПО «Учебный центр ТПП НО», направляемые для обучения юридическими лицами.
4.2. Цель обработки персональных данных: заключение сделок с физическими лицами:
- на оказание услуг, предоставляемых ЧУ ДПО «Учебный центр ТПП НО»;
- на оказание услуг, проведение работ, поставку для нужд ЧУ ДПО «Учебный центр ТПП НО».
4.3. В целях обеспечения прав и свобод человека и гражданина при обработке персональных данных Клиента или Контрагента должны соблюдаться следующие общие требования:
- обработка персональных данных должна осуществляться на законной и справедливой основе, исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия выполнения договорных обязательств в соответствии с законодательством Российской Федерации;
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных за исключением случаев, предусмотренных законодательством Российской Федерации, когда обработка персональных данных допускается без согласия субъекта персональных данных, при условии регламентации вопросов обработки персональных данных соответствующим законодательством Российской Федерации;
- обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Должны принимать необходимые меры по удалению или уточнению неполных или неточных данных;
- хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
- не подлежат получению и обработке персональные данные Клиента или Контрагента о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством Российской Федерации;
- персональные данные не могут быть использованы в целях причинения имущественного и морального вреда Клиента или Контрагента, затруднения реализации его прав и свобод.
4.4. При идентификации Клиента или Контрагента допускается возможность затребовать предъявления документов, удостоверяющих личность и подтверждающих полномочия представителя.
4.5. При заключении договора, как и в ходе выполнения договора может возникнуть необходимость в предоставлении Клиентом иных документов, содержащих информацию о нем.
4.6. ЧУ ДПО «Учебный центр ТПП НО» обрабатывает в информационных системах с использованием средств автоматизации следующие категории персональных данных Клиента или Контрагента, обеспечивает их защиту с учетом определенного типа угроз безопасности и уровня защищенности персональных данных:
Категория персональных данных только – общие персональные данные.
Перечень персональных данных:
- фамилия, имя, отчество;
- год, месяц, дата рождения;
- гражданство;
- место рождения;
- адрес места регистрации и фактический адрес;
- сведения о номере и серии страхового свидетельства государственного пенсионного страхования;
- сведения об идентификационном номере налогоплательщика.
- сведения об образовании.
Категория Клиентов или Контрагентов – все Клиенты или Контрагенты.
Тип угрозы – угрозы 3 типа.
Уровень защищенности – 3 уровень защищенности.
Срок обработки и хранения – 3 года с момента прекращения договора.
4.7. После принятия решения о заключении договора или представления документов, подтверждающих полномочия представителя, а также впоследствии, в процессе выполнения договора, содержащего персональные данные Клиента или Контрагента, так же будут относиться:
- договоры;
- приказы по основной деятельности;
- служебные записки;
- другие документы, где включение персональных данных Клиента или Контрагента необходимо согласно действующему законодательству.
4.8. Передача персональных данных по запросам третьих лиц, если такая передача прямо не предусмотрена законодательством Российской Федерации, допускается исключительно с согласия Клиента или Контрагента на распространение персональных данных в письменном или электронном виде, написанном в определенной форме.

5. ОБРАБОТКА, ПЕРЕДАЧА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ЧЛЕНОВ КОЛЛЕГИАЛЬНЫХ ОРГАНОВ ЧУ ДПО «УЧЕБНЫЙ ЦЕНТР ТПП НО»

5.1. Цель обработки персональных данных:
- хранение и публикация и передача контрагентам, при проверке контролирующих лиц, сведений о составе коллегиальных органах управления;
5.2. ЧУ ДПО «Учебный центр ТПП НО» обрабатывает в информационных системах с использованием средств автоматизации следующие категории персональных данных членов коллегиальных органов, обеспечивает их защиту с учетом определенного типа угроз безопасности и уровня защищенности персональных данных:
Категория персональных данных – общие персональные данные.
Перечень персональных данных:
- фамилия, имя, отчество;
- год, месяц, дата рождения;
- номер телефона (домашний, сотовый).
Категория – членов коллегиальных органов.
Тип угрозы – угрозы 4 типа.
Уровень защищенности – 4 уровень защищенности.
Срок обработки и хранения – с момента выхода из членов коллегиального органа.

6. ПЕРСОНАЛЬНАЯ ИНФОРМАЦИЯ ПОЛЬЗОВАТЕЛЕЙ, КОТОРУЮ ПОЛУЧАЕТ И ОБРАБАТЫВАЕТ ЧУ ДПО «УЧЕБНЫЙ ЦЕНТР ТПП НО» С ИСПОЛЬЗОВАНИЕМ ЭЛЕКТРОННЫХ СЕРВИСОВ

6.1. Политика действует в отношении всей информации, которую оператор, может получить о пользователе (субъекте персональных данных) через собственные информационные ресурсы (приложения, веб-страницы, и др.), (далее – Сервисы, Сервисы ЧУ ДПО «Учебный центр ТПП НО»).
6.2. Использование Сервисов ЧУ ДПО «Учебный центр ТПП НО» означает безоговорочное согласие пользователя с настоящей Политикой и указанными в ней условиями обработки его персональной информации; в случае несогласия с этими условиями пользователь должен воздержаться от использования Сервисов.
6.3. В рамках настоящего раздела Политики под «персональной информацией пользователя» понимаются:
- персональная информация, которую пользователь предоставляет о себе самостоятельно при обращении или в процессе использования Сервисов, включая персональные данные пользователя. Обязательная для предоставления Сервисов (оказания услуг, выполнения функций) информация помечена специальным образом. Иная информация предоставляется пользователем на его усмотрение.
- данные, которые автоматически передаются Сервисам ЧУ ДПО «Учебный центр ТПП НО» в процессе их использования с помощью установленного на устройстве пользователя программного обеспечения, в том числе IP-адрес, информация из cookie (небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя. Веб-клиент (обычно веб-браузер) всякий раз при попытке открыть страницу соответствующего сайта пересылает этот фрагмент данных веб-серверу в составе технического запроса. Применяется для сохранения данных на стороне пользователя.).
- информация о браузере пользователя (или иной программе, с помощью которой осуществляется доступ к Сервисам), время доступа, адрес запрашиваемой страницы.
- иная информация о пользователе, сбор и/или предоставление которой определено в Регламентирующих документах отдельных Сервисов ЧУ ДПО «Учебный центр ТПП НО».
6.4. Настоящая Политика применима только к Сервисам ЧУ ДПО «Учебный центр ТПП НО». ЧУ ДПО «Учебный центр ТПП НО» не контролирует и не несет ответственность за сайты третьих лиц, на которые пользователь может перейти по ссылкам, доступным на разделах (сайтах) ЧУ ДПО «Учебный центр ТПП НО», в том числе в результатах поиска. На таких сайтах у пользователя может собираться или запрашиваться иная персональная информация, а также могут совершаться иные действия.
6.5. ЧУ ДПО «Учебный центр ТПП НО» в общем случае не проверяет достоверность персональной информации, предоставляемой пользователями, и не осуществляет контроль за их дееспособностью. Однако ЧУ ДПО «Учебный центр ТПП НО» исходит из того, что пользователь предоставляет достоверную и достаточную персональную информацию по вопросам, предлагаемым в форме обращения, и поддерживает эту информацию в актуальном состоянии.
6.6 Лица, передавшие оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.

7. ТРЕБОВАНИЯ К ПОМЕЩЕНИЯМ, В КОТОРЫХ ПРОИЗВОДИТСЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Размещение оборудования информационных систем персональных данных, специального оборудования и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
7.2. Помещения, в которых располагаются технические средства информационных систем персональных данных или хранятся носители персональных данных, должны соответствовать требованиям пожарной безопасности, установленным действующим законодательством Российской Федерации.
7.3. Определение уровня специального оборудования помещения осуществляется ответственным лицом за обработку персональных данных. По результатам определения класса и обследования помещения на предмет его соответствия такому классу директором ЧУ ДПО «Учебный центр ТПП НО» принимается Приказ об утверждении мест хранения персональных данных.

8. ПОРЯДОК УНИЧТОЖЕНИЯ, БЛОКИРОВАНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. В случае выявления неправомерной обработки персональных данных при обращении работника, контрагента или клиента осуществляется блокирование неправомерно обрабатываемых персональных данных, относящихся к этому физическому лицу, с момента такого обращения на период проверки если блокирование персональных данных не нарушает права и законные интересы данного физического лица или третьих лиц.
8.2. В случае подтверждения факта неточности персональных данных на основании сведений, представленных работником, или иных необходимых документов персональные данные уточняются в течение семи рабочих дней со дня представления таких сведений и снимается блокирование персональных данных.
8.3. В случае выявления неправомерной обработки персональных данных, в срок, не превышающий трех рабочих дней с даты этого выявления, неправомерная обработка персональных данных прекращается.
8.4. В случае если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, такие персональные данные уничтожаются.
8.5. Об устранении допущенных нарушений или об уничтожении персональных данных физическое лицо письменно уведомляется в течение трёх рабочих дней.
8.6. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав физического лица, с момента выявления такого инцидента уполномоченный орган по защите прав субъектов персональных данных уведомляется:
- в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав, и предполагаемом вреде, нанесенном правам физического лица, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставляет сведения о лице, уполномоченном работодателем на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
- в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставляет сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
8.7. В случае достижения цели обработки персональных данных обработка персональных данных прекращается и уничтожаются персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором.
8.8. В случае отзыва работником согласия на обработку его персональных данных работодатель прекращает их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено трудовым договором.
8.9. В случае поступления обращения с требованием о прекращении обработки персональных данных в срок, не превышающий десяти рабочих дней с даты получения соответствующего требования, их обработка прекращается, за исключением случаев, предусмотренных Законом о персональных данных.
Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
8.10. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 8.3-8.9 настоящей Политики, осуществляется блокирование таких персональных данных и обеспечивается их уничтожение в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
8.11. О факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав физических лиц уведомляется Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, в порядке, утвержденном приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 14 ноября 2022г. № 187.
8.12. После истечения срока нормативного хранения документов, содержащих персональные данные, или при наступлении иных законных оснований документы подлежат уничтожению.
8.13. Для целей уничтожения персональных данных создаются экспертная комиссия и проводится экспертиза ценности документов.
8.14. По результатам экспертизы документы, содержащие персональные данные подлежащие уничтожению:
- на бумажном носителе - измельчаются в шредере;
- в электронном виде - стираются с информационных носителей либо физически уничтожаются сами носители, на которых хранится информация.
8.15. В случае если обработка персональных данных осуществлялась без использования средств автоматизации, документом, подтверждающим уничтожение персональных данных работников, является акт об уничтожении персональных данных.
8.16. В случае если обработка персональных данных осуществлялась с использованием средств автоматизации, документами, подтверждающими уничтожение персональных данных работников, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных.

9. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА

9.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
9.2. Моральный вред, причиненный вследствие нарушения прав, нарушения правил обработки персональных данных, установленных Законом о персональных данных, а также требований к защите персональных данных, установленных в соответствии с названным Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных убытков.

10. ВНУТРЕННИЙ КОНТРОЛЬ СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ ЗАКОНОДАТЕЛЬСТВА

10.1. Целью осуществления внутреннего контроля соответствия обработки персональных данных является соблюдение в организации законодательства Российской Федерации о персональных данных, в том числе требований в области защиты персональных данных.
10.2. В рамках мероприятий по внутреннему контролю проверяется:
- наличие утвержденных документов в соответствии с законодательством в области защиты персональных данных;
- актуальность сведений в реестре операторов, осуществляющих обработку персональных данных;
- наличие документов, подтверждающих факт ознакомления работника с локальными документами, регламентирующими порядок и условия обработки его персональных данных;
- выполнение требований по защите персональных данных при их обработке без использования средств вычислительной техники;
- выполнение требований по защите персональных данных при их обработке с использованием средств вычислительной техники;
соответствие состава фактически собираемых и обрабатываемых персональных данных.
10.2. Внутренний контроль подразделяется на плановый и внеплановый.
10.3. Плановый контроль соответствия обработки персональных данных требованиям законодательства проводится один раз в год.
10.4. Внеплановый внутренний контроль проводится по решению лица, ответственного за организацию обработки персональных данных:
- на основании поступившего в письменной форме или в форме электронного документа заявления субъекта персональных данных о нарушении законодательства о персональных данных, а также устного обращения;
- в связи федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
10.5. Внеплановый внутренний контроль должен быть завершен не позднее чем через месяц со дня принятия решения о его проведении.
10.6. Для проведения внутреннего контроля Приказом директора создаётся комиссия
10.7. Результаты внутреннего контроля оформляются в виде акта.
10.8. При выявлении нарушений в ходе внутреннего контроля в справке отражается перечень мероприятий по устранению выявленных нарушений и сроки их устранения.

11. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Безопасность персональных данных, обрабатываемых ЧУ ДПО «Учебный центр ТПП НО», обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных.
Для предотвращения несанкционированного доступа к персональным данным ЧУ ДПО «Учебный центр ТПП НО» применяются следующие организационно-технические меры:
– назначение должностного лица, ответственного за организацию обработки и обеспечение безопасности персональных данных;
– учет работников ЧУ ДПО «Учебный центр ТПП НО», допущенных к обработке персональных данных;
– ознакомление работников ЧУ ДПО «Учебный центр ТПП НО» с требованиями законодательства Российской Федерации и Нижегородской области и внутренних нормативных документов ЧУ ДПО «Учебный центр ТПП НО» по обработке и обеспечению безопасности персональных данных;
– организация учёта, хранения и контроля обращения носителей персональных данных;
– определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных, формирование на их основе Модели угроз и нарушителя безопасности персональных данных; применение необходимых для обеспечения безопасности персональных данных средств защиты информации, в том числе средств криптографической защиты информации;
– обеспечение восстановления персональных данных, в случае их уничтожения или модификации, вследствие получения к ним несанкционированного доступа;
– определение мест хранения персональных данных;
– оценка эффективности принятых мер по обеспечению безопасности персональных данных;
– обеспечение контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищённости персональных данных;
– организация пропускного режима на территорию ЧУ ДПО «Учебный центр ТПП НО», охраны помещений с техническими средствами обработки персональных данных.

12. ИЗМЕНЕНИЕ ПОЛИТИКИ КОНФИДЕНЦИАЛЬНОСТИ. ПРИМЕНИМОЕ ЗАКОНОДАТЕЛЬСТВО

12.1. ЧУ ДПО «Учебный центр ТПП НО» имеет право вносить изменения в настоящую Политику конфиденциальности. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее размещения, если иное не предусмотрено новой редакцией Политики. Действующая редакция всегда находится на странице по адресу: https://tppno-education.ru/politica.
12.2. К настоящей Политике и отношениям между субъектами персональных данных и ЧУ ДПО «Учебный центр ТПП НО», возникающим в связи с применением Политики конфиденциальности, подлежит применению право Российской Федерации.

13. ОБРАТНАЯ СВЯЗЬ. ВОПРОСЫ И ПРЕДЛОЖЕНИЯ

Все предложения или вопросы по поводу настоящей Политики следует сообщать на почту или номера телефонов ЧУ ДПО «Учебный центр ТПП НО»: ves@tpp.nnov.ru, 8 (831) 266-42-10, доб. 1078, 1057.