1.Общие положения
1.1. Настоящее Положение по обработке персональных данных (далее — Положение) учебным центром ООО «ГК КРЫМРЕСУРС» (далее учебный центр) разработано в соответствии с Федеральным законом № 149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и о защите информации», Федеральным законом № 152-ФЗ от 27.07.2006 «О персональных данных», Федеральным законом «Об образовании в Российской Федерации» от 29.12.2012 № 273-ФЗ, постановлением Правительства от 31 мая 2021 г. № 825 «О федеральной информационной системе «Федеральный реестр сведений о документах об образовании и (или) квалификации, документах об обучении», нормативными правовыми документами учебного центра.
1.2. Упорядочение обращения с персональными данными имеет целью обеспечения соблюдения законов и иных нормативных правовых актов и исполнения договоров, стороной которых являются субъекты персональных данных.
1.3. Сведения о персональных данных субъектов относятся к числу конфиденциальных (составляющих охраняемую законом тайну). Режим конфиденциальности в отношении персональных данных снимается по окончанию передачи данных в федеральную информационную систему «Федеральный реестр сведений о документах об образовании и (или) квалификации, документах об обучении».
2. Основные понятия
2.1. Для целей настоящего Положения используются следующие основные понятия:
Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152- ФЗ).
Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ.
Субъекты персональных данных, не являющиеся сотрудниками учебного центра — клиенты; физические лица, с которыми заключены договора об оказании образовательных услуг.
Распространение персональных данных — действия, направленные на раскрытие персональных данных слушателей неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).
Предоставление персональных данных — действия, направленные на раскрытие персональных данных слушателей определенному лицу или определенному кругу лиц (п. 6 ст. 3 Федерального закона от 27.07.2006 № 152- ФЗ).
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных слушателей и (или) в результате которых уничтожаются материальные носители персональных данных работников (п. 8 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).
Информация — сведения (сообщения, данные) независимо от формы их представления.
Документированная информация — зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
3. Состав персональных данных Слушателей
3.1. Информация, представляемая слушателями при заключении договора об оказании образовательных услуг:
-фамилия, имя, отчество (при наличии);
-дата рождения (число, месяц, год рождения);
-паспортные данные;
-страховой номер индивидуального лицевого счета;
-гражданство (код страны по Общероссийскому классификатору стран мира);
-документ об образовании (ВО или СПО, номер и серия бланка);
-документ, подтверждающий смену фамилии/имени/отчества (при необходимости);
-контактный телефон;
-адрес электронной почты.
3.2. Учебный центр вправе создавать (создавать, собирать) и хранить следующие документы и сведения, содержащие данные о слушателях:
-договоры об оказании образовательных услуг;
-заявки с согласием на обработку персональных данных;
-приказы о зачислении на обучение;
-ведомости выдачи документов об обучении (образовании).
4.Обработка персональных данных Слушателей
4.1. Источником информации обо всех персональных данных слушателей, не являющиеся сотрудниками учебного центра, является непосредственно слушатель, с которым заключён договор об оказании образовательных услуг.
4.2. Учебный центр не имеет права получать и обрабатывать персональные данные слушателя о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.
4.3. В целях обеспечения прав и свобод человека и гражданина учебный центр и его законные, полномочные представители при обработке персональных данных слушателей должны выполнять следующие общие требования:
• обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов или иных правовых актов в процессе оказания слушателю образовательных услуг по программам профессионального обучения или дополнительного образования;
• при определении объема и содержания обрабатываемых персональных данных учебный центр должен руководствоваться Конституцией Российской Федерации, законом об образовании в Российской Федерации и иными федеральными законами;
— защита персональных данных слушателя от неправомерного их использования, утраты обеспечивается учебным центром за счет его средств в порядке, установленном федеральным законом;
— слушатели должны быть ознакомлены с документами учебного центра, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области;
• во всех случаях отказ слушателя от своих прав на сохранение и защиту тайны недействителен;
• общедоступные персональные данные могут обрабатываться учебным центром в автоматизированном и неавтоматизированном виде без установления требований по обеспечению безопасности информации. Обеспечение целостности указанных сведений осуществляется при необходимости;
• публикация (размещение) в общедоступном источнике персональных данных слушателей не осуществляется даже при наличии их.
5. Защита персональных данных
5.1.Под защитой персональных данных в учебном центре понимается комплекс мер (организационно-распорядительных, технических, юридических), направленных на предотвращение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных субъектов, а также от иных неправомерных действий.
5.2. Защита персональных данных в учебном центре осуществляется за счет учебного центра в порядке, установленном федеральным законом Российской Федерации.
5.3. Общую организацию защиты персональных данных осуществляет директор ООО «ГК КРЫМРЕСУРС» Перминов И.А.
5.4. Доступ к персональным данным имеют сотрудники учебного центра, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей.
5.5. Процедура оформления доступа к персональным данным включает в себя:
-ознакомление сотрудника под роспись с настоящим Положением;
-при наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных, с данными актами также производится ознакомление под роспись;
-истребование с сотрудника (за исключением директора) письменного обязательства о соблюдении конфиденциальности персональных данных и соблюдении правил их обработки в соответствии с внутренними локальными актами учебного центра, регулирующих вопросы обеспечения безопасности конфиденциальной информации. (Приложение 1).
5.6. Сотрудник учебного центра, имеющий доступ к персональным данным в связи с исполнением трудовых обязанностей обеспечивает хранение информации, содержащей персональные данные, исключающее доступ к ним третьих лиц.
5.7. В отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные.
5.8. При увольнении сотрудника, имеющего доступ к персональным данным, документы и иные носители, содержащие персональные данные, передаются другому сотруднику, имеющему доступ к персональным данным по указанию директора.
6.Передача персональных данных
6.1. Под передачей персональных данных субъекта понимается распространение информации в федеральную информационную с систему «Федеральный реестр сведений о документах об образовании
и (или) квалификации, документах об обучении».
6.2. При передаче персональных данных работники учебного центра должны соблюдать следующие требования:
— не сообщать персональные данные слушателя в коммерческих целях без его письменного согласия;
• не сообщать персональные данные слушателя третьей стороне без письменного согласия слушателя, за исключением случаев, установленных законодательством Российской Федерации;
• предупредить лиц, получающих персональные данные слушателя о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные слушателя обязаны соблюдать режим секретности (конфиденциальности).
• разрешать доступ к персональным данным слушателей только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные слушателей, которые необходимы для выполнения конкретных функций;
• осуществлять передачу персональных данных слушателей в пределах учебного центра в соответствии с настоящим Положением, нормативной документацией и должностными инструкциями;
• предоставлять доступ слушателям к своим персональным данным при обращении либо при получении запроса. Учебный центр обязан сообщить субъекту персональных данных информацию о наличии персональных данных о нем, а также предоставить возможность ознакомления с ними в течение десяти рабочих дней с момента обращения;
• передавать персональные данные слушателя представителям слушателя в порядке, установленном законодательством и нормативной документацией и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функции.
7. Хранение персональных данных
7.1. Хранение и использование персональных данных.
Под хранением персональных данных понимается существование записей на материальных носителях.
7.1.2. Персональные данные слушателей хранятся на бумажных носителях в складском помещении, под замком.
7.1.3. Хранение персональных данных слушателей может осуществляться не дольше, чем этого требуют цели обработки, если иное не предусмотрено федеральными законами Российской Федерации.
7.2. Сроки хранения персональных данных.
7.2.1.Сроки хранения договоров об оказании образовательных услуг, содержащих персональные данные слушателей, а также сопутствующих их заключению, исполнению документов — 5 лет с момента окончания действия договоров.
7.2.2.В течение срока хранения персональные данные не могут быть обезличены или уничтожены.
7.2.3.По истечении срока хранения персональные данные могут быть уничтожены на бумажном носителе в порядке, установленном в настоящем Положении и действующем законодательстве Российской Федерации.
8.Уничтожение персональных данных
8.2. Бумажные носители документов с персональными данными слушателей уничтожаются, при условии, что все договорные отношения завершены.
8.3. Учебный центр обязан обеспечить конфиденциальность в отношении персональных данных при необходимости проведения испытаний уничтожения на бумажных и материальных носителях.
8.4. Уничтожение персональных данных слушателей подразумевает прекращение какого-либо доступа к персональным данным слушателей.
8.5. В учебном центре издается приказ «О создании комиссии по уничтожению персональных данных».
8.6. Комиссия по уничтожению персональных данных составляет акт (Приложение 2) об уничтожении персональных данных.
8.7. Материальные носители документов при уничтожении персональных данных уничтожаются и восстановлению не подлежат.
8.8. Уничтожение персональных данных на материальных носителях, осуществляется следующими способами:
• исключающим дальнейшую обработку этих персональных данных, зафиксированных на бумажном материальном носителе (сожжение, шредирование);
• исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на электронном материальном носителе (перезапись, форматирование).
8.9. Операция уничтожения персональных данных необратима.
8.10. Срок, после которого возможна операция уничтожения персональных данных слушателей, определяется окончанием срока, указанным в пункте 7.2 настоящего Положения.
8.11. Резервное копирование не осуществляется.
9. Ответственность за нарушение норм, регулирующих обработку персональных данных
9.1.Работники учебного центра, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами и внутренними локальными актами учебного центра.
9.2. Директор ООО «ГК КРЫМРЕСУРС» Перминов И.А. за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника, несет административную ответственность согласно ст. 5.27 и 5.39 Кодекса об административных правонарушениях Российской Федерации, а также возмещает работнику ущерб, причиненный неправомерным использованием информации, содержащей персональные данные работника.
Я согласен(на), что мои персональные данные будут обрабатываться способами, соответствующими целям обработки персональных данных, в том числе с использованием средств автоматизации или без использования таких средств, также я согласен(на) с тем, что согласие данное мной в электронной форме является согласием, полностью отвечающим требованиям законодательства о персональных данных и позволяющим подтвердить факт его получения.
Настоящее согласие распространяется на все персональные данные, предоставляемые мной, включая и не ограничиваясь, моими фамилией, именем, отчеством, полом, датой рождения, адресом проживания, домашним/мобильным телефоном, адресом электронной почты, паспортными данными и иной персональной информацией.
Предоставляя данную информацию, я подтверждаю ее действительность и достоверность.
Приложение № 1
к Положению об обработке персональных данных слушателей ООО «ГК КРЫМРЕСУРС» от «___» ________ 202__г.
Обязательство о неразглашении защищаемой информации
Я,_______________________________,(Ф.И.О.)
исполняющий(ая) должностные обязанности по (замещаемой) должности,
___________________________________
(должность, наименование структурного подразделения)
предупрежден(а) о том, что на период исполнения должностных обязанностей мне будет предоставлен допуск к информации, содержащей персональные данные.
В соответствии со статьей 7 Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных» я уведомлен(а) о том, что персональные данные являются конфиденциальной информацией и я обязан(а) не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, ставших известными мне в связи с исполнением должностных обязанностей.
Настоящим добровольно принимаю на себя обязательства:
1. Не передавать и не разглашать третьим лицам информацию, содержащую персональные данные, а также информацию о событиях безопасности, которая мне доверена (будет доверена) или станет известной в связи с исполнением должностных обязанностей.
2. В случае попытки третьих лиц получить от меня информацию, содержащую персональные данные, сообщить об инциденте лицу, ответственному за организацию обработки персональных данных, непосредственному начальнику или прямому начальнику.
3. Не использовать информацию, содержащую персональные данные, с целью получения выгоды.
4. Выполнять требования нормативных правовых актов, регламентирующих вопросы защиты персональных данных.
5. После прекращения права на допуск к информации, содержащей персональные данные, не разглашать и не передавать третьим лицам известную мне информацию, содержащую персональные данные.
Обязуюсь прекратить обработку персональных данных, ставших известными мне в связи с исполнением должностных обязанностей, в случае расторжения со мной служебного контракта, освобождения меня от замещаемой должности и увольнения с гражданской службы.
Я предупрежден(а) о том, что в случае нарушения данного обязательства, буду привлечен(а) к дисциплинарной ответственности и/или иной ответственности в соответствии с законодательством Российской Федерации.
//
(дата) (подпись) (расшифровка подписи)
Приложение 2
Акт об уничтожении персональных данных
Комиссия в составе:
ФИО
Должность
Председатель
Члены комиссии
провела отбор материальных носителей персональных данных и установила, что в соответствии с требованиями регламентирующих документов по обработке и защите персональных данных в ООО «ГК КРЫМРЕСУРС» и на основании
(неправомерных действий, по достижению цели обработки, по заявлению субъекта
ПДн, по истечении сроков хранения)
и приняла решение о гарантированном уничтожении информации, содержащейся на них:
№ п/п
Дата
Тип носителя
Регистрационный номер носителя персональных данных
Примечание
Всего носителей
(цифрами и прописью)
На указанных носителях персональные данные уничтожены путем
.
(стирания на устройстве гарантированного уничтожения информации и т.п.)
Перечисленные носители персональных данных уничтожены путем
.
(разрезания, механического уничтожения, сдачи предприятию по утилизации вторичного сырья и т.п.)
Председатель комиссии:
/ / Члены комиссии: