Политика конфиденциальности

Политика обеспечения конфиденциальности
и порядка обработки персональных данных пользователей сайта

АНО ДПО «Центр повышения квалификации и профессиональной переподготовки»

Настоящая Политика обеспечения конфиденциальности и порядка обработки персональных данных пользователей сайта АНО ДПО «Центр повышения квалификации и профессиональной переподготовки» (далее – «Политика») регулирует отношения, связанные с обработкой персональных данных, осуществляемой АНО ДПО «Центр повышения квалификации и профессиональной переподготовки» (ОГРН: 1167700064938, ИНН/ КПП: 7714409433/771401001, юридический адрес: 125124, город Москва, улица 3-Я Ямского поля, дом 2, корпус 13, пом. IX, ком. 44), далее – «Оператор», с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных». Обработка персональных данных осуществляется на территории Российской Федерации, на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных и в соответствии с законодательством Российской Федерации.

  1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯДля целей применения и толкования настоящей Политики используются определенные ниже основные термины (если в Политике прямо не указано иное). В тексте Политики эти термины могут быть указаны с большой или маленькой буквы в единственном или множественном числе, а также в виде сокращений.Персональные данные  –  любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

    Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

    Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

    Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

    Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

    Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

    Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

    Обезличивание персональных данных  – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

    Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

    Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

     

  2. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

    1. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных законом. Обработка персональных данных допускается в следующих случаях:
      1. обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
      2. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем;
      3. обработка персональных данных необходима для осуществления прав и законных интересов Оператора, третьих лиц и публичных интересов в случаях и с ограничениями, предусмотренных (предусмотренными) законом;
      4. осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
    2. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
    3. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
    4. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор.
    5. Оператор не имеет права получать и обрабатывать персональные данные субъектов, содержащие сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, кроме как с письменного согласия субъекта персональных данных.
    6. К правовым основаниям обработки персональных данных относятся следующие акты законодательства Российской Федерации:
      1. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации;
      2. Федеральный закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
      3. Иные нормативно-правовые акты.
  3. СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
    1. Субъект персональных данных, заключая договор с Оператором или иным образом взаимодействуя с Оператором, дает согласие Оператору своих персональных данных.
    2. Перечень персональных данных, согласие на обработку которых дает субъект персональных данных в случае предоставления таких данных:
      1. фамилия, имя, отчество (при наличии);
      2. адрес места жительства, пребывания либо иной контактный адрес;
      3. индивидуальный номер налогоплательщика;
      4. реквизиты банковского счета;
      5. контактный номер телефона;
      6. адрес электронной почты;
      7. биометрические данные;
      8. паспортные данные;
      9. данные о профессии, должности, специализации;
      10. сведения, полученные при автоматизированной обработке персональных данных.
    3. АНО ДПО “Центр повышения квалификации и профессиональной переподготовки” (юр. адрес: 125124, город Москва, улица 3-Я Ямского Поля, дом 2 корпус 13, пом. IX, ком. 44), осуществляющего обработку персональных данных по поручению оператора: АНО ДПО “ЦПКПП”, адрес: 125124, город Москва, улица 3-Я Ямского Поля, дом 2 корпус 13, пом. IX, ком. 44 (владелец домена https://cpkpp.ru/).
    4. Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование в целях заключения и исполнения договоров оказания услуг, обезличивание, блокирование, удаление, уничтожение персональных данных, а также иные действия, которые Оператор обязан выполнить в соответствии с Федеральным законом.
    5. Срок, в течение которого действует согласие субъекта персональных данных: 5 (пять) лет.
    6. Способ отзыва согласия: в письменной форме путем направления отзыва по адресу: 125124, город Москва, улица 3-Я Ямского поля, дом 2, корпус 13, пом. IX, ком. 44 или электронному адресу: info@cpkpp.ru.
  4. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
    1. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
    2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
      1. подтверждение факта обработки персональных данных Оператором;
      2. правовые основания и цели обработки персональных данных;
      3. цели и применяемые Оператором способы обработки персональных данных;
      4. наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
      5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
      6. сроки обработки персональных данных, в том числе сроки их хранения;
      7. порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
      8. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
      9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу.
  5. ОБЯЗАННОСТИ ОПЕРАТОРА
    1. Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных субъекта персональных данных с использованием баз данных, находящихся на территории Российской Федерации.
    2. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законом в отношении персональных данных и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законом и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам относятся:
      1. назначение Оператором ответственного за организацию обработки персональных данных;
      2. применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
      3. оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения их прав, предусмотренных настоящей Политикой и законом.
    3. К мерам, необходимым и достаточные для обеспечения выполнения обязанностей Оператора, предусмотренных законом в отношении персональных данных и принятыми в соответствии с ним нормативными правовыми актами могут относиться:
      1. издание Оператором локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
      2. осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных закону и принятым в соответствии с ним нормативным правовым актам, требованиямк защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;
      3. ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
    4. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
    5. Обеспечение безопасности персональных данных достигается:
      1. определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
      2. применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
      3. учетом машинных носителей персональных данных;
      4. обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
      5. контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
    6. Обеспечение безопасности персональных данных может достигаться:
      1. применением прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
      2. восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
      3. установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональным данным, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
      4. совершенствованием и обновлением настоящей Политики.
    7. Оператор обязан предоставить субъекту персональных данных возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя.
    8. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
    9. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя Оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
    10. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора.
    11. Оператор не вправе предоставлять возможность распространения информации и доступа к информации, ограниченной в распространении на территории Российской Федерации.
    12. Оператор обязан также принимать правовые, организационные и технические меры, направленные на соблюдение требований Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», в частности:
      1. обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
      2. соблюдение конфиденциальности информации ограниченного доступа;
      3. реализацию права на доступ к информации;
      4. своевременное обнаружение фактов несанкционированного доступа к информации;
      5. предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
      6. недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
      7. возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
      8. постоянный контроль за обеспечением уровня защищенности информации;
      9. нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.