СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В АНО «ШКОЛА 21»

1. Общие положения

1.1. Настоящее Положение об обработке персональных данных работников АНО «Школа 21» (далее - «Положение») разработано в соответствии с Конституцией РФ, Трудовым кодексом РФ, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и иным действующим законодательством РФ, Уставом и локальными нормативными актами АНО «Школа 21» (далее - «Школа 21»).

1.2. Положение регламентирует порядок работы Школы 21 с персональными данными субъектов персональных данных с использованием средств автоматизации или без использования таких средств, определяет требования к защите (обеспечению конфиденциальности) таких персональных данных.

1.3. Обработка персональных данных по настоящему Положению осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обеспечения личной безопасности работников, контроля количества и качества выполняемой ими работы и обеспечения сохранности имущества Школы 21, а также для достижения уставных целей Школы 21.

1.4. Настоящее Положение является локальным нормативным актом Школы 21 и его действие распространяется на всех работников Школы 21.

1.5. В случае привлечения Школой 21 сторонней организации в целях оказания такой организацией услуг, связанных с обработкой или защитой персональных данных, требования настоящего Положения должны быть доведены до такой организации работниками, в чью компетенцию входит организация совместной работы в рамках оказания таких услуг.

1.6. Настоящее Положение обязательно для исполнения всеми работниками Школы 21 и является основным локальным нормативным актом Школы 21 в области защиты персональных данных. При этом в отношении определенных видов субъектов персональных данных Школой 21 могут быть утверждены отдельные локальные нормативные акты, которые учитывают особенности отношений с такими субъектами при работе с их персональными данными.

1.7. Настоящее Положение вводится с момента его утверждения Приказом Директора Школы 21.

2. Основные термины

Для целей настоящего Положения используются следующие основные термины:

Школа 21 – АНО «Школа 21».

Работник – лица, являющиеся работниками Школы 21 на основании заключенных со Школой 21 трудовых договоров.

Студент – лицо, являющееся получателем услуг Школы 21, оказываемых ею в рамках и для достижения целей, указанных в Уставе Школы 21, по повышению уровня качества образования населения Российской Федерации в сфере информационных технологий (ИТ), развитие системы подготовки квалифицированных кадров в сфере ИТ программирования.

Абитуриент – физическое лицо, вступающие в отношения со Школой 21, для целей получения статуса Студента.

Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая подобная информация.

Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые не распространяется требование соблюдения конфиденциальности в соответствии с законодательством РФ.

Специальные категории персональных данных – данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта персональных данных.

Субъекты персональных данных – Работники, Студенты и Абитуриенты Школы 21, а также иные физические лица, обработка персональных данных которых осуществляется Школой 21 в соответствии с настоящим Положением (далее - «Субъекты», а по отдельности «Субъект»).

Оператор – Школа 21, которая во исполнение законодательства Российской Федерации о персональных данных самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных работника – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Распространение персональных данных – действия, направленные на раскрытие персональных данных Субъектов неопределенному кругу лиц.

Персональные данные, разрешенные Субъектом для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен Субъектом путем дачи согласия на обработку персональных данных, разрешенных Субъектом для распространения.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных Субъектов определенному лицу или определенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных Субъектов (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных Субъектов и (или) в результате которых уничтожаются материальные носители персональных данных Субъектов.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному Субъекту.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Роскомнадзор – Федеральная Служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (уполномоченный федеральный орган исполнительной власти по защите прав Субъектов персональных данных).

3. Конфиденциальность персональных данных

3.1. Персональные данные относятся к конфиденциальной информации.

3.2. Работники Школы 21 и третьи лица, получающие доступ к персональным данным, обязаны обеспечивать конфиденциальность таких данных, за исключением обезличенных данных и общедоступных сведений.

4. Цели сбора персональных данных

4.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

4.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

4.3. Обработка Оператором персональных данных осуществляется в следующих целях:

  • обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;

  • оказания услуг по повышению уровня качества образования населения в сфере информационных технологий, развития системы подготовки квалифицированных кадров в области ИТ программирования, а также осуществления иной деятельности в соответствии с уставом Школы 21;
  • ведения кадрового делопроизводства;

  • содействия работникам в трудоустройстве, получения образования и продвижения по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества;
  • привлечения и отбора кандидатов на работу у Оператора;

  • организации постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;

  • заполнения и передачи в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;

  • ведения бухгалтерского учета;

  • осуществления пропускного режима на территорию объектов Школы 21.

4.4. Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.

5. Правовые основания обработки персональных данных

5.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:

  • Конституция Российской Федерации;

  • Гражданский кодекс Российской Федерации;

  • Трудовой кодекс Российской Федерации;

  • Налоговый кодекс Российской Федерации;

  • Федеральный закон от 12.01.1996 № 7-ФЗ «О некоммерческих организациях»;

  • Федеральный закон от 29.12.2012 N 273-ФЗ «Об образовании в Российской Федерации»;

  • Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;

  • Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;

  • иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.

5.2. Правовым основанием обработки персональных данных также являются:

  • устав Школы 21;
  • договоры, заключаемые между Оператором и субъектами персональных данных;
  • согласие субъектов персональных данных на обработку их персональных данных.

6. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

6.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разделе 4 настоящего Положения. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

6.2. Оператор может обрабатывать персональные данные следующих категорий субъектов персональных данных.

6.2.1. Кандидаты для приема на работу к Оператору:

  • фамилия, имя, отчество;

  • пол;

  • гражданство;

  • дата и место рождения;

  • контактные данные, включая номер телефона, адрес электронной почты;

  • сведения об образовании, опыте работы, квалификации;

  • иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.

6.2.2. Работники и бывшие работники Оператора:

  • фамилия, имя, отчество;

  • пол;

  • гражданство;

  • дата и место рождения;

  • изображение (фотография);

  • паспортные данные;

  • адрес регистрации по месту жительства;

  • адрес фактического проживания;

  • контактные данные;

  • индивидуальный номер налогоплательщика (ИНН);

  • страховой номер индивидуального лицевого счета (СНИЛС);

  • сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;

  • семейное положение, наличие детей, родственные связи;

  • сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;

  • данные о регистрации брака;

  • сведения о воинском учете;

  • сведения об инвалидности;

  • сведения об удержании алиментов;

  • сведения о доходе с предыдущего места работы;

  • иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

6.2.3. Иностранные работники и бывшие иностранные работники Оператора:

  • фамилия, имя, отчество;

  • пол;

  • гражданство;

  • дата и место рождения;

  • изображение (фотография);

  • реквизиты и данные документа, удостоверяющего личность;

  • сведения о визе в РФ, включая номер, тип и срок действия визы;

  • сведения о месте жительства за рубежом;

  • сведения о месте жительства в РФ;

  • сведения о сроках пребывания в РФ;

  • данные разрешения на работу в РФ;

  • сведения о миграционной карте;

  • индивидуальный номер налогоплательщика (ИНН);

  • страховой номер индивидуального лицевого счета (СНИЛС);

  • сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;

  • семейное положение, наличие детей, родственные связи;

  • сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;

  • данные о регистрации брака;

  • сведения о воинском учете;

  • сведения об инвалидности;

  • сведения об удержании алиментов;

  • сведения о доходе с предыдущего места работы;

  • иные персональные данные, предоставляемые иностранными работниками в соответствии с требованиями трудового и миграционного законодательства.

6.2.4. Члены семьи работников Оператора:

  • фамилия, имя, отчество;

  • степень родства;

  • контактные данные;

  • иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

6.2.5. Студенты и Абитуриенты Оператора:

  • фамилия, имя, отчество;

  • пол;

  • гражданство;

  • дата и место рождения;

  • изображение (фотография, видеозапись);

  • голос (аудиозпись, видеозапись)

  • паспортные данные;

  • адрес регистрации по месту жительства;

  • адрес фактического проживания;

  • контактные данные;

  • сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;

  • семейное положение, наличие детей, родственные связи;

  • сведения о трудовой деятельности;

  • сведения о воинском учете;

  • сведения об состоянии здоровья;

  • изображение гражданина.

6.2.6. Контрагенты Оператора (физические лица):

  • фамилия, имя, отчество;

  • дата и место рождения;

  • паспортные данные;

  • адрес регистрации по месту жительства;

  • контактные данные;

  • замещаемая должность;

  • индивидуальный номер налогоплательщика (ИНН);

  • номер расчетного счета;

  • иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.

6.2.7. Представители контрагентов Оператора (юридических лиц):

  • фамилия, имя, отчество;

  • паспортные данные;

  • контактные данные;

  • замещаемая должность;

  • иные персональные данные, предоставляемые представителями (работниками) клиентов и контрагентов, необходимые для заключения и исполнения договоров.

6.3. В целях соблюдения требования о недопустимости совместной обработки персональных данных, цели обработки которых несовместимы между собой, обрабатываемые Школой 21 персональные данные делятся на следующие категории:

  • категория 1: персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни Субъекта.

  • категория 2: персональные данные, позволяющие идентифицировать Субъекта и получить о нем дополнительную информацию;

  • категория 3: персональные данные, позволяющие идентифицировать Субъекта;

  • категория 4: обезличенные и (или) общедоступные персональные данные Субъекта.

6.4. Обработка Оператором биометрических персональных данных осуществляется при наличии письменного согласия Субъекта

7. Права субъектов персональных данных, работа с обращениями

Субъект имеет право:

7.1.1. получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами;

7.1.2. требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

7.1.3. выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения на рынке товаров, работ и услуг;

7.1.4. обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных.

7.2. Субъект персональных данных вправе получать от Школы 21 следующую информацию:

7.3. Запрос Субъекта, предоставляемый в Школу 21, должен содержать полное имя, серию и номер паспорта Субъекта или его законного представителя, сведения о дате выдачи паспорта и выдавшем его органе и собственноручную подпись Субъекта или его законного представителя, а также документ, подтверждающий полномочия законного представителя выступать от имени Субъекта.

7.4. При наличии в Школе 21 соответствующих технических возможностей рассмотрения запросов в электронной форме запрос Субъекта может быть принят Школой 21 в электронной форме с электронной цифровой подписью Субъекта. Запросы могут направляться на электронную почту: legal@21-school.ru.

7.5. При обращении Субъекта или его законного представителя с запросом на основании п. 7.2. Положения Школа 21 обязуется предоставить соответствующие сведения в доступной форме. При этом в предоставляемых сведениях не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

7.6. Школа 21 вправе отказать Субъекту в его требованиях, если такие требования каким-либо образом нарушают конституционные права и свободы других лиц.

7.7. В течение 30 дней со дня получения соответствующего запроса Школа 21 обязана предоставить Субъекту возможность ознакомления с его персональными данными или в случае отказа в удовлетворении требований Субъекта – предоставить Субъекту мотивированный ответ в соответствии с требованиями ч. 2 ст. 20 Федерального закона от 27.07.2006 № 152-ФЗ.

7.8. При поступлении запроса о предоставлении информации от Роскомнадзора Школа 21 обязана сообщить необходимую информацию в течение 30 дней со дня получения соответствующего запроса.

7.9. Лицо, ответственное за организацию обработки персональных данных в Школе 21, отвечает за организацию учета и обработки обращений Субъектов и Роскомнадзора в Школу 21.

7.10. Факты получения Школой 21 обращений Субъектов и Роскомнадзора, а также ответов на такие обращения, должны фиксироваться в журналах обращений Субъектов персональных данных и Роскомнадзора.

8. Ответственные лица

8.1. Директор Школы 21 назначает лицо, ответственное за организацию обработки персональных данных, а также лицо, ответственное за обеспечение безопасности персональных данных в информационной системе (далее – Ответственные лица). Права, обязанности и ответственность Ответственных лиц устанавливаются соответствующей должностной инструкцией.

8.2. Обязанности лица, ответственного за организацию обработки персональных данных определяются Конституцией РФ, российским законодательством о персональных данных, трудовым законодательством, законодательством о защите информации, должностными инструкциями, а также локальными нормативными актами Школы 21, и включают в себя, в том числе, следующее:

  • осуществление внутреннего контроля за соблюдением Школой 21 и ее работниками законодательства о персональных данных при работе с персональными данными;

  • доведение до сведения работников положений законодательства о персональных данных и положений локальных нормативных данных Школы 21 о работе с персональными данными и их защите;

  • организация или контроль над приемом и обработкой обращений Субъектов персональных данных или их представителей.

8.3. К обработке персональных данных допускаются работники Школы 21, в должностные обязанности которых входит обработка персональных данных. Перечень работников, имеющих право доступа к персональным данным с указанием сведений, к которым такие лица имеют доступ, утверждается Приказом Директора Школы 21.

8.4. Ответственные лица и работники, имеющие право доступа к персональным данным должны быть проинформированы о факте обработке ими персональных данных, с указанием прав, обязанностей и ответственности.

9. Порядок и условия обработки персональных данных

9.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.

9.2. Обработка персональных данных осуществляется с согласия Субъекта на обработку его персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

9.3. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.

9.4. Обработка персональных данных осуществляется путем:

  • получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;

  • получения персональных данных из общедоступных источников;

  • внесения персональных данных в журналы, реестры и информационные системы Оператора;

  • использования иных способов обработки персональных данных.

9.5. Источником информации обо всех персональных данных Субъекта является непосредственно Субъект. Если персональные данные возможно получить только у третьей стороны, то Субъект должен быть заранее в письменной форме уведомлен об этом и от него должно быть получено письменное согласие.

9.6. При получении персональных данных не от Субъекта (за исключением случаев, предусмотренных ч. 4 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ) Школа 21 до начала обработки таких персональных данных обязана предоставить Субъекту следующую информацию:

  • наименование (фамилия, имя, отчество) и адрес Оператора или его представителя;

  • цель обработки персональных данных и ее правовое основание;

  • предполагаемые пользователи персональных данных;

  • установленные Федеральным законом от 27.07.2006 № 152-ФЗ права субъекта персональных данных;

  • источник получения персональных данных.

9.7. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных Субъектом для распространения, оформляется отдельно от иных согласий Субъекта на обработку его персональных данных.

9.8. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.

9.9. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:

  • определяет угрозы безопасности персональных данных при их обработке;

  • принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;

  • назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;

  • создает необходимые условия для работы с персональными данными;

  • организует учет документов, содержащих персональные данные;

  • организует работу с информационными системами, в которых обрабатываются персональные данные;

  • хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;

  • организует обучение работников Оператора, осуществляющих обработку персональных данных.

9.10. В соответствии со ст. 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных Работника должны соблюдать, в частности, следующие общие требования:

9.10.1. При определении объема и содержания обрабатываемых персональных данных Работника работодатель должен руководствоваться Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами.

9.10.2. При принятии решений, затрагивающих интересы Работника, работодатель не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

9.10.3. Защита персональных данных Работника от неправомерного их использования, утраты обеспечивается работодателем за счет его средств в порядке, установленном Трудовым кодексом РФ и иными федеральными законами.

9.10.4. Субъекты и их представители должны быть ознакомлены под расписку с документами Школы 21, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.

9.10.5. Субъекты не должны отказываться от своих прав на сохранение и защиту тайны.

9.11. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.

9.12. Персональные данные Субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети).

9.13. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.

9.14. При передаче персональных данных Субъекта, в частности Работника, Школа 21 должна соблюдать следующие требования:

9.14.1. Не сообщать персональные данные Субъекта третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта, а также в случаях, установленных Трудовым кодексом РФ или иными федеральными законами.

9.14.2. Предупредить лиц, получивших персональные данные Субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие персональные данные Субъекта, обязаны соблюдать режим конфиденциальности. Данное правило не распространяется на обмен персональными данными Работников в порядке, установленном Трудовым кодексом РФ и иными федеральными законами.

9.14.3. Разрешать доступ к персональным данным Субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.

9.14.4. Не запрашивать информацию о состоянии здоровья Работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

9.14.5. Передавать персональные данные Работника представителям Работников в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.

10. Обработка персональных данных без использования средств автоматизации

10.1. Работники Школы 21 и/или привлеченные ей третьи лица допускаются к неавтоматизированной обработке персональных данных, на основании Перечня, утвержденного Директором Школы 21.

10.2. Работники Школы 21, осуществляющие неавтоматизированную обработку персональных данных, должны быть проинформированы о том, что они осуществляют неавтоматизированную обработку данных, а также о категориях обрабатываемых персональных данных, их особенностях и правилах осуществления неавтоматизированной обработки, установленных настоящим Положением и российским законодательством.

10.3. Обработка персональных данных, содержащихся в информационных системах Школы 21, либо извлеченных из таких систем, считается неавтоматизированной, если такие действия с персональными данными, как использование, уточнение, распространение, удаление персональных данных в отношении каждого Субъекта, осуществляются при непосредственном участии Работника или уполномоченного лица.

10.4. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

10.5. Неавтоматизированная обработка персональных данных должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (хранения носителей таких данных) и установить перечень работников Школы 21, осуществляющих обработку таких данных, либо имеющих к ним доступ.

10.6. При неавтоматизированной обработке персональные данные должны обособляться от другой информации, в частности путем их записи в специальных разделах, в специальных полях форм или записи на отдельных носителях (например, на отдельном листе бумаге).

10.7. Не допускается запись на один носитель персональных данных, цели обработки которых заведомо несовместимы. При неавтоматизированной обработке различных категорий персональных данных, для каждой категории персональных данных должен использоваться отдельный носитель.

10.8. Если носитель, на котором записаны персональные данные с несовместимыми целями, не позволяет осуществлять обработку персональных данных отдельно от других записанных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, а именно:

  • при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же носителе других данных осуществляется копирование таких данных и используется или распространяется уже их копия;

  • при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется сам носитель с предварительным копированием данных, не подлежащих уничтожению или блокированию.

10.9. При использовании типовых форм документов, характер информации в которых допускает включение в них персональных данных, должны соблюдаться следующие условия:

  • типовая форма или связанные с ней документы (например, инструкция по ее заполнению) должны содержать сведения о цели неавтоматизированной обработки персональных данных, наименование и адрес Школы 21, фамилию, имя, отчество и адрес Субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых способов обработки персональных данных;

  • типовая форма должна предусматривать поле, в котором Субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных при необходимости получения письменного согласия на обработку персональных данных;

  • типовая форма должна быть составлена таким образом, чтобы каждый из Субъектов, чьи персональные данные содержаться в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов других Субъектов;

  • типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели, обработки которых заведомо несовместимы.

11. Передача персональных данных третьим лицам

11.1. Передача персональных данных третьим лицам может осуществляться при наличии соответствующего письменного согласия Субъекта и поручения Школы 21 такому третьему лицу на обработку персональных данных. Такое согласие не требуется в случае, когда передача персональных данных необходима в целях предупреждения угрозы жизни и здоровью Субъекта персональных данных, а также в других случаях, установленных законодательством России (например, передача персональных данных по запросу следственных органов).

11.2. Лицо, ответственное за организацию обработки персональных данных, отвечает за организацию учета и обработки фактов передачи персональных данных третьим лицам на материальных носителях, а лицо, ответственное за обеспечение безопасности персональных данных в информационных системах, отвечает за организацию учета и обработки фактов передачи персональных данных третьим лицам в электронном виде.

11.3. Директор Школы 21 утверждает перечень Работников, наделенных полномочиями передачи персональных данных третьим лицам, или принимает такую ответственность на себя. В случае, если такой перечень не был специально утвержден в Школе 21, такими лицами считаются Директор Школы 21, а также лица, указанные в п. 11.2. настоящего Положения.

11.4. Передача персональных данных третьим лицам должна осуществляться с обязательным составлением акта передачи документов (иных материальных носителей), содержащих персональные данные. Такой акт должен содержать следующие условия (если такая информация не содержится в соответствующем соглашении с третьим лицом):

  • уведомление лица, получающего персональные данные, о конфиденциальности персональных данных и об обязанности использования данных только в целях, для которых они передаются, а также необходимости соблюдения требований законодательства о персональных данных, связанных с такой передачей данных;

  • предупреждение об ответственности за незаконное использование персональных данных.

11.5. В случае передачи персональных данных третьим лицам в электронном виде, при наличии соответствующих технических возможностей, условия, указанные в п. 11.4. настоящего Положения, могут быть соблюдены с использованием исключительно программных средств, с помощью которых осуществляется обмен персональными данными.

11.6. Передача документов (иных материальных носителей), содержащих персональные данные, осуществляется при наличии соглашения с лицом, получающим персональные данные, о неразглашении конфиденциальной информации, в том числе, предусматривающих защиту передаваемых персональных данных. Такое соглашение также должно предусматривать существенное условие об обеспечении конфиденциальности персональных данных и безопасности персональных данных при их обработке в информационной системе.

11.7. При отсутствии такого соглашения Работник Школы 21, непосредственно передающий персональные данные третьим лицам, обязан передавать такие данные только при наличии письменного согласия Субъекта персональных данных и разрешения лица, ответственного за организацию обработки персональных данных Субъектов персональных данных.

11.8. Предоставление персональных данных государственным органам осуществляется в порядке, предусмотренном российским законодательством и настоящим Положением, при этом на такую передачу не распространяются требования п. 11.4. и п. 11.6. настоящего Положения.

12. Трансграничная передача персональных данных

12.1. В целях осуществления обработки персональных данных Школой 21 может осуществляться трансграничная передача таких данных.

12.2. Лицо, ответственное за организацию обработки персональных данных отвечает также за организацию трансграничной передачи персональных данных.

12.3. Перед осуществлением трансграничной передачи персональных данных работник Школы 21, непосредственно осуществляющий передачу, обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав Субъектов персональных данных. Список стран, обеспечивающих адекватную защиту прав Субъектов персональных данных, публикуется Роскомнадзором.

12.4. Трансграничная передача персональных данных на территории стран, не обеспечивающих адекватной защиты прав Субъектов персональных данных, может осуществляться в случаях:

  • наличия письменного согласия Субъекта персональных данных;

  • исполнения договора, стороной которого является Субъект персональных данных;

  • защиты жизни, здоровья, иных жизненно важных интересов Субъекта персональных данных или других лиц при невозможности получения от Субъекта согласия в письменной форме.

13. Обезличивание, блокирование, уничтожение и удаление персональных данных

13.1. Персональные данные, обрабатываемые Школой 21 (раздел 6 настоящего Положения), подлежат обезличиванию, блокированию, уничтожению и удалению, если была достигнута цель их обработки, в случае утраты необходимости в достижении цели обработки, истечения срока хранения, а также получения Школой 21 заявления от Субъекта об отзыве согласия на обработку его персональных данных.

13.2. Лицо, ответственное за организацию обработки персональных данных отвечает за организацию обезличивания, блокирования, удаления и уничтожения персональных данных (или носителей, содержащих персональные данные).

13.3. Блокирование персональных данных осуществляется в случаях, предусмотренных настоящим Положением, в целях соблюдения прав или интересов Субъектов, чьи персональные данные были предоставлены Школе 21, а также в целях предотвращения несанкционированного доступа к персональным данным и нарушения их конфиденциальности.

13.4. Обезличивание, а также удаление из электронных баз данных или носителей персональных данных и уничтожение носителей персональных данных осуществляется с разрешения лица, ответственного за организацию обработки персональных данных или Директора Школы 21.

13.5. Факт блокирования, обезличивания персональных данных или уничтожения носителей персональных данных фиксируется в специальном журнале, утвержденном в Школе 21.

13.6. Факт обезличивания персональных данных или удаления из электронных баз данных или стирания с носителей персональных данных фиксируется автоматизированными средствами, в электронном виде. При необходимости (или невозможности учета удалений автоматизированными средствами), факты такого обезличивания или удаления могут быть отражены в специальном журнале.

13.7. Работники Школы 21 несут ответственность, связанную с исполнением решений о блокировке, обезличивании удалении или уничтожении персональных данных (включая стирание со съемных электронных носителей), если исполнение таких решений зависит непосредственно от этих Работников.

13.8. При необходимости (например, при отсутствии возможности заполнения журнала, в котором отражаются блокирование, обезличивание или уничтожение персональных данных), факты обезличивания, удаления и уничтожения персональных данных могут оформляться соответствующими актами, при этом, такие акты должны прилагаться к журналу.

13.9. По инициативе лица, ответственного за организацию обработки персональных данных, и соответствующему решению Директора Школы 21 может быть создана специальная комиссия, принимающая решения, связанные с блокировкой, обезличиванием или уничтожением персональных данных.

14. Хранение персональных данных

14.1. Форма, места и сроки хранения персональных данных

14.1.1. Персональные данные хранятся в Школе 21 на бумажных и электронных носителях.

14.1.2. Места хранения персональных данных в Школе 21 утверждаются приказом Директора Школы 21.

14.1.3. Размещение технических средств обработки персональных данных и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц. Технические средства, с помощью которых осуществляется обработка персональных данных, должны быть размещены в пределах охраняемой территории. Школой 21, с целью исключения возможности неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц, должен быть утвержден перечень лиц, имеющих допуск в помещения, в которых осуществляется обработка персональных данных.

14.1.4. Хранение персональных данных должно осуществляться в форме, позволяющей определить их Субъекта. Школой 21 должно быть обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

14.2. Хранение документов, содержащих персональные данные:

14.2.1. Персональные данные, предоставленные в Школу 21 на бумажных носителях или распечатанные работниками Школы 21, хранятся в папках, которые располагаются в специальных шкафах, исключающих несанкционированный доступ без разрешения лица (или лиц), ответственного за доступ к документам, содержащим персональные данные.

14.2.2. Школа 21 может обеспечивать иной адекватный порядок хранения документов, содержащих персональные данные, в том числе содержание таких документов в сейфах, несгораемых шкафах, специально оборудованных помещениях или хранилищах. Такой порядок устанавливается в зависимости от фактических угроз безопасности персональных данных, посредством внесения изменений в настоящее положение или указания в других локальных нормативных актов Школы 21.

14.2.3. Школа 21 ведет учет документов, содержащих персональные данные, посредством ведения соответствующего реестра по каждому Субъекту персональных данных, в электронном виде или на бумажном носителе.

14.2.4. Лицо, ответственное за организацию обработки персональных данных, отвечает за доступ к документам (или нескольких ответственных лиц), содержащим персональные данные, в обязанности которого, в том числе, входит:

  • организация и соблюдение порядка доступа к документам, содержащим персональные данные;

  • организация ведения реестра учета документов, содержащих персональные данные;

  • организация проведения контроля наличия документов, содержащих персональные данные;

  • организация ведения журнала учета проверок наличия документов, содержащих персональные данные.

14.3. Проверка наличия документов, содержащих персональные данные:

14.3.1. Школа 21 осуществляет контроль наличия документов, содержащих персональные данные.

14.3.2. Лицо, ответственное за организацию обработки персональных данных, самостоятельно организует и осуществляет проверку наличия документов, содержащих персональные данные.

14.3.3. Контроль наличия документов, содержащих персональные данные, осуществляется посредством проверки фактического наличия в Школе 21 таких документов и сверки с соответствующим реестром.

14.3.4. Сроки проведения контроля наличия документов, содержащих персональные данные, утверждаются соответствующим приказом Директора Школы 21. Лицо, ответственное за организацию обработки персональных данных, вправе по своей инициативе осуществлять контроль наличия документов, содержащих персональные данные.

14.3.5. Информация о проведении проверок наличия документов, содержащих персональные данные, отражается в соответствующем журнале, а итоги таких проверок оформляются соответствующими актами.

14.3.6. В случае выявления нарушений по итогам проверки лицо ответственное за организацию обработки персональных данных, а также работники, имеющие доступ к таким документам, по решению Директора Школы 21 могут быть привлечены к ответственности в соответствии с российским законодательством.

14.4. Хранение персональных данных на электронных носителях:

14.4.1. Персональные данные могут храниться в электронном виде только на электронных носителях (включая съемные электронные носители и любые носители, на которых информация представлена в виде информативных электрических сигналов, физических полей, на магнитной, магнитно-оптической основе), учитываемых Школой 21. Для целей учета электронных носителей Школа 21 ведет журнал учета электронных носителей персональных данных.

14.4.2. Лицо, ответственное за обеспечение безопасности персональных данных в информационных системах, отвечает за доступ к электронным носителям, содержащим персональные данные. В его обязанности, в том числе, входит:

  • организация и соблюдение порядка доступа к электронным носителям, содержащим персональные данные;

  • организация ведения журнала учета электронных носителей;

  • организация проведения контроля наличия электронных носителей, содержащих персональные данные;

  • организация ведения журнала учета проверок наличия электронных носителей, содержащих персональные данные.

14.4.3. Персональные данные в электронном виде хранятся на электронных носителях, являющихся частью оборудования сервера Школы 21. Такие носители данных и другие технические средства, позволяющие осуществлять обработку персональных данных, должны быть защищены средствами защиты от несанкционированного доступа, хищения, подмены и уничтожения и иными средствами защиты, обеспечивающими нейтрализацию предполагаемых угроз конфиденциальности персональных данных.

14.4.4. Сервер Школы 21 должен находиться в защищенном месте (отдельная комната или специальный шкаф и т.п.), исключающим свободный доступ к нему.

14.4.5. В целях защиты от утери персональных данных базы данных носителей информации, содержащих персональные данные, должны дублироваться. Персональные данные на электронных носителях сохраняются или дублируются на электронных носителях сервера Школы 21. Сервер Школы 21 предусматривает возможность резервного копирования и восстановления информации.

14.4.6. Лицо, ответственное за обеспечение безопасности персональных данных в информационных системах, обязано проверять сервер Школы 21 на предмет возможного несанкционированного доступа к электронным носителям персональных данных и, при необходимости, принимать меры, направленные на исключение несанкционированного доступа к таким носителям.

14.4.7. Любые действия, связанные с возможностью физического доступа к носителям информации сервера Школы 21 осуществляются с разрешения лица, ответственного за обеспечение безопасности персональных данных в информационных системах.

14.4.8. Лицо, ответственное за обеспечение безопасности персональных данных в информационных системах, в целях предотвращения несанкционированного доступа к персональным данным, вправе в любое время приостановить доступ любого лица к серверу Школы 21. При этом соответствующее лицо и Директор Школы 21 должны быть уведомлены о причинах и сроках приостановки такого доступа.

14.4.9. Доступ к серверу Школы 21 может быть в любое время возобновлен по решению лица, ответственного за обеспечение безопасности персональных данных в информационных системах или по решению Директора Школы 21.

14.5. Хранение персональных данных на съемных электронных носителях:

14.5.1. Персональные данные могут храниться только на съемных электронных носителях, учитываемых Школой 21.

14.5.2. Съемные электронные носители, содержащие персональные данные, должны быть обеспечены средствами защиты от несанкционированного доступа.

14.5.3. Работники Школы 21 получают доступ к съемным электронным носителям персональных данных, на основании Перечня, утвержденного Приказом Директора Школы 21.

14.5.4. Каждый съемный электронный носитель персональных данных закрепляется за определенным работником Школы 21, о чем делается запись в журнале учета электронных носителей персональных данных.

14.5.5. Работник, за которым закреплен съемный электронный носитель персональных данных, не вправе совершать какие-либо действия, которые могут привести к несанкционированному доступу к персональным данным, хранящихся на таком электронном носителе, разглашать пароль доступа к носителю, оставлять носитель без присмотра в общественном месте, совершать иные действия, которые могут привести к потере, хищению, подмене или уничтожению носителя персональных данных.

14.5.6. В случае разглашения пароля или иной информации, в результате чего возникает угроза несанкционированного доступа к персональным данным, хранящихся на таком носителе, работник обязан обратиться к лицу, ответственному за обеспечение безопасности персональных данных в информационных системах, для устранения угрозы безопасности персональных данных на съемном носителе.

14.5.7. В случае утери, хищения или подмены съемного электронного носителя, закрепленного за работником, такой работник обязан сообщить об утере лицу, ответственному за обеспечение защиты персональных данных в информационных системах.

14.5.8. Запись об утере электронного носителя заносится в журнал учета электронных носителей персональных данных.

14.5.9. В случае разглашения Работником пароля доступа к съемному носителю персональных данных, утери, хищения или подмены такого носителя, руководство Школы 21 организует внутреннее разбирательство, по итогам которого определяется степень угрозы конфиденциальности персональных данных, а Работник может быть привлечен к ответственности в соответствии с российским законодательством.

14.6. Контроль наличия электронных носителей, содержащих персональные данные:

14.6.1. Школа 21 должна периодически осуществлять контроль наличия электронных носителей, содержащих персональные данные.

14.6.2. Сроки проведения контроля наличия электронных носителей, содержащих персональные данные, утверждаются соответствующим приказом Директора (Управляющего директора по финансам) Школы 21. Лицо, ответственное за обеспечение безопасности персональных данных в информационных системах вправе по своей инициативе осуществлять контроль наличия электронных носителей, содержащих персональные данные.

14.6.3. Лицо, ответственное за обеспечение безопасности персональных данных в информационных системах самостоятельно или в составе комиссии, назначенной Директором Школы 21 (при наличии соответствующего приказа Директора Школы 21) осуществляет контроль наличия электронных носителей, содержащих персональные данные.

14.6.4. Контроль наличия электронных носителей, содержащих персональные данные, осуществляется посредством проверки фактического наличия в Школе 21 таких носителей и сверки с журналом учета электронных носителей персональных данных. При этом, при проверке сервера Школы 21 необходимо проверить отсутствие несанкционированного доступа к электронным носителям и отображение информации о наличии электронного носителя через программные средства.

14.6.5. Электронный носитель может быть исключен из журнала учета электронных носителей в случае прекращения хранения на таком носителе персональных данных.

14.6.6. В случае выявления нарушений по итогам проверки, электронных носителей, содержащих персональные данные, лицо, ответственное за обеспечение безопасности персональных данных в информационных системах, а также Работники, имеющие доступ к электронным носителям персональных данных, по решению Директора Школы 21 могут быть привлечены к ответственности в соответствии с российским законодательством.

15. Защита персональных данных при обработке в информационных системах

15.1. Общие положения о защите персональных данных в информационных системах:

15.1.1. Безопасность персональных данных при их обработке в информационных системах обеспечивается Школой 21 с помощью системы защиты, включающей в себя организационные меры и средства защиты информации, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных, а также межсетевые экраны, средства анализа защищенности.

15.1.2. Школа 21 применяет и изменяет методы защиты информации от несанкционированного доступа в зависимости от особенностей обработки персональных данных и структуры информационных систем Школы 21.

15.1.3. Выбор и реализация методов защиты информации (персональных данных), указанных в настоящем Положении и/или предусмотренных российским законодательством, осуществляются на основе определяемых Школой 21 угроз безопасности персональных данных, в зависимости от класса информационной системы, определенного в соответствии с порядком проведения классификации информационных систем.

15.1.4. Выбранные и реализованные методы защиты информации в информационной системе должны обеспечивать нейтрализацию предполагаемых угроз безопасности персональных данных при их обработке в информационных системах Школы 21 в составе создаваемой Школой 21 системы защиты персональных данных.

15.1.5. В соответствии с российским законодательством, реализация требований по обеспечению безопасности информации в средствах защиты информации возлагается на разработчиков таких средств. При этом лицо, ответственное за обеспечение безопасности персональных данных в информационных системах, обязано проявлять должную осмотрительность при выборе средств защиты информации и в случае несоответствия требованиям по обеспечению безопасности информации принимать меры по устранению таких несоответствий, в том числе, замены средств защиты или принятие иных мер, устраняющих угрозу безопасности персональных данных.

15.1.6. При обработке персональных данных в информационных системах должно быть обеспечено следующее:

  • проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

  • своевременное обнаружение фактов несанкционированного доступа к персональным данным;

  • недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

  • возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним, восстановления работоспособности технических средств обработки персональных данных и программного обеспечения, баз данных и средств защиты информации;

  • постоянный контроль над обеспечением уровня защищенности персональных данных, а также над соблюдением условий использования средств защиты информации, предусмотренных документацией к таким средствам.

15.2. Основные методы обеспечения защиты персональных данных от несанкционированного доступа:

15.2.1. В зависимости от особенностей обработки персональных данных и структуры информационных систем Школа 21 применяет следующие основные методы защиты информации от несанкционированного доступа:

  • реализация разрешительной системы допуска пользователей к информационным системам;

  • ограничение доступа пользователей к помещениям, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители персональных данных;

  • разграничение прав доступа пользователей к программным средствам обработки (передачи) и защиты информации;

  • регистрация действий пользователей, контроль несанкционированного доступа и действий пользователей и посторонних лиц;

  • учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;

  • резервирование технических средств, дублирование баз данных, содержащих персональные данные;

  • использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

  • использование защищенных каналов связи;

  • размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;

  • организация физической защиты помещений и технических средств, позволяющих осуществлять обработку персональных данных;

  • предотвращение внедрения в информационные системы Школы 21 вредоносных программ или кодов программ, преднамеренно вносимых в программу с целью осуществить утечку, изменить, блокировать, уничтожить информацию или уничтожить и модифицировать программное обеспечение информационной системы или блокировать аппаратные средства (программная закладка);

  • использование межсетевых экранов при подключении информационных систем различных классов или к сетям связи общего пользования.

15.2.2. Для выбора и реализации методов и способов защиты информации в информационной системе может привлекаться сторонняя организация, имеющая, при необходимости, соответствующие лицензии. Лицо, ответственное за обеспечение безопасности персональных данных в информационных системах, отвечает за организацию совместной работы с такой организацией.

15.3. Обеспечение безопасности персональных данных в информационных системах при подключении к сетям общего пользования и при подключении съемных носителей персональных данных:

15.3.1. При подключении к информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования, в том числе, Интернет), или при подключении к информационным системам съемных носителей информации, используются средства антивирусной защиты.

15.3.2. При подключении информационных систем к сетям общего пользования, наряду с методами, указанными в пункте 15.2.1. настоящего Положения, Школа 21 применяет следующие методы защиты информации от несанкционированного доступа:

  • межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы;

  • обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;

  • анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности);

  • защита информации при ее передаче по каналам связи;

  • использование смарт-карт, электронных замков или иных носителей информации для надежной идентификации и аутентификации пользователей;

  • использование средств антивирусной защиты;

  • централизованное управление системой защиты персональных данных информационной системы.

15.3.3. Для обеспечения безопасности персональных данных при подключении информационных систем к сетям связи общего пользования с целью получения общедоступной информации Школа 21 также применяет следующие методы защиты информации от несанкционированного доступа:

  • фильтрация входящих (исходящих) сетевых пакетов;

  • периодический анализ безопасности установленных межсетевых экранов;

  • анализ безопасности информационной системы на предмет обнаружения в режиме реального времени несанкционированной сетевой активности;

  • анализ информации, принимаемой по сетям связи общего пользования, в том числе на наличие вредоносных программ.

15.4. Обеспечение безопасности персональных данных в информационных системах при удаленном доступе:

15.4.1. Для обеспечения безопасности персональных данных при удаленном доступе к информационным системам Школы 21 через сети связи общего пользования Школы 21 также применяет следующие методы защиты информации от несанкционированного доступа:

  • проверка подлинности отправителя (удаленного пользователя) и целостности данных, передаваемых по сети связи общего пользования;

  • управление доступом к персональным данным;

  • использование атрибутов безопасности.

15.5. Обеспечение безопасности персональных данных в информационных системах при межсетевом взаимодействии:

15.5.1. Для обеспечения безопасности персональных данных при межсетевом взаимодействии отдельных информационных систем через сеть связи общего пользования Школа 21 применяет следующие методы защиты информации от несанкционированного доступа:

  • создание канала связи, обеспечивающего защиту передаваемой информации;

  • осуществление аутентификации взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных.

15.5.2. Для обеспечения безопасности персональных данных при межсетевом взаимодействии отдельных информационных систем Школы 21 и других операторов персональных данных (в том числе аффилированных компаний), имеющих различные классы информационных систем, через сеть связи общего пользования, Школа 21 применяет следующие методы защиты информации от несанкционированного доступа:

  • создание канала связи, обеспечивающего защиту передаваемой информации;

  • аутентификация взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных;

  • обеспечение предотвращения возможности отрицания пользователем факта отправки персональных данных другому пользователю (подтверждение другим пользователем получения данных);

  • обеспечение предотвращения возможности отрицания пользователем факта получения персональных данных от другого пользователя (подтверждение пользователем получения данных от другого пользователя).

16. Ответственность

16.1. Работники Школы 21, виновные в нарушении требований настоящего Положения, несут гражданскую, уголовную, административную, дисциплинарную и иную ответственность, предусмотренную законодательством РФ.

16.2. Работники освобождаются от дисциплинарной ответственности, если действовали в соответствии с указаниями своих непосредственных руководителей, лиц, ответственных за организацию обработки и защиты персональных данных, указанных в настоящем Положении, а также Директора Школы 21.

17. Заключительные положения

17.1. Контроль над выполнением требований настоящего Положения и законодательства о персональных данных осуществляется Директором Школы 21.

17.2. Все работники Школы 21 в обязательном порядке должны быть ознакомлены с настоящим Положением под роспись.

17.3. Изменения или дополнения в настоящее Положение вносятся на основании Приказа Директора или уполномоченного им лица. Все изменения и дополнения в настоящее Положение оформляются путем утверждения новой редакции Положения.

17.4. Иные права и обязанности Субъектов, связанных с обработкой и защитой персональных данных, могут определяться соглашениями между Работниками и Школой 21 (включая трудовые договоры), должностными инструкциями и иными локальными нормативными актами Школы 21.

ПОЛИТИКА АНО «ШКОЛА 21» В ОБЛАСТИ ОБРАБОТКИ И ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Общие положения

Политика Автономной некоммерческой организации повышения уровня качества образования населения «Школы 21» (далее – Компания) в области обработки и обеспечения безопасности Персональных данных (далее - Политика) разработана в соответствии с частью 2 статьи 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и предназначена для предоставления неограниченного доступа к информации в отношении Обработки Персональных данных, а также к сведениям о реализуемых требованиях к защите Персональных данных.

С целью обеспечения выполнения норм федерального законодательства и поддержания деловой репутации Компания считает важнейшей задачей обеспечение законности обработки и безопасности Персональных данных субъектов в процессе деятельности Компании.

Основные понятия в области Персональных данных

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту Персональных данных).

Оператор – юридическое лицо самостоятельно или совместно с третьими лицами организующие и осуществляющие Обработку Персональных данных, а также определяющие цели обработки, состав Персональных данных и действия с ними. В целях настоящей политики Оператором Персональных данных является АНО «Школа № 21», а также все аффилированные и зависимые компании АНО «Школа № 21», в частности, но не ограничиваясь, ПАО «Сбербанк России», а также все иные компании, входящие в группу-компаний ПАО «Сбербанк России».

Обработка Персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с Персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, Уничтожение Персональных данных.

Автоматизированная Обработка Персональных данных – Обработка Персональных данных с помощью средств вычислительной техники.

Распространение Персональных данных – действия, направленные на раскрытие Персональных данных неопределенному кругу лиц.

Предоставление Персональных данных – действия, направленные на раскрытие Персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение Персональных данных – действия, в результате которых становится невозможным восстановить содержание Персональных данных в информационной системе Персональных данных и (или) в результате которых уничтожаются материальные носители Персональных данных.

Обезличивание Персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность Персональных данных конкретному субъекту Персональных данных.

Информационная система Персональных данных – совокупность содержащихся в базах данных Персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Трансграничная передача Персональных данных - передача Персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу

Студент – участник проекта развития экспериментальной методики обучения программированию, с которым заключен соответствующий договор, или лицо, которому Компания оказывает образовательные услуги.

Абитуриент – физическое лицо, вступающие в отношения с Компанией, для целей получения статуса Студента.

Принципы Обработки Персональных данных

Обработка Персональных данных в Компании основана на следующих принципах:

  • Компания осуществляет Обработку Персональных данных на законной и справедливой основе;
  • Компания ограничивает Обработку Персональных данных достижением конкретных, заранее определенных и законных целей. Компания не допускает Обработку Персональных данных, несовместимую с целями их сбора;
  • Компания не допускает объединение баз данных, содержащих Персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • Компания обрабатывает только те Персональные данные, которые отвечают целям их обработки;
  • Компания обеспечивает соответствие содержания и объема обрабатываемых Персональных данных заявленным целям обработки. Обрабатываемые Персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
  • при Обработке Персональных данных Компания обеспечивает точность Персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям Обработки Персональных данных. Компания принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных Персональных данных;
  • Компания хранит Персональные данные в форме, позволяющей определить субъекта Персональных данных, не дольше, чем этого требуют цели Обработки Персональных данных, если срок хранения Персональных данных не установлен законодательством, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект Персональных данных. Компания Уничтожает Персональные данные в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.

Правовое основание Обработки Персональных данных

Обработка Персональных данных в Компании осуществляется в соответствии с Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами Российской Федерации, а также иными действующими нормативными правовыми актами Российской Федерации, регулирующими вопросы обработки и защиты Персональных данных.

Обработка Персональных данных осуществляется в соответствии с одним из следующих правовых оснований:

  • наличие согласия субъекта Персональных данных, предоставленного, в частности, но не ограничиваясь, в письменной форме или в форме одобрения Обработки Персональных данных на сайте Компании;
  • Обработка Персональных данных необходима для выполнения обязательств Компании, установленных нормативными правовыми актами, в частности, но не ограничиваясь, с целью соблюдения законодательства о противодействии легализации (отмыванию) доходов, полученных преступным путем, проведения обязательных проверок Студента, Абитуриента или их зависимых лиц или раскрытия информации правоохранительным органам;
  • Обработка Персональных данных для работы с претензиями Студентов, Абитуриентов и иных лиц;
  • Обработка Персональных данных с целью обеспечения законных интересов Компании, указанных в настоящей Политике, при условии, что при этом не нарушаются права и свободы субъекта Персональных данных;
  • Обработка Персональных данных необходима для исполнения договора, заключенного со Студентом и иным третьим лицом.

Законные интересы Компании при Обработке Персональных данных

В соответствии с принципами Обработки Персональных данных Компания осуществляет Обработку Персональных данных для обеспечения следующих законных интересов:

  • содействие работникам Компании в обучении и карьерном росте;
  • содействие в получении социальных льгот и компенсаций;
  • пропуск на территорию Компании и предоставление доступа к системам обучения;
  • рассмотрение резюме и подбор кандидатов на вакантные должности для дальнейшего трудоустройства;
  • рассмотрение анкеты Абитуриентов для поступления на обучение;
  • информирование о повторных наборах на поступление;
  • подготовка тестовых заданий;
  • содействие в обучении;
  • оказание экстренной медицинской помощи;
  • выдача сертификатов различного рода;
  • информирование о проведении молодежных проектов;
  • учет в кадровом резерве.

Обработка специальных категорий Персональных данных

К специальным категориям Персональных данных относятся данные о:

  • расовой, национальной принадлежности;
  • политических взглядах;
  • религиозных или философских убеждениях;
  • состоянии здоровья, интимной жизни.

Указанные в настоящем разделе Персональные данные раскрываются только в тех случаях, когда:

  • субъект Персональных данных дал на это явное выраженное согласие для обработки таких данных в конкретных целях;
  • обработка таких Персональных данных необходима для защиты жизненно важных интересов или подобных интересов другого лица, в частности, но не ограничиваясь, в случае необходимости оказания срочной медицинской помощи;
  • субъект Персональных данных сделал такие Персональные данные общедоступными, в частности, но не ограничиваясь, в случае их публикации в социальных сетях;
  • обработка таких Персональных данных необходима для работы с претензиями Студентов, Абитуриентов и иных лиц;
  • обработка таких Персональных данных необходима для соблюдения важных общественных интересов, в частности, но не ограничиваясь, в случае предотвращения или выявления противоправных действий;
  • во всех иных случаях, допустимых законодательством Российской Федерации.

В Компании обрабатываются биометрические Персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) с целью:

  • пропуска на территорию Компании только при наличии письменного согласия субъекта Персональных данных;
  • во всех иных случаях, допустимых законодательством Российской Федерации.

Правила Обработки Персональных данных

1.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разделе 4 настоящего Положения. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

1.2. Оператор может обрабатывать персональные данные следующих категорий субъектов персональных данных.

Кандидаты для приема на работу в Компанию:

  • фамилия, имя, отчество;
  • пол;
  • гражданство;
  • дата и место рождения;
  • контактные данные, включая номер телефона, адрес электронной почты;
  • сведения об образовании, опыте работы, квалификации;
  • иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.

Работники и бывшие работники Компании:

  • фамилия, имя, отчество;
  • пол;
  • гражданство;
  • дата и место рождения;
  • изображение (фотография);
  • паспортные данные;
  • адрес регистрации по месту жительства;
  • адрес фактического проживания;
  • контактные данные;
  • индивидуальный номер налогоплательщика (ИНН);
  • страховой номер индивидуального лицевого счета (СНИЛС);
  • сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
  • семейное положение, наличие детей, родственные связи;
  • сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
  • данные о регистрации брака;
  • сведения о воинском учете;
  • сведения об инвалидности;
  • сведения об удержании алиментов;
  • сведения о доходе с предыдущего места работы;
  • иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

Иностранные работники и бывшие иностранные работники Компании:

  • фамилия, имя, отчество;
  • пол;
  • гражданство;
  • дата и место рождения;
  • изображение (фотография);
  • реквизиты и данные документа, удостоверяющего личность;
  • сведения о визе в РФ, включая номер, тип и срок действия визы;
  • сведения о месте жительства за рубежом;
  • сведения о месте жительства в РФ;
  • сведения о сроках пребывания в РФ;
  • данные разрешения на работу в РФ;
  • сведения о миграционной карте;
  • индивидуальный номер налогоплательщика (ИНН);
  • страховой номер индивидуального лицевого счета (СНИЛС);
  • сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
  • семейное положение, наличие детей, родственные связи;
  • сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
  • данные о регистрации брака;
  • сведения о воинском учете;
  • сведения об инвалидности;
  • сведения об удержании алиментов;
  • сведения о доходе с предыдущего места работы;
  • иные персональные данные, предоставляемые иностранными работниками в соответствии с требованиями трудового и миграционного законодательства.

Члены семьи работников Компании:

  • фамилия, имя, отчество;
  • степень родства;
  • контактные данные;
  • иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

Студенты и Абитуриенты Компании:

  • фамилия, имя, отчество;
  • пол;
  • гражданство;
  • дата и место рождения;
  • изображение (фотография, видеозапись);
  • голос (аудиозпись, видеозапись)
  • паспортные данные;
  • адрес регистрации по месту жительства;
  • адрес фактического проживания;
  • контактные данные;
  • сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
  • семейное положение, наличие детей, родственные связи;
  • сведения о трудовой деятельности;
  • сведения о воинском учете;
  • сведения об состоянии здоровья;
  • изображение гражданина.

Контрагенты Компании (физические лица):

  • фамилия, имя, отчество;
  • дата и место рождения;
  • паспортные данные;
  • адрес регистрации по месту жительства;
  • контактные данные;
  • замещаемая должность;
  • индивидуальный номер налогоплательщика (ИНН);
  • номер расчетного счета;
  • иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.

Представители контрагентов Компании (юридических лиц):

  • фамилия, имя, отчество;
  • паспортные данные;
  • контактные данные;
  • замещаемая должность;
  • иные персональные данные, предоставляемые представителями (работниками) клиентов и контрагентов, необходимые для заключения и исполнения договоров.

Обработка Персональных данных осуществляется Компанией с использованием средств автоматизации, а также без использования таких средств (на бумажных носителях информации).

Компания НЕ Распространяет Персональные данные в общедоступных источниках без предварительного согласия субъекта Персональных данных.

В Компании ЗАПРЕЩЕНО принятие решений относительно субъектов Персональных данных на основании исключительно автоматизированной обработки их Персональных данных.

Сбор Персональных данных

Сбор Персональных данных осуществляется непосредственно у самого субъекта Персональных данных. Если Предоставление Персональных данных является обязательным в соответствии с законодательством, субъекту Персональных данных разъясняются юридические последствия отказа в предоставлении таких данных.

Получение Персональных данных у третьей стороны возможно только при наличии законных оснований. При получении Персональных данных у третьей стороны субъект Персональных данных уведомляется об этом. Если Компания получает Персональные данные третьего лица не самостоятельно, то лицо, их предоставившее, обязуется уведомить такое третье лицо о Предоставлении Персональных данных.

При сборе Персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечивается запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение Персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ.

Использование «Cookies»

Компания использует файлы «Cookies», которые позволяют идентифицировать браузер субъекта Персональных данных. Когда субъект Персональных данных заходит на сайт Компании, «Cookies» обеспечивают сбор и сохранение информации о том, как субъект Персональных данных использует сайт Компании с целью соответствующего учета и аналитики. Персональные данные, собираемые с помощью «Cookies», также могут использоваться Компанией для управления сеансом работы субъекта Персональных данных с сайтом Компании.

С помощью файлов «Cookies» осуществляется сбор следующей информации при посещении сайта Компании:

  • данные об устройствах, сетях, которые использует субъект Персональных данных;
  • IP-адрес, данные для входа в систему, информация о виде и версии браузера, о видах плагинов браузера, операционной системе и платформе субъекта Персональных данных;
  • история посещений сайта/приложения Компании субъектом Персональных данных, страниц через них и с них с указанием URL, история просмотра или поиска, информация об ошибках загрузки, продолжительности посещения определенных страниц, взаимодействии со страницами сайта Компании.

Хранение Персональных данных

Хранение Персональных данных осуществляется в форме, позволяющей определить субъекта Персональных данных, не дольше, чем этого требуют цели Обработки Персональных данных, если срок хранения Персональных данных не установлен законодательством либо договором, стороной которого является субъект Персональных данных.

Компания обеспечивает соблюдение Постановления Правительства РФ от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» при хранении биометрических Персональных данных.

При хранении биометрических Персональных данных вне Информационных систем Персональных данных Компания обеспечивает хранение на таких материальных носителях информации и с применением таких технологий хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

Хранение Персональных данных осуществляется с учетом обеспечения режима их конфиденциальности. Компания также обеспечивает раздельное хранение Персональных данных, собранных для обработки в различных целях, не допуская смешения Персональных данных, а также обеспечивая защиту Персональных от несанкционированного доступа.

В случае подтверждения факта неточности Персональных данных, Персональные данные подлежат их актуализации Компанией путем соответствующего запроса в адрес субъекта Персональных данных.

Персональные данные передаются на архивное хранение в соответствии с законодательством Российской Федерации об архивном деле, уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.

В случае выявления факта неправомерности Обработки Персональных данных, такие Персональные данные подлежат уничтожению.

Предоставление Персональных данных

Предоставление Персональных данных третьему лицу осуществляется только с согласия субъекта Персональных данных или в случаях, прямо предусмотренных законодательством Российской Федерации. Предоставление Персональных данных органу государственной власти, органу местного самоуправления, органу безопасности и правопорядка, государственному учреждению и фонду, а также иному уполномоченному органу допускается по основаниям, предусмотренным законодательством Российской Федерации.

Раскрытие Персональных данных в коммерческих целях без письменного согласия соответствующего субъекта запрещено. Обработка Персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации осуществляется только при условии предварительного согласия на это субъекта.

Предоставление Персональных данных допускается следующим лицам и в следующих целях:

  • Аффилированным и зависимым компаниям АНО «Школа 21», в частности, но не ограничиваясь, ПАО «Сбербанк России» (ОГРН: 1027700132195), а также всем иным компаниям, входящим в группу-компаний ПАО «Сбербанк России», с целью исполнения договоров и иных обязательств между Компанией и Студентами, Абитуриентами или иными контрагентами Компании;
  • Ассоциации 42 (регистрационный номер W751218379), зарегистрированной по адресу: Франция, 75017,Париж, б-р Бесьер, 96 - для обработки с целью оформления сертификата Студента;
  • поставщикам, обеспечивающим поддержку деятельности Компании, в том числе поставщикам информационных технологий и средств коммуникации; контрагентам Компании, оказывающим поддержку деятельности Компании; маркетинговым и рекламным агентствам; поставщикам услуг резервного копирования или послеаварийного восстановления, а также аутсорсинга рабочих процессов, в том числе по оказанию юридического сопровождения. Компания обеспечивает соблюдение поставщиками и контрагентами минимальных стандартов в части обеспечения информационной безопасности. Персональные данные предоставляются поставщикам и контрагентам Компании исключительно в соответствии с их функцией;
  • правоохранительным органам в соответствии с установленными законодательством Российской Федерации требованиями;
  • соответствующим лицам в случае возникновения чрезвычайных ситуаций, в частности, но не ограничиваясь, для защиты здоровья и обеспечения безопасности;
  • поставщикам услуг по проведению проверок соблюдения законодательства (например, аудиторы) в целях проведения таких проверок;
  • рекламным агентствам и поставщикам услуг анализа данных для поддержки и отображения рекламы на сайте Компании, в приложениях и других инструментах (например, социальных сетях);

Трансграничная передача Персональных данных

В связи с тем, что Компания осуществляет предоставление своих услуг на основании лицензии компании, зарегистрированной в Французской Республике, возможны случаи трансграничной передачи Персональных данных. В таком случае Компания соблюдает местное законодательство в отношении Обработки Персональных данных, в частности, но не ограничиваясь, Общий регламент по защите данных (GDPR).

В случаях, если Компании необходимо обработать Персональные данные субъекта, имеющего гражданство Европейского союза, к таким лицам применяются Стандартные договорные условия (SCCs), утвержденные Европейской комиссией в соответствии с положениями статьи 46(2)(c) Общего регламента по защите данных (GDPR).

Права субъектов Персональных данных

Субъект Персональных данных имеет права, касающейся обработки его Персональных данных, в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных». Ряд прав, указанных ниже, субъект Персональных данных может реализовать только при наличии определенных обстоятельств.

Для уточнения информации о реализации своих прав субъект Персональных данных вправе обратиться к лицу, ответственному за обеспечение Обработки Персональных данных, указанному в настоящей Политике.

Права субъекта Персональных данных:

  • право субъекта на доступ к его Персональным данным: в случае, если Компания осуществляет Обработку Персональных данных субъекта Персональных данных, последний вправе получить информацию об основаниях Обработки Персональных данных, о перечне Персональных данных, а также иные данные, установленные законодательством Российской Федерации;
  • право субъекта на уточнение и исправление его Персональных данных: субъект Персональных данных вправе направить запрос об исправлении и уточнении каких-либо имеющихся у Компании неполных и неверных Персональных данных;
  • право на удаление Персональных данных: в определенных обстоятельствах субъект Персональных данных вправе обратиться к Компании с запросом об удалении Персональных данных. Компания вправе не удалять Персональные данные в случаях, когда это допустимо законодательством Российской Федерации;
  • право на ограничение Обработки Персональных данных: субъект вправе обратиться к Компании с запросом о приостановке Обработки Персональных данных в случаях, установленных законодательством Российской Федерации;
  • право на передачу Персональных данных: субъект Персональных данных может обратиться к Компании с запросом о помощи в передаче Персональных данных другой стороне в случаях, когда это допустимо законодательством Российской Федерации;
  • право на возражение относительно Обработки Персональных данных: в случаях, когда Компания осуществляет Обработку Персональных данных, исходя из законных интересов (или законных интересов третьей стороны), субъект Персональных данных может возразить против осуществляемой на таком основании обработки. В случаях, предусмотренных законодательством Российской Федерации, Компания вправе продолжить такую Обработку Персональных данных;
  • право на оспаривание автоматизированных решений: субъект Персональных данных может оспорить любое автоматизированное решение, сделанное в отношении него, когда это имеет существенные последствия для субъекта Персональных данных;
  • право на отзыв согласия: субъект Персональных данных вправе в любое время отозвать свое согласие на Обработку Персональных данных.
  • иные права, определенные главой 3 Федерального закона «О персональных данных».

В случае, если субъект Персональных данных намеревается реализовать какие-либо из своих прав, он вправе обратиться к лицу, ответственному за Обработку Персональных данных, указанному в настоящей политике, по соответствующему адресу. Субъект Персональных данных также вправе обратиться в государственные и муниципальные органы, если сочтет, что Компания нарушает его права при Обработке Персональных данных.

Заключительные положения

Компания может время от времени вносить изменения в настоящую Политику без предварительного уведомления. Любые изменения вступают в силу с момента их публикации на сайте Компании в сети «Интернет».

Контроль исполнения требований настоящей Политики, а также ее своевременная актуализация осуществляется лицом, ответственным за организацию Обработки Персональных данных, указанным в настоящей Политике.

Ответственность работников Компании, имеющих доступ к Персональным данным, за невыполнение требований, регулирующих обработку и защиту Персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Компании.

Субъект Персональных данных должен осознавать, что сайт Компании может содержать ссылки на сайты, администрируемые третьими лицами. Компания не обязуется обеспечить соблюдение положений настоящей Политики на сайтах третьих лиц. Правила в области Обработки Персональных данных Компании и третьих лиц могут различаться.

Контактная информация

Ответственный за Обработку Персональных данных:

Чашкина Дарья Ивановна, директор по обучению – начальник отдела.

Любые обращения, касающиеся Обработки Персональных данных, направляются с помощью электронной почты по адресу legal@21-school.ru, либо на почтовый адрес: 127015, г. Москва, Вятская ул., д. 27, строение 42.