1.1 Настоящая Политика обработки персональных данных (далее - Политика) является локальным нормативным актом АНО ДПО «Академия ИТ » (далее - Академия).
1. разработана в целях реализации требований законодательства Российской Федерации в области обработки и защиты персональных данных
2. раскрывает способы и принципы обработки персональных данных Компанией как Оператором, права и обязанности при обработке данных, права субъектов данных, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке
3. является документом, декларирующим концептуальные основы деятельности Оператора при обработке и защите персональных данных
1.2. Используемые в Политике термины содержатся в Федеральном законе от 27.07.2006 г . Nº 152- ФЗ « О персональных данных» (далее - « Закон о персональных данных»). Ниже по тексту приведены уникальные термины Политики, а также даны разъяснения терминам из Закона о персональных данных:
- Персональные данные - это любая информация об определенном или определяемом физическом лице. Закон о персональных данных не содержит исчерпывающего перечня данных, которые являются персональными; у регуляторов пока тоже нет однозначных разъяснений.
- Обработка персональных данных - это любое действие с персональными данными.
Например, сбор и получение данных; хранение данных в любом виде , запись данных в компьютер, выгрузка данных из компьютера, удаление данных, использование данных.
- Субъект Данных - это физическое лицо , персональные данные которого обрабатываются. Например, физические лица-клиенты Академии, работники Академии, работники контрагентов Академии, соискатели на вакантные должности в Академии, оставившие данные на сайте Академии пользователи.
- Оператор - это юридическое лицо, которое задало цель и определило основные параметры при организации обработки персональных данных.
Например, Академия будет Оператором, когда обрабатывает персональные данные своих соискателей и работников - эти люди предоставляют свои персональные данные указанной Академии с конкретными целями : трудоустройство и последующая работа, получение обратной связи по оставленным контактам.
- Обработчик - это юридическое лицо , которое обрабатывает персональные данные на основании договора с условиями о поручении обработки персональных данных.
Обработчик отличается от Оператора тем , что не задает цели , не формирует перечень обрабатываемых персональных данных Субъектов Данных. Обработчик всегда действует по договору, заключенному либо непосредственно с самим Оператором, либо с другим Обработчиком.
- DPO - лицо , ответственное за организацию обработки персональных данных. Его назначает единоличный исполнительный орган Академии.
Академия обрабатывает персональные данные, в том числе на следующих правовых основаниях:
Подробный перечень правовых оснований ведет DPO.
3.1. Академия в своей деятельности обеспечивает соблюдение законодательных принципов, указанных в статьи 5 Закона о персональных данных.
3.2. Академия осуществляет сбор и дальнейшую обработку персональных данных в следующих целях:
3.3. Академия может обрабатывать персональные данные следующих Субъектов Данных:
3.4 Обработка персональных данных в Академии включает :
Академия также может осуществлять в установленных законом случаях распространение персональных данных в случае наличия согласия Субъекта Данных.
3.5. Перечень обрабатываемых Компанией персональных данных и операций с ними ведет DPO.
3.6. DPO вправе издавать приказы по вопросам обработки персональных данных.
4.1. Субъект Данных имеет право:
– на получение в доступной форме информации, касающихся обработки персональных данных, в случае направления запроса, который соответствует ч. 3 ст. 14 Закона о персональных данных - формы таких запросов размещены на сайте Академии:
– требовать от Академии уточнения его персональных данных, их блокирования или уничтожения;
– отозвать согласие на обработку персональных данных;
– осуществлять иные права, предусмотренные законодательством.
4.2. Академия имеет право:
– обрабатывать основанные;
– персональные данные Субъекта Данных при наличии правового;
– требовать от Субъекта Данных достоверности предоставляемых персональных данных, их достаточности для целей обработки, а также в иных случаях, предусмотренных законодательством РФ;
– ограничить доступ Субъекта Данных к его персональным данным в установленных законодательством случаях;
– поручить обработку персональных данных другому лицу;
– продолжить обработку персональных данных Субъекта Данных в случае отзыва им согласия при наличии правового основания;
– осуществлять иные права, предусмотренные законодательством.
4.3. Обязанности Академии:
– принимать меры, необходимые и достаточные для обеспечения выполнения законных обязанностей;
– предоставить Субъекту Данных по его просьбе информацию, касающуюся обработки его персональных данных;
– уточнить, блокировать или уничтожить персональные данные в законные сроки;
– разъяснить Субъекту Данных юридические последствия отказа предоставить его персональные данные, если их предоставление является обязательным;
– обеспечить выполнение требований по локализации персональных данных;
– принять правовые, организационные и технические меры для обеспечения безопасности персональных данных;
– ознакомить работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ в области обработки персональных данных, в том числе требованиями к защите персональных данных, настоящей Политикой и иными локальными актами по вопросам обработки персональных данных;
– выполнять иные обязанности, предусмотренные законодательством.
5.1 Академия предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности и конфиденциальности персональных данных в соответствии с требованиями законодательства РФ :
– назначает DPO;
– разрабатывает и внедряет организационно-распорядительные документы и иные документы в области обработки и защиты персональных данных;
– проводит инструктажи и обучение работников по вопросам обработки персональных данных и мер по их защите;
– обеспечивает физическую безопасность помещений и мест хранения персональных данных;
– определяет угрозы безопасности персональных данных при их обработке в информационных системах;
– применяет прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации;
– обнаруживает и расследует факты несанкционированного доступа к персональным данным, в том числе реализует меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы и по реагированию на компьютерные инциденты в них;
– восстанавливает персональные данные, модифицированные или уничтоженные вследствие несанкционированного доступа к ним;
– устанавливает правила доступа к персональным данным;
– осуществляет контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем;
– применяет иные правовые, организационные и технические меры по обеспечению безопасности персональных данных.
5.2. Работники Академии обязаны:
– знакомиться с Политикой и осуществлять обработку данных с соблюдением требований законодательства, Политики и других локальных нормативных актов;
– обрабатывать персональные данные исключительно в рамках своих должностных обязанностей;
– соблюдать требования безопасности при обработке персональных данных;
– сохранять конфиденциальность и не передавать персональные данные третьим лицам.
6.1 Академия опубликовывает и обеспечивает неограниченный доступ к настоящей Политики в помещениях Академии.
6.2. Академия имеет право вносить изменения в настоящую Политику без предварительного уведомления. Новая редакция Политики вступает в силу с момента ее размещения, если иное не предусмотрено новой редакцией Политики.
6.3. Запросы, письма и обращения Субъектов Данных в отношении обработки их персональных данных оформляются на имя Академии и принимаются по адресам:
- в случае направления на бумажном носителе: Российская Федерация, 386001, Республика Ингушетия, городской округ Магас, город Магас, улица Н . С. Хрущева, дом 10;
- в случае направления на электронном носителе:info@ingacademy.ru.
Положение об обработке персональных данных (далее - Положение) является локальным нормативным актом АНО ДПО «АКАДЕМИЯ ИТ» (далее - Академия) и разработано, чтобы:
1. определить бизнес-процесс в части обработки персональных данных;
2. установить цели обработки, перечень операций, сроки обработки и иные параметры обработки;
3. описать порядок защиты персональных данных;
4. объяснить сотрудникам порядок их действий в отношении обработки персональных данных.
До начала обработки персональных данных требуется:
- определить параметры их обработки и информационные системы, в которые будут заноситься данные;
- обеспечить защиту и безопасность персональных данных;
- заключить необходимые договоры с юридическими лицами, участвующими в обработке;
- определить перечень должностей работников, которые будут работать с данными.
- Академия обязана отвечать на запросы Субъектов Данных и регуляторов.
- Регулятор вправе запрашивать любую информацию об обработке данных.
- Субъекты Данных имеют право на отзыв согласия на обработку персональных данных.
- Субъекты Данных вправе актуализировать свои данные и запрашивать у Академии информацию о порядке обработки их данных.
DPO (лицо, ответственное за обработку персональных данных) отвечает на все вопросы в сфере обработки персональных данных и регулярно проводит внутренний аудит обработки, защиты и безопасности персональных данных.
Академия обязана своевременно прекращать обработку данных при :
Субъекту Данных предоставляется следующая информация:
Академия организует осуществление обработки персональных данных в соответствии с настоящим Положением, а также в соответствии с приказами (локальными нормативными актами), принимаемыми DPO в пределах своей компетенции.
Академия знакомит работников с требованиями Положения под роспись или иным способом, установленным законодательством РФ или локальными нормативными актами Академии.
- Персональные данные — это любая информация об определенном или определяемом физическом лице. Закон о персональных данных не содержит исчерпывающего перечня данных, которые являются персональными, также как и регулятор не дает однозначных разъяснений.
- Субъект Данных — это физическое лицо, персональные данные которого обрабатываются. Например, работники Академии, работники контрагентов Академии, соискатели на вакантные должности в Академии, оставившие данные на сайте Академии пользователи.
- Обработка персональных данных — это любое действие с персональными данными. Например, сбор и получение данных; хранение данных в любом виде, запись данных в компьютер, выгрузка данных из компьютера, удаление данных, использование данных.
- Передача персональных данных — это передача персональных данных от одного лица другому лицу. Например, Академия может передавать в страховую компанию паспортные данные для оформления ДМС или Академия может передавать на сервер третьего лица контактные данные пользователя, введенные пользователем на сайте Академии.
- Получение персональных данных — это получение персональных данных одним лицом от другого лица.
- Оператор — это юридическое лицо или индивидуальный предприниматель, которое задало цель и определило основные параметры организации и обработки персональных данных. Например, Академия будет Оператором, когда обрабатывает персональные данные своих соискателей и работников, участников программ обучения — эти люди предоставляют свои персональные данные именно Академии с конкретными целями: трудоустройство и последующая работа, получение образовательных услуг.
- Обработчик — это юридическое лицо или индивидуальный предприниматель, которое обрабатывает персональные данные на основании договора или поручения обработки персональных данных. Обработчик отличается от Оператора тем, что не задает цели, не формирует перечень обрабатываемых персональных данных Субъектов Данных. Обработчик всегда действует по договору, заключенному либо непосредственно с самим Оператором, либо с другим Обработчиком.
- Бизнес-процесс — это любая деятельность, которую Академия осуществляет для выполнения своих функций в соответствии с уставом, законодательством или договором с другим юридическим лицом.
- Владелец Бизнес-процесса — это конкретный работник Академии, который назначается ответственным за реализацию Бизнес-процесса.
- Владелец информационной системы персональных данных — это конкретный работник, который назначается ответственным за работу информационной системы персональных данных, в которую загружаются персональные данные при реализации Бизнес-процесса.
- DPO — лицо, ответственное за организацию обработки персональных данных. Его назначает Директор Академии на основании Приказа.
3.1. Принципы обработки персональных данных:
- законность и справедливость — обработка персональных данных должна осуществляться на законной и справедливой основе
- разграничение по базам данных — не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой
- соответствие заявленным целям — обработке подлежат только персональные данные, которые отвечают целям их обработки; содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки; не допускается обработка персональных данных, излишних по отношению к заявленным целям обработки
- точность, достаточность и актуальность — при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Неполные или неточные данные должны быть удалены или уточнены
- сохранность — хранение персональных данных должно осуществляться в форме, позволяющей определить Субъекта Данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект Данных
- своевременность уничтожения, обезличивания — по достижении целей обработки или в случае утраты необходимости в достижении этих целей, персональные данные должны быть уничтожены или обезличены, если иное не предусмотрено федеральным законом
- конфиденциальность — информация, относящаяся к персональным данным, ставшая известной Академии, является информацией ограниченного доступа и охраняется законом
3.2. Основания обработки персональных данных:
- на основании согласия Субъекта Данных на обработку его персональных данных
- для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей
- в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах
- для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве
- для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является Субъект Данных, а также для заключения договора по инициативе Субъекта Данных или договора, по которому Субъект Данных будет являться выгодоприобретателем или поручителем
- для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получение согласия Субъекта Данных невозможно
- для осуществления прав и законных интересов Академии или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъекта Данных
- осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в ст.15 Закона о персональных данных; подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом
- подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом;
- иные правовые основания, установленные федеральным законом.
1) определить Бизнес-процесс основные параметры обработки персональных данных, согласовать их с уполномоченными лицами Академии (раздел 5 Положения)
2) определить информационную систему персональных данных (см. раздел 6 Положения)
3) организовать систему защиты персональных данных (раздел 7 Положения)
4) регламентировать роли работников и должностных лиц Академии, участвующих в обработке персональных данных (раздел 8 Положения)
5) разграничить полномочия и обязанности Академии и контрагентов Академии в случае, когда в обработке персональных данных участвуют несколько лиц (раздел 9 Положения)
6) организовать систему взаимодействия Академии с Субъектами Данных и государственными органами, а также порядок действий Академии в случае получения соответствующих запросов (раздел 10 Положения)
7) организовать систему по блокированию и уничтожению персональных данных (раздел 1 Положения)
8) организовать систему внутреннего контроля Академии за процессами обработки персональных данных (раздел 12 Положения)
9) зафиксировать все параметры и иные необходимые условия обработки в Системе Академии Обработки Персональных Данных (раздел 5.4 Положения)
10) уведомить государственные органы об изменениях в процессах обработки персональных данных, если это предусмотрено законодательством
Система Организации Обработки Персональных Данных представляет собой специализированное программное обеспечение, в котором производится оценка, согласование, учет и контроль обработки персональных данных, осуществляемой Академией; такое программное обеспечение также используется для выполнения всех предусмотренных законодательством обязанностей , возложенных на Академию в связи с осуществлением обработки персональных данных.
5.1. Предварительная оценка параметров обработки персональных данных
Каждый Бизнес-процесс Академии должен пройти предварительную оценку со стороны:
DPO на предмет соблюдения юридических и иных требований по Организации обработки персональных данных и на предмет соблюдения требований по защите и безопасности персональных данных.
Академия может самостоятельно организовать Бизнес-процесс, в рамках которого осуществляется обработка персональных данных , либо организовать такой Бизнес-процесс на основании договора с контрагентом, в котором есть условия о поручении обработки персональных данных.
По каждому Бизнес-процессу назначается Владелец Бизнес-процесса, который определяется по согласованию с Директором Академии.
Владелец Бизнес-процесса до запуска Бизнес-процесса предоставляет следующую информацию DPO для проведения предварительной оценки:
- описание Бизнес-процесса, с указанием того, реализует ли Компания Бизнес-процесс самостоятельно или с участием других юридических лиц (описать их роль)
- цель обработки данных в этом Бизнес-процессе (для чего нужно обрабатывать данные, и кто задает эту цель — Компания самостоятельно или бизнес-партнер Компании)
- персональные данные каких категорий лиц будут обрабатываться (чьи это данные)
- какой перечень персональных данных указанных выше лиц будет обрабатываться
- в каких информационных системах будут в дальнейшем храниться и обрабатываться данные, а также где территориально расположены сервера таких информационных систем
- какие подразделения Компании и сотрудники каких должностей будут обрабатывать данные в рамках своих должностных обязанностей либо иметь доступ к данным
- данные каких категорий лиц будут обрабатываться (чьи это данные)
- какой перечень данных будет обрабатываться
- из каких источников будут получены данные (указать откуда и каким образом Компания будет получать данные)
- какие операции планируется осуществлять с данными, какой срок обработки персональных данных (срок хранения)
- какие юридические лица могут быть задействованы в осуществлении этих операций
- в какую информационную систему будут первоначально вноситься данные при их получении и где территориально расположен сервер такой информационной системы
Указанная информация заносится в Систему Организации Обработки Персональных Данных. Дальнейшая фиксация всех параметров обработки персональных данных по Бизнес- процессу также происходит в этой системе .
5.2. Актуализация сведений о параметрах обработки и проведение оценки в случае изменения процесса обработки персональных данных
До внесения изменений в условия обработки персональных данных по Бизнес-процессу, который ранее прошел оценку, Владелец Бизнес-процесса предоставляет следующую информацию DPO для проведения оценки изменений Бизнес-процесса:
- какие изменения будут вноситься в Бизнес-процесс и будут ли эти изменения отражаться на обработке персональных данных
- какая цель обработки персональных данных в случае внесения изменений в Бизнес-процесс
- персональные данные каких категорий лиц будут обрабатываться в случае внесения изменений в Бизнес-процесс
- какой перечень персональных данных указанных выше лиц будет обрабатываться в случае внесения изменений в Бизнес-процесс
- из каких источников в случае внесения изменений в Бизнес-процесс будут получены персональные данные
- какие операции в случае внесения изменений в Бизнес-процесс планируется осуществлять с персональными данными
- какие юридические лица в случае внесения изменений в Бизнес-процесс могут быть задействованы в осуществлении этих операций
- какой срок обработки персональных данных в случае внесения изменений в Бизнес-процесс
- в какую информационную систему в случае внесения изменений в Бизнес-процесс будут первоначально вноситься персональные данные при их получении и где территориально расположен сервер такой информационной системы
- в каких информационных системах в случае внесения изменений в Бизнес-процесс будут в дальнейшем храниться и обрабатываться персональные данные, а также где территориально расположены сервера таких информационных систем
- какие подразделения Академии и сотрудники каких должностей в случае внесения изменений в Бизнес-процесс будут непосредственно обрабатывать персональные данные в рамках своих должностных обязанностей либо иметь доступ к персональным данным
- по своему усмотрению Владелец Бизнес-процесса вправе также в случае внесения изменений в Бизнес-процесс предоставить дополнительную информацию, которая может оказать влияние на реализацию Бизнес-процесса и осуществление обработки персональных данных, а также может отразиться на реализации запланированных изменений
5.3 Уведомление • создании или изменении Бизнес-процесса, в рамках которого осуществляется обработка персональных данных.
Как только стало известно, что в Академии планируется организовать или изменить уже существующий Бизнес-процесс, Владелец Бизнес-процесса обязан незамедлительно уведомить об этом Р О , а также включить их в рабочую группу и добавить к переписке, в которой обсуждаются указанные вопросы.
Это необходимо, чтобы Академия смогла подготовить необходимую юридическую документацию и обеспечить надлежащую защиту и безопасность персональных данных.
5.4. Ведение реестров обработки персональных данных
Директор уполномочивает DPO вести реестр обработки персональных данных в электронном виде в Системе Академии Обработки Персональных Данных, в которую заносятся:
- Цели обработки персональных данных
- Правовое основание обработки персональных данных (согласие, договор, норма/статья/пункт закона или подзаконного акта)
- Категории Субъектов Данных, чьи персональные данные обрабатываются
- Категории персональных данных по каждой категории Субъектов Данных
- Срок обработки персональных данных по каждой категории Субъектов Данных
- Срок хранения персональных данных по каждой категории Субъектов Данных
- Условия уничтожения персональных данных по каждой категории Субъектов Данных и ведение журнала об уничтожении персональных данных
- Перечень лиц, имеющих доступ к персональным данным Субъектов Данных
- Перечень информационных систем и мест хранения персональных данных
- Сведения о реализованных мерах защиты и безопасности персональных данных
- Дополнительные сведения (по усмотрению DPO)
На основании полученного описания Бизнес-процесса в Системе Академии Обработки Персональных Данных :
DPO фиксирует параметры обработки и иные необходимые сведения для Академии обработки персональных данных:
- Субъекты данных
- Бизнес-процессы и их владельцы
- Цели обработки данных
- Перечни и категории обрабатываемых данных
- Сроки обработки
- Источники получения данных
- Перечень компаний, участвующих в обработке
- Сведения об обработке данных в информационных системах
- Перечень подразделений и должностей сотрудников Компании, обрабатывающих данные и/или имеющие к ним доступ и сведения об их инструктаже/обучении
DPO на основании совокупности указанных выше сведений проводит и фиксирует оценку возможного вреда, который может быть причинен Субъектам Данных (с указанием соотношения вреда и принимаемых Академией мер по выполнению Закона о персональных данных).
DPO также на основании полученного описания Бизнес- процесса направляет в Роскомнадзор в установленных законодательством случаях уведомление об обработке персональных данных (и /или вносит в него соответствующие изменения ).
Владелец Бизнес- процесса после получения согласования от DPO на предмет организации или внесения изменений в Бизнес-процесс обязан выполнять свои обязанности по защите и безопасности персональных данных (раздел 7 Положения).
5.5 Способы обработки персональных данных
Есть особые требования к работе с персональными данными на бумажных носителях.
Компания может обрабатывать персональные данные
- автоматизированным способом
- неавтоматизированным способом
- смешанным способом
Прочитайте раздел 5.5.1 Положения, если ваша работа связана с документами на бумажных носителях, которые содержат персональные данные.
5.5.1 Неавтоматизированная обработка персональных данных
5.5.1.1 При обработке различных категорий персональных данных без использования средств автоматизации должен использоваться отдельный материальный носитель для каждой категории персональных данных.
При обработке персональных данных с помощью бумажных носителей информации:
1) Не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо несовместимы
2) Персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях информации, в специальных разделах или на полях форм (бланков)
3) Документы, содержащие персональные данные, формируются в дела / архивы или в системе обработки персональных данных
4) Дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных
5.5.1.2 При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональные данные (далее - типовые формы), должны соблюдаться следующие условия:
- типовая форма или связанные с ней документы (инструкция по ее заполнению , карточки, реестры и журналы) должны содержать сведения о :
- типовая форма должна предусматривать поле, в котором Субъект Данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных, при необходимости получения письменного согласия на обработку персональных данных
- типовая форма должна быть составлена таким образом, чтобы каждый из Субъектов Данных имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных Субъектов Данных
- типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы
5.5.1.3. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе информации, если материальный носитель информации не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, принимаются меры по обеспечению раздельной обработки персональных данных, в частности:
5.5.1.4. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональных данных.
при необходимости использования или распространения определенных данных, отдельно от находящихся на том же материальном носителе информации других данных:
- осуществляется копирование данных способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и используется (распространяется) копия данных
при необходимости уничтожения или блокирования части данных :
- уничтожается или блокируется материальный носитель информации с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных , подлежащих уничтожению или блокированию
5.5.2 Автоматизированная обработка персональных данных
Академия не принимает решений, порождающих юридические последствия в отношении Субъекта Данных или иным образом затрагивающее его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных.
5.6. Сбор персональных данных и иные источники получения персональных данных
Академия в зависимости от наличия согласия Субъекта Данных и / или иных правовых оснований может осуществлять сбор или получать персональные данные из следующих источников:
- собирать (получать) данные непосредственно от Субъекта Данных и (или) его представителей
- собирать (получать) данные путем мониторинга действий Субъекта Данных
- получать данные от третьих лиц: органов государственной власти, аффилированных лиц Академии, контрагентов Академии
- собирать (получать) данные, порождаемые действиями Академии в отношении Субъекта Данных
- собирать (получать) данные, имеющие достоверный и (или) предположительный характер, путем сопоставления (сравнения) и объединения (связывания) персональных данных Субъекта Данных с иными данными, находящимися в распоряжении Академии и (или) третьих лиц
Вышеуказанные действия по сбору (получению) персональных данных осуществляются Академией в соответствии с целью (целями) обработки персональных данных.
При сборе персональных данных Академия обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ (за исключением установленных законом случаев), а также обеспечивает соблюдение следующих принципов:
- сбор персональных данных граждан РФ , в том числе с территории иностранных государств, должен вестись только в базах данных, находящихся на территории РФ;
- передача ( в том числе трансграничная ) Академией персональных данных граждан РФ , после их сбора, в зарубежные базы данных может осуществляться только при условии размещения персональных данных граждан РФ в равных или больших объеме , составе и актуальности в базах данных, находящихся на территории РФ;
- базы данных , являющиеся составной частью информационной системы персональных данных Академии, должны быть размещены на территории РФ.
6.1. Определение информационных систем, в которых будут обрабатываться персональные данные, в случае организации обработки персональных данных.
Академия обязана:
- определить информационные системы, которые будут использоваться для обработки персональных данных
- обеспечить в указанных системах защиту персональных данных
- выполнить иные необходимые мероприятия в связи с организацией обработки персональных данных в таких системах
Владелец Бизнес-процесса для создания информационной системы персональных данных должен сообщить DPO:
- какие информационные системы будут использоваться для обработки персональных данных, в том числе указать, в какую систему данные будут первоначально заноситься и затем обрабатываться, а в какие системы данные будут подгружаться из указанной «первичной» системы
- персональные данные какой категории Субъектов Данных заносятся в каждую из вышеуказанных систем
- какие операции с персональными данными совершаются в каждой из вышеуказанных систем
- в течение какого срока эти операции будут совершаться в вышеуказанных системах
- какие подразделения Академии занимаются обработкой данных и имеют доступ к вышеуказанным информационным системам
- какие юридические лица помимо Академии будут иметь доступ к вышеуказанным информационным системам
- каким юридическим лицам Академия будет передавать персональные данные из вышеуказанных информационных систем
Когда Академия будет обрабатывать персональные данные как Обработчик, то есть на основании договора с условиями о поручении обработки, Владелец Бизнес-процесса направляет DPO:
- проект договора, на основании которого будет осуществляться обработка персональных данных;
- дополнительные документы и сведения к указанному договору (направляются при наличии ), например : инструкции по организации обработки, защите и безопасности персональных данных, техническое задание, сведения об угрозах безопасности / необходимом уровне защищенности персональных данных, а также любые сообщения контрагента, которые имеют отношение к обработке персональных данных по заключаемому договору.
После создания информационной системы персональных данных назначается её Владелец - он определяется по согласованию с Директором Академии, в функциональные обязанности которого входит реализация Бизнес-процесса, в рамках которого создается информационная система .
Владелец Бизнес-процесса может одновременно являться Владельцем информационной системы персональных данных, если это прямо предусмотрено в ходе согласования о назначении указанного лица Владельцем Бизнес-процесса.
6.2 Актуализация сведений об информационных системах, в которых обрабатываются персональные данные в случае изменения процесса обработки персональных данных.
ВладелецБизнес-процесса для защиты персональных данных и выполнения требований законодательства РФ в случае изменения Бизнес-процесса должен сообщить DPO о том :
- какие изменения будут вноситься в Бизнес-процесс и будут ли эти изменения отражаться на обработке персональных данных в информационных системах
- изменится ли информационная система, в которую первоначально персональные данные при их получении Академией
- заносятся изменится ли порядок обработки персональных данных в указанной выше «первичной» системе
- изменится ли перечень информационных систем, в которую загружаются данные из указанной выше «первичной» системы, т. е. изменится ли перечень информационных систем, которые используются для обработки персональных данных наряду с «первичной» системой
- изменится ли категория Субъектов Данных, персональные данные которых загружаются и обрабатываются в вышеуказанных системах
- изменится ли перечень персональных данных, загружаемых и обрабатываемых в вышеуказанных системах
- изменится ли перечень операций, совершаемых с персональными данными в вышеуказанных системах
- изменится ли срок обработки в вышеуказанных системах
- изменится ли перечень подразделений и должностей сотрудников Академии, которые имеют доступ к информационным системам и занимаются обработкой персональных данных в силу своих служебных обязанностей
- изменится ли перечень юридических лиц, которые помимо Академии будут иметь доступ к вышеуказанным информационным системам
- изменится ли перечень юридических лиц, которым Академия персональные данные из вышеуказанных информационных систем;
- повлечет ли доработка вышеуказанных информационных систем изменения в параметры защиты
Дополнительно, в случае изменения Бизнес-процесса, в котором Академия обрабатывает персональные данные как Обработчик, то есть на основании договора с условиями о поручении обработки, Владелец Бизнес-процесса направляет DPO:
- проект изменений в договор, на основании которого осуществляется обработка персональных данных - в случае, когда изменений в договор вносить не планируется, Владелец Бизнес-процесса сообщает об этом;
- дополнительные документы и сведения к указанному договору (направляются при наличии), например: новые инструкции по Академии обработки, защите и безопасности персональных данных, техническое задание на изменения, измененные сведения о угрозах безопасности / необходимом уровне защищенности персональных данных, а также любые сообщения контрагента, которые могут повлечь изменения в обработке персональных данных по заключенному договору.
6.3 Уведомления о создании информационных систем для обработки персональных данных или изменения ранее согласованного порядка обработки персональных данных в информационных системах
Владелец информационной системы персональных данных обязан уведомить DPO:
- об обработке персональных данных в информационной системе;
- о доработках, вносимых в эту информационную систему персональных данных.
Владелец информационной системы обязан выполнять требования по защите и безопасности персональных данных, установленные DPO ( см . подробнее раздел 7 Положения).
6.4. Порядок предоставления другим организациям доступа к информационной системе персональных данных и передача данных из информационной системы персональных данных
Академия может предоставить другому юридическому лицу доступ к информационной системе персональных данных либо передать данные из указанной системы только после получения согласования от DPO и подписания с таким юридическим лицом необходимых документов, налагающих на это лицо обязанности по обработке, защите и обеспечению безопасности персональных данных (если иное не допускается законодательством).
6.5 Систематизация сведений об обработке персональных данных в информационных системах
DPO наряду с параметрами обработки персональных данных (разделы 5.1-5.2 Положения ) фиксирует в Системе Академии Обработки Персональных Данных следующие сведения по каждой информационной системе, содержащей персональные данные:
- название информационной системы и её Владельца, описание функционального назначения и прочие характеристики (наименование, версии ПО, разработчика ПО, места нахождения компонентов)
- сведения о месте нахождения серверов/месте хранения персональных данных, а также сведения о резервном копировании (если оно проводится)
- сведения о Субъектах Данных/категориях Субъектов Данных, персональные данные которых содержатся в информационной системе
- сведения о перечне персональных данных/категориях персональных данных, содержащихся в информационной системе
- сведения об источниках получения персональных данных, содержащихся в информационной системе
- сведения о юридических лицах, имеющих доступ к информационной системе
- сведения о должностях сотрудников Академии, имеющих доступ к информационной системе
- сведения о реализованных в информационной системе мерах защиты и безопасности персональных данных
6.6. Носители персональных данных
Если персональные данные выгружаются из информационной системы на материальный носитель, то такой материальный носитель должен храниться в помещениях Академии.
В случаях, когда законодательство устанавливает обязанность ведения учета машинных носителей персональных данных, DPO ведет соответствующий учет в электронной форме.
6.7 Обязанности Владельцев Бизнес-процессов и Владельцев информационных систем персональных данных:
- предоставлять DPO пояснения по вопросам информационной системы (раздел 6.1 - 6.2 Положения);
- обрабатывать персональные данные в этой системе;
- предоставлять DPO дополнительные пояснения по вопросам обработки персональных данных: о функциональных особенностях системы; о перечне лиц, которые являются пользователями информационной системы, отдельно оговаривается о предоставлении прав пользователя лицам, которые не являются работниками Академии; информацию о том, как фактически будет эксплуатироваться система; иную информацию (при необходимости);
- обеспечивать заключение договоров с контрагентами, которым предоставляется доступ и/или передаются данные из информационной системы;
- реализовывать совместно с сотрудниками Академии, отвечающими за информационные технологии и эксплуатацию информационных систем, требования по безопасности, защите и обработке данных в информационной системе, установленные DPO;
- контролировать доступ сотрудников к информационной системе (порядок доступа к информационной системе устанавливают DPO);
- незамедлительно уведомлять DPO.
(1) об изменении существующего Бизнес-процесса по обработке персональных данных;
(2) о необходимости предоставить досту к системе другому юридическому лицу и /или передать другому юридическому лицу персональные данные из информационной системы;
(3) об инцидентах (происшествиях ) при обработке персональных данных (если такие случаются);
(4) о необходимости заключить новый договор или дополнительное соглашение к нему в связи с истечением срока действия договора и/или при необходимости провести актуализацию условий по обработке персональных данных.
6.8. Способы записи в информационные системы персональных данных
Существуют следующие способы записи персональных данных в информационные системы персональных данных Оператора:
- ввод информации при помощи клавиатуры;
- сканирование бумажных носителей информации, позволяющее получать их цифровое изображение;
- ввод существующих цифровых файлов;
- получение информации из других информационных систем.
Академия создает систему защиты персональных данных после того , как определены Бизнес- процессы, параметры обработки и информационные системы персональных данных.
7.1. Организация системы защиты персональных данных в Академии
1) Академия разрабатывает общую модель угроз безопасности персональных данных при их обработке во всех информационных систем персональных данных, включая модель нарушителя.
После этого Академия разрабатывает частную модель угроз безопасности персональных данных при их обработке в конкретных информационных системах персональных данных. По результатам формирования частной модели угроз Академия, делает вывод о типе угроз, актуальных для информационных систем персональных данных.
2) исходя из типов актуальных угроз для информационных систем персональных данных ( а также исходя из оценки вреда, который может быть причинен Субъектам Данных), Академия определяет необходимый уровень защищенности персональных данных при их обработке в информационные системы персональных данных;
3) Академия определяет требования к созданию системы защиты персональных данных, выполняя поочерёдно следующие этапы:
- определяется базовый набор мер по обеспечению безопасности персональных данных для установленного уровня защищенности персональных данных;
- базовый набор мер адаптируется с учетом структурно-функциональных характеристик информационных систем персональных данных, программных и программно-аппаратных средств, особенностей функционирования информационных систем персональных данных;
- проводится уточнение адаптированного базового набора мер с учетом, не выбранных ранее мер, по результатам которого определяются меры по обеспечению безопасности персональных данных, направленные на нейтрализацию всех актуальных угроз безопасности персональных данных для конкретных информационных систем персональных данных;
- уточненный адаптированный базовый набор мер дополняется мерами, обеспечивающими выполнение требований к защите персональных данных, установленными иными нормативными правовыми актами в области обеспечения безопасности персональных данных и защиты информации.
4) адаптация базового набора мер и уточнение адаптированного базового набора мер производится Академией с учетом уровня централизации сервисов информационного обеспечения и других особенностей информационной инфраструктуры. При этом для отдельных выбранных мер по обеспечению безопасности персональных данных техническая реализация может быть признана невозможной, либо они могут быть признаны экономически нецелесообразными на основании оценки потенциального вреда Субъектам Данных при реализации угроз, исключаемых данными мерами.
Вышеуказанные отдельные меры заменяются компенсирующими мерами, направленными на нейтрализацию данных актуальных угроз безопасности персональных данных, в том числе и с использованием средств защиты информации, прошедших процедуру оценки соответствия в форме, отличной от сертификации;
5) Академия самостоятельно или с привлечением третьих лиц готовит техническое оп
6) Академия осуществляет подготовительные мероприятия ( в том числе , закупку средств защиты информации, обучение администраторов) и производит ввод в эксплуатацию системы защиты персональных данных.
Академия выполняет вышеуказанные действия самостоятельно или с привлечением внешней организации, обладающей лицензией на деятельность по технической защите конфиденциальной информации.
7.2 Основные критерии по внедрению системы защиты в информационные системы персональных данных
При создании системы защиты в информационных системах персональных данных Академия обеспечивает выполнение следующих основных мероприятий:
- организация режима обеспечения безопасности помещений, в которых размещены информационные системы персональных данных , препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц , не имеющих права доступа в эти помещения;
- обеспечение сохранности материальных носителей персональных данных;
- актуализация утвержденного руководителем Оператора информационных систем персональных данных документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационных системах персональных данных, необходим для выполнения ими служебных (трудовых) обязанностей;
- использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз, при этом сертификаты на средства защиты информации должны быть действительными;
- ограничение доступа к содержанию электронного журнала сообщений: доступ должен быть возможен исключительно для должностных лиц (работников) Академии, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей (для информационных систем персональных данных, в отношении которых установлена необходимость обеспечения 2-го уровня защищенности);
- автоматическая регистрация в электронном журнале безопасности изменения полномочий работника Академии по доступу к персональным данным, содержащимся в информационных системах (для информационных систем персональных данных, в отношении которых установлена необходимость обеспечения 1-го уровня защищенности);
- назначение конкретного работника Академии, ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных (для информационных систем персональных данных, в отношении которых установлена необходимость обеспечения 2-го и 3-го уровня защищенности);
- формирование или назначение структурного подразделения, ответственного за обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных (для информационных систем персональных данных, в отношении которых установлена необходимость обеспечения 1-го уровня защищенности).
7.3. Ведение реестра должностей работников, в должностные обязанности которых входит обработка персональных данных
Директор Академии уполномочивает DPO:
- вести электронный реестр должностей работников Академии, в должностные обязанности которых входит обработка персональных данных;
- подготовить для вышеуказанных работников инструкцию и обучающий курс по работе с персональными данными с уведомлением об особенностях работы с персональными данными на бумажных носителях.
8.1. Директор Академии назначает DPO, в функции которого входят:
- осуществление внутреннего контроля над соблюдением Оператором и его работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных;
- подготовка перечня структурных подразделений и должностных лиц Оператора, допущенных к обработке персональных данных, в том числе в информационных системах персональных данных, для выполнения служебных (трудовых) обязанностей;
- ознакомление работников Оператора, включая непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными нормативными актами Оператора по вопросам обработки и защиты персональных данных, и обучение указанных работников;
- принятие и обработка обращений и запросов Субъектов Данных или их представителей и (или) осуществление контроля над приемом и обработкой таких обращений и запросов;
- оценка соответствия содержания и объема обрабатываемых Оператором персональных данных целям обработки персональных данных;
- разработка документов, определяющих политику Оператора в отношении обработки персональных данных, локальных нормативных актов Оператора по вопросам обработки персональных данных, а также локальных нормативных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ о персональных данных, а также устранение последствий таких нарушений;
- определение способа уничтожения персональных данных и организация мероприятий по уничтожению;
- проведение мероприятий по внутреннему контролю и (или) аудиту соответствия обработки персональных данных требованиям Закона о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политикой Оператора в отношении обработки персональных данных, локальным нормативным актам Оператора; оценка вреда, который может быть причинен Субъектам Данных в случае нарушения требований Закона о персональных данных, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
- установление правил доступа работников Оператора к персональным данным, обрабатываемым в информационных системах персональных данных;
- совместно с представителем юридической функции взаимодействовать с Роскомнадзором и иными уполномоченными органами в случаях, предусмотренных законодательством РФ о персональных данных;
- своевременное формирование и направление в Роскомнадзор уведомления об обработке Оператором (о намерении Оператора осуществлять обработку) персональных данных;
- своевременное формирование и направление в Роскомнадзор информационного письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных.
- осуществление регулярного мониторинга фактов включения Оператора в ежегодный сводный план проведения плановых проверок субъектов предпринимательства на предмет соблюдения обязательных требований в сфере обработки персональных данных;
- организация работы по получению согласия Субъектов Данных на обработку их персональных данных в случаях, предусмотренных законодательством РФ о персональных данных;
- ведение учета процессов обработки Оператором и перечня информационных систем персональных данных (включая базы персональных данных), а также поддержание в актуальном состоянии их описания;
- ведение учета мест, предназначенных для хранения материальных носителей персональных данных, и учета лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
- осуществление экспертизы локальных нормативных актов Оператора и договоров Оператора с третьими лицами на предмет их соответствия требованиям законодательства РФ о персональных данных.
DPO использует для выполнения указанных обязанностей Систему Организации Обработки Персональных Данных.
Полномочия DPO:
- требовать от работников Оператора выполнения требований локальных нормативных актов Оператора по вопросам обработки и защиты персональных данных, а также законодательства РФ о персональных данных;
- запрашивать и получать от работников Оператора информацию для исполнения своих прав и обязанностей, приведенных в Положении;
- вносить предложения руководителю Оператора о внесении изменений в процессы обработки персональных данных и технологические процессы, связанные с обработкой персональных данных в информационных системах, если это обусловлено необходимостью обеспечения соответствия законодательству РФ о персональных данных;
- вносить предложения руководителю Оператора о поощрении или наложении взысканий на работников Оператора в связи с исполнением ими обязанностей, связанных с обработкой и защитой персональных данных;
- создавать рабочие группы по вопросам обработки персональных данных, осуществляемой Академией;
- разрабатывать и утверждать локальные нормативные акты (приказы) по вопросам обработки персональных данных.
DPO несет ответственность за ненадлежащее исполнение или неисполнение своих полномочий и осуществление своих функций и обязанностей , в соответствии с трудовым, административным, уголовным и гражданским законодательством РФ.
8.2. Обязанности работников по обработке персональных данных
Работники обязаны:
- соблюдать конфиденциальность и безопасность обработки персональных данных, ставших известными работнику в связи с исполнением им должностных обязанностей;
- обрабатывать персональные данные исключительно в целях, указанных в Реестре обработок персональных данных;
- прекратить обработку персональных данных при прекращении действия трудового договора;
- Академия обязуется создавать работнику необходимые условия для соблюдения им конфиденциальности и безопасности обработки персональных данных, а также имеет право контролировать соблюдение работником соответствующих требований применимого законодательства и локальных актов Академии.
- Работник несет ответственность в случае противоправного раскрытия (разглашения) им персональных данных и в полном объеме возмещает причиненный Работодателю ущерб.
9.1. Академия вправе передавать персональные данные Субъекта Данных без его согласия в следующих случаях:
- в целях предупреждения угрозы жизни и здоровью Субъекта Данных;
- когда согласие Субъекта Данных на обработку, включая передачу его персональных данных третьим лицам, получено от него в письменном виде при заключении договора с Оператором;
- когда третьи лица оказывают услуги Оператору на основании заключенных договоров, а передача персональных данных необходима для исполнения договора, стороной которого, либо выгодоприобретателем или поручителем, по которому является Субъект Данных;
- в иных случаях, установленных действующим законодательством РФ.
9.2. В случаях, предусмотренных Законом о персональных данных , Академия может осуществлять передачу персональных данных государственным и муниципальным органам и иным операторам персональных данных. В частности, Академия может передавать персональных данных следующим органам власти:
- налоговые органы;
- финансовые органы;
- правоохранительные органы;
- миграционные органы;
- органы исполнительной власти, уполномоченные в области противодействия техническим разведкам и технической защиты информации;
- органы исполнительной власти, уполномоченные в области безопасности;
- органы, осуществляющие функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций;
- антимонопольные органы;
- органы исполнительной власти, осуществляющие официальный статистический учет и контроль в сфере официального статистического учета;
- органы, осуществляющие законодательство;
- государственный надзор за соблюдением трудового;
- военные комиссариаты и иные органы, осуществляющие воинский учет;
- органы социальной защиты;
- органы социального страхования;
- пенсионные фонды;
- органы, осуществляющие функции по контролю и надзору в сфере здравоохранения;
- подразделения муниципальных органов управления.
9.3. Правовые основания передачи персональных данных
Передача персональных данных для обработки иным третьим лицам в иных случаях допускается при соблюдении указанных ниже условий, а также в иных случаях в соответствии с законодательством.
1) третье лицо может обрабатывать персональные данные, предоставленные Академии и обработка третьим лицом персональных данных, предоставленных Академии:
- с согласия Субъекта Данных (его законного представителя), если получение такого согласия необходимо в соответствии с требованиями Закона о персональных данных;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является Субьект Данных, а также для заключения договора по инициативе Субъекта Данных или договора, по которому Субъект Данных будет являться выгодоприобретателем или поручителем;
- если третье лицо, которому передаются персональные данные, подтвердит наличие у него иных законных оснований для получения персональных данных у Академии и его последующей обработки;
- в иных случаях в соответствии с законодательством.
2) передача персональных данных третьему лицу может осуществляться на основании заключенного с Академией договора (за исключением случаев, когда законодательством допускается иное), в котором:
- установлена обязанность третьего лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке;
- установлена обязанность третьего лица не раскрывать и не распространять персональные данные без согласия Субъекта Данных, если иное не предусмотрено законодательством Российской Федерации.
9.4. Трансграничная передача персональных данных
В случае, когда Академией планируется трансграничная передача персональных данных на территорию государства, в которое ранее не передавались персональные данные, то Академия в лице DPO осуществляет оценку такой передачи.
Академия может осуществлять трансграничную передачу персональных данных на территорию Республики Беларусь, Республики Узбекистан , Объединенных Арабских Эмиратов, а также на территорию других государств, в которых расположены аффилированные лица и контрагенты Академии. DPO в Системе Организации Обработки Персональных Данных ведет перечень государств, на территорию которых Академия производит трансграничную передачу персональных данных.
9.5. Соглашение о поручении обработки персональных данных
9.5.1. В соответствии с ч .3 ст .6 152- ФЗ Оператор вправе с согласия Субъекта Данных, если иное не предусмотрено федеральным законом , поручить обработку его персональных данных другому лицу (контрагенту) на основании договора.
9.5.2. Поручение обработки персональных данных может быть формализовано как в виде соглашения между Академией и таким лицом, так и в виде составной части заключаемого или заключенного договора между указанными сторонами.
9.5.3. Необходимость в поручении обработки персональных данных возникает в том случае, если:
- обработка является самостоятельным предметом правоотношений между Сторонами;
- обработка может включать в себя различные действия с персональными данными.
9.5.4. Поручение обработки персональных данных должно содержать :
- описание содержания и цели обработки персональных данных;
- перечень действий с персональными данными, которые осуществляет одна сторона по поручению другой стороны (при определении перечня действий надо исходить из принципа минимальной достаточности действий для достижения целей);
- обязанность обеспечения конфиденциальности и безопасности персональных данных при их обработке, осуществляемой одной стороной по поручению другой стороны;
- указание конкретных мер по защите персональных данных в соответствии со ст. 19 Закона о персональных данных.
10.1. Должностные лица Академии, ответственные за взаимодействие с Субъектами Данных
Взаимодействие с Субъектами Данных и регуляторами осуществляют следующие лица:
- с работниками Академии, с исполнителями физическими лицами по гражданско-правовым договорам, а также с физическими лицами, проходящими практику в Академии (стажеры и практиканты) - уполномоченный сотрудник Академии, который определяется по согласованию с одним из Заместителей Директора или Директором подразделения Академии, в функциональные обязанности которого входит работа с персоналом;
- с соискателями Академии - уполномоченный сотрудник Академии, который определяется по согласованию с одним из Заместителей Директора или Директором подразделения Академии, в функциональные обязанности которого входит подбор персонала;
- с иными категориями Субъектов Данных, обработка которых предусмотрена договорными отношениями, включая Субъектов Данных, направивших запрос в отношении распространения их персональных данных - DPO;
- с регуляторами в области обработки персональных данных (Роскомнадзор, Прокуратура, ФСБ, ФСТЭК и другими государственными органами) - DPO.
10.2. Права Субъектов Данных
Субъекты Данных имеют следующие права:
- получать доступ к своим персональным данным;
- требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- получать от Оператора информацию о параметрах обработки персональных данных в соответствии с Законом о персональных данных;
- полностью или в какой-либо части отозвать согласие на обработку персональных данных Оператором;
- осуществлять иные права, предусмотренные законодательством.
10.3. Обработка запросов Субъектов Данных, Роскомнадзор и других государственных органов
DPO обязан вести в электронной форме журнале учета обращений Субъектов Данных ( или их представителей), Роскомнадзора и других государственных органов, в котором:
- фиксируется наличие запроса Субъекта Данных (его представителя), Роскомнадзора и других государственных органов, а также предмет запроса; при этом также в указанном журнале отражаются запросы на отзыв согласия;
- DPO может на момент проверки осуществить блокирование персональных данных (если блокировка не нарушает права и законные интересы Субъекта Данных или третьих лиц);
- осуществить проверку фактов, изложенных в запросе, и подтверждающих фактов документов, представляемых Субъектом Данных (его представителем), Роскомнадзором и другим государственных органов. По результатам проверки должен быть сформирован и направлен ответ.
В случае получения отзыва DPO или иной уполномоченный работник обязаны:
- разъяснить Субъекту Данных или его представителю о последствиях отзыва им согласия (форма такого разъяснения утверждается DPO);
- организовать уничтожение персональных данных или обеспечить их уничтожение в срок, не превышающий тридцати дней со дня поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных, иным соглашением между Оператором и Субъектом Данных;
- в письменной форме уведомить Субъекта Данных (его представителя) о прекращении Оператором обработки персональных данных.
При этом при наличии иных правовых оснований Академия вправе продолжить обработку персональных данных после отзыва согласия Субъекта Данных.
В случае, когда Субъект Данных направил запрос в отношении распространения персональных данных и их последующей обработки, DPO обязан рассмотреть такой запрос и организовать выполнение действий, предусмотренных ст. 10.1 Закона о персональных данных.
11.1. Сроки и условия прекращения обработки персональных данных зафиксированы в Системе Организации Обработки Персональных Данных.
11.2. При невозможности уничтожения персональных данных в сроки, определенные Законом о персональных данных, для случаев, когда невозможно обеспечить правомерность обработки персональных данных, при достижении целей обработки персональных данных, при отзыве Субъектом Данных согласия - Оператор осуществляет блокирование персональных данных и уничтожает персональные данные в течение 6 месяцев, если иной срок не установлен законодательством РФ.
11.3 Уничтожение персональных данных производиться под контролем DPO, который вправе единолично определять порядок и способы уничтожения персональных данных. Факт уничтожения фиксируется в Журнале об уничтожении (прекращении обработки ) персональных данных, который ведется DPO в электронной форме.
11.4. Уничтожение персональных данных должно производиться способом, исключающим возможность восстановления этих персональных данных. Если персональные данные невозможно уничтожить без такого повреждения их материального носителя, которое будет препятствовать его дальнейшему использованию по назначению, то уничтожению подлежат и персональные данные, и их материальный носитель.
11.5. Уничтожение персональных данных может производится после передачи документации ( в том числе, документации в электронной форме) в архив и (или) истечении сроков хранения информации.
DPO вправе определять порядок архивирования документации и передачи информации в архив.
12.1 Периодические проверки состояния Организации обработки и обеспечения безопасности персональных данных в Операторе осуществляются в целях внутреннего контроля соответствия обработки персональных данных Оператором.
12.2 Внутренние проверки проводятся DPO.
12.3 Результаты проверки оформляются в виде отчета , который содержит : 1) указание на период проведения проверки ; 2) описание нарушений и недостатков , выявленных в процессе проверки ; 3) предложения и рекомендации по снижению рисков, устранению недостатков и повышению эффективности внутреннего контроля.
12.4 По результатам проведения проверок, при необходимости, формируется и утверждается план устранения недостатков, выявленных в ходе проверок, содержащий следующие сведения:
- выявленные недостатки;
- наименование мероприятий по устранению недостатков;
- срок проведения мероприятий;
- наименование ответственных лиц;
- перечень принятых результатов устранения недостатков.