Политика конфиденциальности

Политика конфиденциальности


ПОЛОЖЕНИЕ

ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

В ОБЩЕСТВЕ С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ

«НАЦИОНАЛЬНЫЙ ЦЕНТРАЛЬНЫЙ ИНСТИТУТ РАЗВИТИЯ ДОПОЛНИТЕЛЬНОГО ОБРАЗОВАНИЯ»

(ООО «НЦРДО») 

Москва, 2023 г.

1. Общие положения 

1.1. Положение об обработке персональных данных (далее – «ПДн») в ООО «НЦРДО» (далее – «Положение») разработано в соответствии с законодательством Российской Федерации в области защиты персональных данных и определяет основные требования к порядку осуществления любых действий (операций) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными в ООО «НЦРДО» (далее – «НЦРДО», «Оператор»). 

1.2. Настоящее Положение определяет:

●   принципы обработки персональных данных;

●   категории субъектов персональных данных, состав и цели обработки персональных данных;

●   правила обработки персональных данных;

●   права субъектов персональных данных;

●   права и обязанности оператора персональных данных;

●   требования по взаимодействию с субъектами персональных данных и третьими лицами. 

1.3. Все работники НЦРДО, участвующие в обработке персональных данных, обязаны соблюдать нормы настоящего Положения. 

1.4. В случае нарушения, неисполнения или ненадлежащего исполнения требований настоящего Положения работник НЦРДО может быть привлечен к ответственности в соответствии с законодательством Российской Федерации. 

1.5. Общее руководство и контроль над выполнением требований данного Положения осуществляет ответственный за организацию обработки персональных данных в НЦРДО. 

2. Нормативная база

При разработке настоящего Положения учитывались требования и рекомендации следующих нормативных правовых актов Российской Федерации:

●   Конституция Российской Федерации;

●   Трудовой кодекс Российской Федерации;

●   Федеральный    закон    от    27    июля    2006    г.    №    149-ФЗ       «Об                    информации, информационных технологиях и о защите информации»;

●   Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

●   Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные Приказом ФСТЭК России от 18 февраля 2013 г. № 21;

●   Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные Постановлением Правительства РФ от 01 ноября 2012 г. № 1119;

●   Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства РФ от 15 сентября 2008 г. № 687;

●   Приказ Роскомнадзора от 15.03.2013 N 274 "Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных. 

3. Термины, определения и сокращения

В настоящем Положении применяются следующие и соответствующие им определения:

3.1. Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

3.2. Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

3.3. Субъект персональных данных (Субъект ПДн) – физическое лицо, прямо или косвенно определенное или определяемое с помощью любой относящейся к нему информации;

3.4. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

3.5. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение персональных данных;

3.6. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

3.7. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

3.8. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

3.9. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

3.10. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. 

4. Принципы обработки персональных данных 

4.1. Обработка ПДн в НЦРДО осуществляется на основе следующих принципов:

●    обработка ПДн осуществляется на законной и справедливой основе;

●    обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн;

●    не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;

●    обработке подлежат только ПДн, которые отвечают целям их обработки;

●    обрабатываемые ПДн не являются избыточными по отношению к заявленным целям их обработки;

●     при обработке ПДн обеспечивается точность ПДн, их достаточность и актуальность по отношению к целям обработки ПДн;

●     хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, и они подлежат уничтожению по достижению целей обработки или в случае утраты необходимости в их достижении;

●     все работники должны быть ознакомлены под подпись с локальными правовыми актами НЦРДО, устанавливающими порядок обработки их ПДн, а также их правами и обязанностями в этой области, в соответствии с действующими нормативными правовыми актами Российской Федерации;

●     ПДн должны обрабатываться способами, позволяющими обеспечить их безопасность, с использованием соответствующих технических и организационных мер. 

4.2. В НЦРДО проводится регулярный анализ соответствия процессов обработки ПДн указанным выше принципам. Данный анализ проводится в случае:

●     создания новых или внесения изменений в существующие процессы обработки ПДн;

●     создания новых или внесения изменений в существующие ИСПДн;

●     изменения нормативной базы, затрагивающей принципы и (или) процессы обработки ПДн в НЦРДО;

●     проведения внутренних контрольных мероприятий на предмет оценки соответствия процессов обработки ПДн заявленным принципам. 

4.3. В НЦРДО соблюдаются требования конфиденциальности персональных данных, установленных ст. 7 Федерального закона «О персональных данных», а также принимаются меры, предусмотренные ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных».

5. Субъекты персональных данных, цели обработки персональных данных и категории персональных данных 

5.1. В НЦРДО ведется обработка ПДн следующих категорий субъектов ПДн в соответствующих целях: 

5.1.1. Ведение кадрового и бухгалтерского учета

1.     Имя, фамилия, отчество;

2.     Пол;

3.     Гражданство;

4.     Дата и место рождения;

5.     Паспортные данные;

6.     Адрес регистрации по месту жительства;

7.     Адрес фактического проживания;

8.     Контактные данные;

9.     ИНН;

10. СНИЛС;

11. Сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;

12. Семейное положение, наличие детей, родственные связи;

13. Сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;

14. Данные о регистрации брака;

15. Сведения о воинском учете;

16. Сведения об инвалидности;

17. Сведения об удержании алиментов;

18. Сведения о доходе с предыдущего места работы. 

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: работники, соискатели, лица, работающие по гражданско-правовым договорам.

5.1.2. Обеспечение соблюдения трудового законодательства РФ

1.     Имя, фамилия, отчество;

2.     Пол;

3.     Гражданство;

4.     Дата и место рождения;

5.     Паспортные данные;

6.     Адрес регистрации по месту жительства;

7.     Адрес фактического проживания;

8.     Контактные данные;

9.     ИНН;

10. СНИЛС;

11. Сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;

12. Семейное положение, наличие детей, родственные связи;

13. Сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;

14. Данные о регистрации брака;

15. Сведения о воинском учете;

16. Сведения об инвалидности;

17. Сведения об удержании алиментов;

18. Сведения о доходе с предыдущего места работы.

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: работники, соискатели. 

5.1.3. Обеспечение соблюдения налогового законодательства РФ

1.     Имя, фамилия, отчество;

2.     Пол;

3.     Гражданство;

4.     Дата и место рождения;

5.     Паспортные данные;

6.     Адрес регистрации по месту жительства;

7.     Адрес фактического проживания;

8.     Контактные данные;

9.     ИНН;

10. СНИЛС.

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: работники, соискатели, лица, работающие по гражданско-правовым договорам, бенефициарные владельцы компании, поставщики (физические лица, ИП, руководители, сотрудники, представители и акционеры поставщиков), родственники работников. 

5.1.4. Обеспечение соблюдения пенсионного законодательства РФ

1.     Имя, фамилия, отчество;

2.     Пол;

3.     Гражданство;

4.     Дата и место рождения;

5.     Паспортные данные;

6.     Адрес регистрации по месту жительства;

7.     Адрес фактического проживания;

8.     Контактные данные;

9.     ИНН;

10. СНИЛС.

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: работники, лица, работающие по гражданско-правовым договорам, бенефициарные владельцы компании, поставщики (физические лица, ИП, руководители, сотрудники, представители и акционеры поставщиков).

5.1.5. Обеспечение соблюдения законодательства о государственной социальной помощи

1.     Имя, фамилия, отчество;

2.     Пол;

3.     Гражданство;

4.     Дата и место рождения;

5.     Паспортные данные;

6.     Адрес регистрации по месту жительства;

7.     Адрес фактического проживания;

8.     Контактные данные;

9.     ИНН;

10. СНИЛС.

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: работники, лица, работающие по гражданско-правовым договорам, поставщики (физические лица, ИП, руководители, сотрудники, представители и акционеры поставщиков). 

5.1.6. Обеспечение соблюдения законодательства РФ в сфере образования

1.     Имя, фамилия, отчество;

2.     Пол;

3.     Гражданство;

4.     Дата и место рождения;

5.     Паспортные данные;

6.     Адрес регистрации по месту жительства;

7.     Адрес фактического проживания;

8.     Контактные данные;

9.     ИНН;

10. СНИЛС.

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: работники, лица, работающие по гражданско-правовым договорам, обучающиеся (физические лица, ИП, руководители, сотрудники, представители и акционеры клиентов). 

5.1.7. Обеспечение соблюдения законодательства РФ об исполнительном производстве

1.     Имя, фамилия, отчество;

2.     Пол;

3.     Гражданство;

4.     Дата и место рождения;

5.     Паспортные данные;

6.     Адрес регистрации по месту жительства;

7.     Адрес фактического проживания;

8.     Контактные данные;

9.     ИНН.

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: лица, работающие по гражданско-правовым договорам, обучающиеся (физические лица, ИП, руководители, сотрудники, представители и акционеры клиентов), поставщики (физические лица, ИП, руководители, сотрудники, представители и акционеры поставщиков). 

5.1.8. Подготовка, заключение и исполнение гражданско-правового договора

1.     Имя, фамилия, отчество;

2.     Пол;

3.     Гражданство;

4.     Дата и место рождения;

5.     Паспортные данные;

6.     Адрес регистрации по месту жительства;

7.     Адрес фактического проживания;

8.     Контактные данные;

9.     ИНН;

10. СНИЛС.

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: лица, работающие по гражданско-правовым договорам. 

5.1.9. Добровольное медицинское страхование

1.     Имя, фамилия, отчество;

2.     Пол;

3.     Гражданство;

4.     Дата и место рождения;

5.     Паспортные данные;

6.     Адрес регистрации по месту жительства;

7.     Адрес фактического проживания;

8.     Контактные данные;

9.     ИНН;

10. СНИЛС;

11. Семейное положение, наличие детей, родственные связи

12. Данные о регистрации брака;

13. Сведения об инвалидности.

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: работники, бенефициарные владельцы компании.

5.1.10. Заключение договора на оказание платных образовательных услуг

1.     Имя, фамилия, отчество;

2.     Пол;

3.     Гражданство;

4.     Дата и место рождения;

5.     Паспортные данные;

6.     Адрес регистрации по месту жительства;

7.     Адрес фактического проживания;

8.     Контактные данные;

9.     ИНН;

10. СНИЛС.

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: обучающиеся (физические лица, ИП, руководители, сотрудники, представители и акционеры клиентов) 

5.1.11. Обеспечение пропускного режима на территорию Оператора 

1.       Имя, фамилия, отчество;

2.       Паспортные данные.

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: посетители офисов и помещений компании (в том числе лица, в отношении которых ведется видеонаблюдение). 

5.1.12. Консультирование, услуги по составлению резюме

1.     Имя, фамилия, отчество;

2.     Пол;

3.     Гражданство;

4.     Дата и место рождения;

5.     Паспортные данные;

6.     Адрес регистрации по месту жительства;

7.     Адрес фактического проживания;

8.     Контактные данные;

9.     Сведения об    образовании, квалификации, профессиональной подготовке и повышении квалификации;

10. Сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий. 

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: лица, окончившие обучение и обратившиеся за содействием в трудоустройстве. 

5.1.13. Продвижение товаров, работ, услуг на рынке

1.     Имя, фамилия, отчество;

2.     Контактные данные;

3.     Сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации.

Для достижения цели обработки, указанной в настоящем пункте, оператор обрабатывает указанные персональные данные в отношении следующих категорий лиц: потенциальные клиенты, посетители и незарегистрированные пользователи интернет- сайтов и мобильных приложений, зарегистрированные пользователи интернет-сайтов и мобильных приложений, получатели рассылок.

6. Перечень подразделений и работников, допущенных к обработке персональных данных

6.1. В НЦРДО утвержден Перечень подразделений и работников, допущенных к работе с ПДн, обрабатываемыми в НЦРДО.

6.2. Работники НЦРДО допускаются к обработке только тех ПДн, которые им необходимы для выполнения своих служебных обязанностей.

6.3. Работники НЦРДО допускаются к обработке ПДн только после ознакомления с порядком и правилами работы с ПДн, закрепленными в организационно- распорядительной документации по защите ПДн в НЦРДО.

6.4. Работники НЦРДО принимают на себя обязательство о неразглашении ПДн, к которым они допускаются в связи с выполнением ими своих служебных обязанностей.

6.5. Лица, не имеющие прав доступа к ПДн, могут его получить на основании заявки, согласованной с ответственным за организацию обработки ПДн с обязательным указанием причины необходимости предоставления прав доступа и срока предоставления. 

7. Правила обработки персональных данных 

7.1. Способы обработки персональных данных.

7.1.1. В НЦРДО применяются следующие способы обработки ПДн:

●      автоматизированная обработка;

●      неавтоматизированная обработка (без использования средств автоматизации);

●      смешанная обработка.

7.1.2. В НЦРДО запрещено принятие решений, порождающих юридические обязательства, на основании исключительно автоматизированной обработки ПДн. 

7.2. Действия (операции) с персональными данными

7.2.1. НЦРДО осуществляет следующие действия (операции) с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, предоставление, блокирование, удаление, уничтожение персональных данных.

7.2.2. Особенности осуществления отдельных действий (операций) с ПДн установлены п.п. 7.3 – 7.9 настоящего Положения. 

7.3. Сбор персональных данных

7.3.1. НЦРДО получает ПДн:

●      непосредственно от субъекта ПДн;

●      от третьего лица или с целью исполнения требований нормативных правовых актов Российской Федерации, а также в иных случаях, когда это не противоречит действующему законодательству Российской Федерации.

7.3.2. В НЦРДО осуществляется получение согласия на обработку ПДн следующих категорий субъектов ПДн:

●      клиенты, посетители сайта НЦРДО;

●      потенциальные потребители и лица, принимающие участие в программах лояльности НЦРДО, в рекламных и иных мероприятиях, направленных на продвижение продукции НЦРДО, организуемых и (или) проводимых НЦРДО.

7.3.3. По общему правилу, субъекты ПДн самостоятельно предоставляют НЦРДО согласие на обработку персональных данных.

7.3.4. Обработка ПДн без получения согласия субъекта ПДн возможна в следующих случаях:

●      обработка ПДн необходима для исполнения договора, стороной которого является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн;

●      обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;

●      осуществляется обработка ПДн, сделанных общедоступными субъектом ПДн;

●      в иных случаях, прямо предусмотренных действующим законодательством Российской Федерации.

7.3.5. При сборе ПДн субъекту ПДн по его просьбе может быть предоставлена следующая информация:

●      подтверждение факта обработки ПДн;

●      правовые основания и цели обработки ПДн;

●      способы обработки ПДн, применяемые в НЦРДО;

●      наименование и фактический адрес НЦРДО, сведения о лицах (за исключением работников НЦРДО), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона;

●      обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законодательством о ПДн;

●      сроки обработки ПДн, в том числе сроки их хранения;

●      порядок осуществления субъектом ПДн своих прав, предусмотренных федеральным законодательством о ПДн;

●      наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению НЦРДО, если обработка поручена или будет поручена такому лицу;

●      иные сведения, подлежащие предоставлению согласно действующему законодательству Российской Федерации.

7.3.6. В случае получения ПДн не от субъекта ПДн, субъекту ПДн представляется следующая информация о получении его ПДн от третьего лица:

●      наименование и фактический адрес НЦРДО;

●      цель обработки ПДн и ее правовое основание;

●      предполагаемые пользователи ПДн;

●      права субъекта ПДн;

●      источник получения ПДн.

7.3.7. Информация, указанная в п. 7.3.5 может не предоставляться субъекту ПДн в следующих случаях:

●      субъект ПДн уведомлен об осуществлении обработки его ПДн соответствующим оператором;

●      ПДн получены на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн;

●      обработка ПДн осуществляет для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта ПДн;

●      предоставление субъекту ПДн указанных сведений нарушает права и законные интересы третьих лиц.

7.3.8. Порядок и форма предоставления информации, указанной в п.п. 7.3.5, 7.3.6, определяются в соответствии с локальными актами, регламентирующими порядок реагирования на запросы субъектов персональных данных. 

7.4. Накопление и хранение персональных данных

7.4.1. В НЦРДО накопление ПДн осуществляется следующими способами:

●      копирование оригиналов документов;

●      получение оригиналов документов;

●      внесение сведений в учетные формы (на бумажные носители и в базы данных автоматизированных систем);

●      запись на материальные носители.

7.4.2. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки и требования нормативных правовых актов Российской Федерации, связанных с хранением документов.

7.4.3. При неавтоматизированной обработке осуществляется раздельное хранение ПДн, соответствующих разным целям обработки.

7.4.4. Порядок учета, хранения и уничтожения носителей ПДн осуществляется в соответствии с Регламентом учета, хранения и уничтожения носителей персональных данных, принятым в НЦРДО.

7.4.5. Сроки хранения ПДн в НЦРДО определены законодательством и подзаконными нормативными правовыми актами Российской Федерации и зависят от их состава и целей их обработки.

7.5.  Блокирование персональных данных

7.5.1. Блокирование ПДн осуществляется в следующих случаях:

●     по требованию субъекта ПДн (в соответствии с Регламентом реагирования на запросы субъектов ПДн);

●     по требованию уполномоченных органов по защите прав субъектов ПДн;

●     по результатам внутренних контрольных мероприятий.

7.5.2. Блокировка ПДн субъекта может быть временно снята, если это требуется в целях соблюдения законодательства Российской Федерации.

7.6. Уничтожение персональных данных

7.6.1. ПДн подлежат уничтожению в следующих случаях:

●     по достижении целей обработки или в случае утраты необходимости в их достижении;

●     получение соответствующего запроса субъекта ПДн, при условии, что запрос не противоречит требованиям нормативных правовых актов Российской Федерации;

●     получение соответствующего предписания от уполномоченного органа по защите прав субъектов ПДн;

●     по истечении сроков хранения ПДн.

7.6.2. Уничтожение носителей ПДн осуществляется в соответствии с Регламентом учета, хранения и уничтожения носителей персональных данных, принятым в НЦРДО.

8. Права субъектов персональных данных

8.1. Субъекты ПДн имеют право:

8.1.1. Принимать решение о предоставлении своих ПДн НЦРДО и третьим лицам и давать согласие на их обработку свободно, своей волей и в своем интересе;

8.1.2. Отозвать свое согласие на обработку ПДн;

8.1.3. Получить от НЦРДО информацию, касающуюся обработки их ПДн посредством направления соответствующего запроса (форма запроса представлена в Приложении 1 к Регламенту реагирования на запросы субъектов ПДн в НЦРДО);

8.1.4. Требовать от НЦРДО уточнения ПДн, их блокирования или уничтожения, в случае если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных целей обработки;

8.1.5. Требовать прекращения обработки их ПДн в целях продвижения товаров, работ услуг на рынке путем осуществления прямых контактов с ними с помощью средств связи;

8.1.6. Заявлять возражение против решения, принятого исключительно на основании автоматизированной обработки ПДн;

8.1.7. Обжаловать действия или бездействие НЦРДО в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке, если субъект ПДн считает, что НЦРДО осуществляет обработку его ПДн с нарушением требований законодательства Российской Федерации или иным образом нарушает его права и свободы;

8.1.8. Осуществлять иные права, предусмотренные законодательством Российской Федерации.

9. Права и обязанности оператора персональных данных

9.1. НЦРДО обязан:

9.1.1. Издавать документы, определяющие требования в отношении обработки и защиты ПДн;

9.1.2. Опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки и защиты ПДн;

9.1.3. Принимать    необходимые    организационные   и                   технические меры                  по обеспечению безопасности персональных данных;

9.1.4. Назначить лицо, ответственное за организацию обработки ПДн в НЦРДО;

9.1.5. По требованию субъекта ПДн немедленно прекратить обработку его ПДн в порядке, предусмотренном законодательством Российской Федерации;

9.1.6. В срок, не превышающий 7 (семь) рабочих дней со дня предоставления субъектом ПДн сведений о том, что обрабатываемые ПДн являются неполными, неточными или неактуальными, внести в них необходимые изменения и уведомить об этом субъекта ПДн;

9.1.7. В случае прекращения обработки ПДн субъекта ПДн уничтожить его ПДн безопасным образом и уведомить об этом субъекта ПДн в срок, не превышающий 30 (тридцать) календарных дней;

9.1.8. Предоставить субъекту ПДн возможность ознакомления с ПДн, относящимися к нему, в течение 10 (десяти) календарных дней со дня получения соответствующего заявления субъекта ПДн за исключением случаев, предусмотренных законодательством Российской Федерации;

9.1.9. Рассмотреть возражение субъекта ПДн против решения, принятого на основании исключительно автоматизированной обработки ПДн, и в течение 30 (тридцати) календарных дней уведомить субъекта ПДн о результатах рассмотрения;

9.1.10. Выполнять иные обязанности, предусмотренные законодательством Российской Федерации и локальными нормативными актами НЦРДО. 

9.2. НЦРДО имеет право:

9.2.1. В случае отзыва субъектом ПДн согласия на обработку его ПДн продолжить их обработку без согласия субъекта ПДн при наличии оснований, предусмотренных законодательством Российской Федерации;

9.2.2. Получать ПДн субъекта ПДн от третьих лиц при условии получения согласия субъекта ПДн, а также в иных случаях, предусмотренных законодательством Российской Федерации;

9.2.3. Поручать обработку ПДн субъекта ПДн третьим лицам при условии получения согласия субъекта ПДн, а также в иных случаях, предусмотренных законодательством Российской Федерации;

9.2.4. Осуществлять иные права, предусмотренные законодательством Российской Федерации и локальными нормативными актами НЦРДО. 

10. Взаимодействие с субъектами персональных данных и третьими лицами

10.1. Взаимодействие с субъектами персональных данных

10.1.1. Субъект ПДн имеет права, предусмотренные разделом 8 настоящего Положения и законодательством Российской Федерации.

10.1.2. Процедура взаимодействия с субъектами ПДн осуществляется в соответствии с Регламентом реагирования на обращения субъектов ПДн, принятым в НЦРДО. 

10.2. Взаимодействие с третьими лицами

10.2.1. НЦРДО может передавать ПДн следующим третьим лицам:

●    Федеральная налоговая служба (ФНС России);

●    Пенсионный фонд Российской Федерации;

●    Фонд социального страхования Российской Федерации;

●    иные третьи лица, предоставление ПДн, которым является необходимым в силу действующего законодательства и подзаконных нормативных правовых актов Российской Федерации;

●    контрагенты НЦРДО (организации, индивидуальные предприниматели и иные лица, оказывающие услуги НЦРДО, банки, негосударственные пенсионные фонды и т.п.);

10.2.2. Взаимодействие с государственными контролирующими и регулирующими органами регламентируется соответствующими федеральными законами, нормативными правовыми актами регулирующих органов и другими нормативными правовыми актами Российской Федерации.

10.2.3.                 Взаимодействие с контрагентами НЦРДО в рамках передачи ПДн, производится на основании Соглашения о конфиденциальности и неразглашении информации или раздела в договоре о соблюдении конфиденциальности. НЦРДО передает ПДн только в объеме необходимом для достижения заявленных целей обработки. 

10.3. Поручение обработки персональных данных

10.3.1. НЦРДО может поручать обработку ПДн другим лицам (третьим лицам), а также выступать в роли лица, осуществляющего обработку ПДн по поручению других операторов ПДн.

10.3.2. НЦРДО поручает обработку ПДн третьим лицам только с согласия субъекта ПДн, если иное не предусмотрено действующим российским законодательством, при обязательном условии соблюдения лицом, осуществляющим обработку ПДн по поручению НЦРДО, принципов и правил обработки и обеспечения безопасности ПДн, установленных законодательством Российской Федерации. Лицо, осуществляющее обработку ПДн по поручению НЦРДО, не обязано получать согласие субъекта ПДн на обработку его ПДн.

10.3.3. В поручении на обработку ПДн в обязательном порядке определяются:

●    перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн (перечень действий не должен противоречить целям и действиям, заявленным перед субъектом ПДн в договоре с оператором, согласии и иных подобных документах);

●    цели обработки (цели не должны противоречить целям, заявленным перед субъектом ПДн в договоре с оператором, согласии и иных подобных документах);

●    обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке;

●    требования к защите ПДн (требования по защите, предъявляемые к лицу, осуществляющему обработку, не должны быть выше требований, выполняемых самим оператором).

10.3.3. При поручении обработки ПДн третьим лицам, ответственность перед субъектом ПДн за действия указанного лица несет НЦРДО. Лицо, осуществляющее обработку ПДн по поручению НЦРДО, несет ответственность перед НЦРДО. 

11. Порядок реагирования на утечки персональных данных 

11.1. В случае обнаружения неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан в течение 24 часов сообщить в Роскомнадзор, как орган уполномоченный по защите прав субъектов персональных данных, о произошедшем инциденте и о его предполагаемых причинах, о вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с Роскомнадзором по вопросам, связанным с выявленным инцидентом, а в течение 72 часов предоставить в ведомство результаты внутреннего расследования инцидента с указанием причины и виновных лиц. 

12. Порядок пересмотра и внесения изменений в настоящее Положение 

12.1. Пересмотр положений настоящего Положения проводится в следующих случаях:

●    по результатам проверок контролирующих органов исполнительной власти Российской Федерации, выявивших несоответствия требованиям по обеспечению безопасности ПДн;

●    при появлении новых требований к обеспечению безопасности ПДн со стороны российского законодательства и контролирующих органов исполнительной власти Российской Федерации;

●    по результатам внутреннего контроля (аудита) системы защиты ПДн, в случае выявления существенных нарушений;

●    по результатам расследования инцидентов информационной безопасности, связанных с обработкой и обеспечением безопасности ПДн и выявивших недостатки системы защиты;

●    при рассмотрении вопросов применения новых средств и методов защиты ПДн, существенно отличающихся от применяемых в НЦРДО;

●    в иных случаях по усмотрению НЦРДО. 

12.2. Лицом, ответственным за пересмотр настоящего Положения и составление рекомендаций по изменению, является ответственный за организацию обработки ПДн в НЦРДО.


Преподаватели

Отзывы о НЦРДО

* - по состоянию на 11 декабря 2024 года

НЦРДО – курсы дополнительного образования
НАВЕРХ
Вы смотрели