Политика в отношении обработки персональных данных

  1. Общие положения
    1. Настоящий документ определяет политику организации Частное учреждение дополнительного профессионального образования «Центр информационных технологий и безопасности информационных систем» («ЧУ ДПО «ЦИТ БИС») (далее Организация) в отношении обработки персональных данных (далее – Политика), содержащихся в информационной системе персональных данных (далее – ИСПДн).
    2. Настоящая Политика разработана в соответствии с Конституцией Российской Федерации, Федеральными законами Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных», от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации» иными нормативно-правовыми актами.
    3. Настоящая Политика, все дополнения и изменения к ней утверждаются руководителем Организации.
  2. Основные понятия, используемые в настоящей Политике.
    1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
    2. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации (или без использования таких средств) с персональными данными, включая:
      1. сбор;
      2. запись;
      3. систематизацию;
      4. накопление;
      5. хранение;
      6. уточнение (обновление, изменение);
      7. извлечение;
      8. использование;
      9. передачу (распространение, предоставление, доступ);
      10. обезличивание;
      11. блокирование;
      12. удаление;
      13. уничтожение.
    3. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
  3. Цели обработки персональных данных.
    Организация осуществляет обработку персональных данных в целях:
    • трудовые отношения,
    • предоставление образовательных услуг на основании договорных отношений.
  4. Принципы обработки персональных данных.
    1. Обработка персональных данных осуществляется Организацией на основе принципов:
      1. обработка персональных данных осуществляется на законной и справедливой основе;
      2. обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями обработки персональных данных;
      3. не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
      4. содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не избыточны по отношению к заявленным целям их обработки;
      5. при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Организация принимает необходимые меры по удалению или уточнению неполных или неточных данных;
      6. хранение персональных данных должно осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
      7. обрабатываемые персональные данные уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
  5. Условия обработки персональных данных.
    1. Обработка персональных данных осуществляется на законной основе.
    2. Условия обработки персональных данных должны соответствуют требованиям статьи 6 Федерального закона Российской Федерации от 27 июля 2006 года №152 – Ф3.
  6. Права субъектов персональных данных.
    1. Субъект персональных данных, чьи персональные данные обрабатываются в ИСПДн, имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
      1. подтверждение факта обработки персональных данных Организацией;
      2. правовые основания и цели обработки персональных данных;
      3. цели и применяемые Организацией способы обработки персональных данных;
      4. наименование и место нахождения Организации, сведения о лицах (за исключением работников Организации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Организацией или на основании федеральных законов Российской Федерации;
      5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральными законами Российской Федерации;
      6. сроки обработки персональных данных, в том числе сроки их хранения;
      7. иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
    2. Субъект персональных данных вправе требовать от Организации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
    3. Субъект персональных данных вправе обжаловать действия или бездействие Организации в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
    4. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
  7. Реализация требований к защите персональных данных.
    1. Реализация требований к защите персональных данных в Организации осуществляется применением мер защиты персональных данных, предусмотренных:
      • Постановлением Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» Приказом ФСТЭК №21 и постановлением правительства Российской Федерации от 1 ноября 2012 года №1119;
      • Приказом ФСТЭК России от 18.02.2013 года №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
      • Приказом ФСБ России от 10 июля 2014 г. №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требованиям к защите персональных данных для каждого из уровней защищенности».
    2. Реализация требований к защите персональных данных в Организации включает в себя проведение следующих мероприятий:
      1. Определение категорий персональных данных, обрабатываемых в ИСПДн;
      2. Определение угроз безопасности персональных данных в ИСПДн;
      3. Определение необходимого уровня защищенности персональных данных на основе анализа угроз безопасности и возможного ущерба Организации при реализации угроз безопасности персональных данных.
      4. Реализация технических и организационных мер по защите персональных данных, обрабатываемых в ИСПДн.
  8. Заключительные положения.
    1. Настоящая Политика является внутренним документом Организации, общедоступной и подлежит размещению на официальном сайте Организации.
    2. Настоящая Политика подлежит изменению, дополнению в случае принятия новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.
    3. Ответственность работников Организации, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российский Федерации.