Политика Автономной некоммерческой организации повышения уровня качества образования населения «Школа 21.Югра» (далее – Компания) в области обработки и обеспечения безопасности Персональных данных (далее – Политика) разработана в соответствии Федеральным законом от 27 июля 2006 № 152-ФЗ «О персональных данных» (далее также «Закон о персональных данных») и предназначена для предоставления неограниченного доступа к информации в отношении Обработки Персональных данных, а также к сведениям о реализуемых требованиях к защите Персональных данных.
С целью обеспечения выполнения норм федерального законодательства и поддержания деловой репутации Компания считает важнейшей задачей обеспечение законности обработки и безопасности Персональных данных субъектов в процессе деятельности Компании.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту Персональных данных).
Для целей настоящей Политики персональные данные делятся на следующие категории:
Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
Специальные категории персональных данных – категории персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
Файлы cookie (Cookie) – текстовые файлы, которые браузер каждый раз пересылает серверу при попытке открыть страницу соответствующего сайта, используемые для аутентификации пользователя, хранения его персональных предпочтений и настроек, отслеживания состояния сессии доступа пользователя, ведения статистики о пользователях и т.п.
Субъект персональных данных – Работники, Кандидаты и Контрагенты Компании, а также иные физические лица, обработка персональных данных которых осуществляется Компанией в соответствии с настоящей Политикой (далее также именуется «Субъект» или во множественном числе – «Субъекты».
Оператор – юридическое лицо самостоятельно или совместно с третьими лицами организующие и осуществляющие Обработку Персональных данных, а также определяющие цели обработки, состав Персональных данных и действия с ними. В целях настоящей политики Оператором Персональных данных является АНО «Школа 21. Югра».
Обработка Персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с Персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, Уничтожение Персональных данных.
Автоматизированная Обработка Персональных данных (Автоматизированная обработка) – Обработка Персональных данных с помощью средств вычислительной техники.
Неавтоматизированная Обработка Персональных данных (Неавтоматизированная обработка) – Обработка Персональных данных при непосредственном участии человека с использованием материальных носителей (бумаги, машинных носителей).
Распространение Персональных данных – действия, направленные на раскрытие Персональных данных неопределенному кругу лиц.
Предоставление Персональных данных – действия, направленные на раскрытие Персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение Персональных данных – действия, в результате которых становится невозможным восстановить содержание Персональных данных в информационной системе Персональных данных и (или) в результате которых уничтожаются материальные носители Персональных данных.
Обезличивание Персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность Персональных данных конкретному субъекту Персональных данных.
Информационная система Персональных данных – совокупность содержащихся в базах данных Персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача Персональных данных – передача Персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу
Участник – физическое лицо, участвующее в проекте развития экспериментальной методики обучения программированию, с которым заключен соответствующий договор, или лицо, которому Компания оказывает платные образовательные услуги.
Поступающий – физическое лицо, вступающее в отношения с Компанией, для целей получения статуса Участника .
Работник – физическое лицо, вступившее в трудовые отношения с Компанией.
Кандидаты – физические лица, претендующие на замещение вакантной должности в Компании и намеревающееся вступить с Компанией в трудовые отношения.
Контрагенты – физические лица, кроме Участника и Поступающего, с которыми Компания вступает или намеревается вступить в договорные отношения, или физические лица-представители юридических лиц, с которыми Компания вступает или намеревается вступить в договорные отношения.
Проект – проект развития экспериментальной методики обучения программированию.
Испытание – четырехнедельный курс отбора участников Проекта.
3.1. Обработка Персональных данных в Компании основана на следующих принципах:
3.1.1. Компания осуществляет Обработку Персональных данных на законной и справедливой основе;
3.1.2. Компания ограничивает Обработку Персональных данных достижением конкретных, заранее определенных и законных целей. Компания не допускает Обработку Персональных данных, несовместимую с целями их сбора;
3.1.3. Компания не допускает объединение баз данных, содержащих Персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
3.1.4. Компания обрабатывает только те Персональные данные, которые отвечают целям их обработки;
3.1.5. Компания обеспечивает соответствие содержания и объема обрабатываемых Персональных данных заявленным целям обработки. Обрабатываемые Персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
3.1.6. При Обработке Персональных данных Компания обеспечивает точность Персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям Обработки Персональных данных. Компания принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных Персональных данных;
3.1.7. Компания хранит Персональные данные в форме, позволяющей определить субъекта Персональных данных, не дольше, чем этого требуют цели Обработки Персональных данных, если срок хранения Персональных данных не установлен законодательством, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект Персональных данных. Компания Уничтожает Персональные данные в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
4.1. Обработка Персональных данных в Компании осуществляется в соответствии со следующими нормативными правовыми актами:
4.2. Обработка Персональных данных осуществляется в соответствии с одним из следующих правовых оснований:
5.1. В соответствии с принципами Обработки Персональных данных Компания осуществляет Обработку Персональных данных в следующих целях:
5.1.1. исполнение трудового договора;
5.1.2. содействие в получении социальных льгот и компенсаций;
5.1.3. прием на работу и создание кадрового резерва;
5.1.4. пропуск на территорию Компании и доступ к информационным системам;
5.1.5. заключение и исполнение договоров гражданско-правового характера;
5.1.6. проведение Испытания;
5.1.7. отбор для участия в Проекте;
5.1.8. реализация Проекта;
5.1.9. реализация программ дополнительного образования.
6.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разделе 4 настоящего Положения. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6.2. Обработка Персональных данных в отношении всех указанных ниже целей осуществляется смешанным способом с сочетанием Неавтоматизированной и Автоматизированной обработки Персональных данных с передачей полученной информации по внутренней сети Оператора и по сети Интернет.
6.3. Оператор может обрабатывать персональные данные в следующем порядке:
6.3.1. Цель – исполнение трудового договора;
6.3.1.1. Категории Субъектов – Работники и бывшие Работники
6.3.1.2. Категории и состав Персональных данных:
Иные персональные данные:
Специальные категории персональных данных:
Биометрические персональные данные:
6.3.1.3. Способы и сроки обработки, порядок хранения Персональных данных для данной цели обработки определяются разделами 6, 7 и 10 Политики.
6.3.1.4. Порядок уничтожения Персональных данных для данной цели обработки определяется разделом 11 Политики.
6.3.2. Цель – содействие в получении социальных льгот и компенсаций.
6.3.2.1. Категории Субъектов – Работники и бывшие Работники, Члены семьи Работников
6.3.2.2. Категории и состав Персональных данных Работников и бывших Работников:
Иные персональные данные:
Специальные категории персональных данных:
6.3.2.3. Категории и состав Персональных данных членов семьи Работников
Иные персональные данные:
6.3.2.4. Способы и сроки обработки, порядок хранения Персональных данных для данной цели обработки определяются разделами 6, 7 и 10 Политики.
6.3.2.5. Порядок уничтожения Персональных данных для данной цели обработки определяется разделом 11 Политики.
6.3.3. Цель – прием на работу и создание кадрового резерва
6.3.3.1. Категории Субъектов – Кандидаты
6.3.3.2. Категории и состав Персональных данных Кандидатов
Иные персональные данные:
6.3.3.3. Способы и сроки обработки, порядок хранения Персональных данных для данной цели обработки определяются разделами 6, 7 и 10 Политики.
6.3.3.4. Порядок уничтожения Персональных данных для данной цели обработки определяется разделом 11 Политики.
6.3.4. Цель – пропуск на территорию Компании и доступ к информационным системам
6.3.4.1. Категории Субъектов – Работники и бывшие Работники
6.3.4.2. Категории и состав Персональных данных Работников и бывших Работников
Иные персональные данные:
Биометрические персональные данные:
6.3.4.3. Категории и состав Персональных данных Участников
Иные персональные данные:
Биометрические персональные данные:
6.3.4.4. Категории и состав Персональных данных Поступающих
Иные персональные данные:
Биометрические персональные данные:
6.3.4.5. Категории и состав Персональных данных Контрагентов
Иные персональные данные:
Биометрические персональные данные:
6.3.4.6. Способы и сроки обработки, порядок хранения Персональных данных для данной цели обработки определяются разделами 6, 7 и 10 Политики.
6.3.4.7. Порядок уничтожения Персональных данных для данной цели обработки определяется разделом 11 Политики.
6.3.5. Цель – заключение и исполнение договоров гражданско-правового характера
6.3.5.1. Категории Субъектов – Контрагенты
6.3.5.2. Категории и состав Персональных данных Контрагентов
Иные персональные данные:
6.3.5.3. Способы и сроки обработки, порядок хранения Персональных данных для данной цели обработки определяются разделами 6, 7 и 10 Политики.
6.3.5.4. Порядок уничтожения Персональных данных для данной цели обработки определяется разделом 11 Политики.
6.3.6. Цель – проведение Испытания
6.3.6.1. Категории Субъектов – Поступающий
6.3.6.2. Категории и состав Персональных данных Поступающих
Иные персональные данные:
Специальные категории персональных данных:
Биометрические персональные данные:
6.3.6.3. Способы и сроки обработки, порядок хранения Персональных данных для данной цели обработки определяются разделами 6, 7 и 10 Политики.
6.3.6.4. Порядок уничтожения Персональных данных для данной цели обработки определяется разделом 11 Политики.
6.3.7. Цель – реализация Проекта
6.3.7.1. Категории субъектов – Участник
6.3.7.2. Категории и состав Персональных данных Участник
Иные персональные данные:
Специальные категории персональных данных:
6.3.7.3. Способы и сроки обработки, порядок хранения Персональных данных для данной цели обработки определяются разделами 6, 7 и 10 Политики.
6.3.7.4. Порядок уничтожения Персональных данных для данной цели обработки определяется разделом 11 Политики.
6.3.8. Цель –реализация программ дополнительного образования
6.3.8.1. Категории Субъектов – Участники
6.3.8.2. Категории и состав Персональных данных
Иные персональные данные:
Биометрические персональные данные:
6.3.8.3. Способы и сроки обработки, порядок хранения Персональных данных для данной цели обработки определяются разделами 6, 7 и 10 Политики.
6.3.8.4. Порядок уничтожения Персональных данных для данной цели обработки определяется разделом 11 Политики.
6.4. Сроки Обработки и хранения Персональных данных определяются достижением целей обработки, если иное не предусмотрено законодательством Российской Федерации.
6.5. Компания не Распространяет Персональные данные в общедоступных источниках без предварительного согласия субъекта Персональных данных.
6.6. В Компании запрещено принятие решений относительно субъектов Персональных данных на основании исключительно автоматизированной обработки их Персональных данных.
7.1. К специальным категориям Персональных данных относятся данные о:
7.2. Указанные в настоящем разделе Персональные данные раскрываются только в тех случаях, когда:
7.3. В Компании обрабатываются биометрические Персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) с целью:
8.1. Сбор Персональных данных осуществляется непосредственно у самого субъекта Персональных данных. Если Предоставление Персональных данных является обязательным в соответствии с законодательством, субъекту Персональных данных разъясняются юридические последствия отказа в предоставлении таких данных.
8.2. Получение Персональных данных у третьей стороны возможно только при наличии законных оснований. При получении Персональных данных у третьей стороны субъект Персональных данных уведомляется об этом. Если Компания получает Персональные данные третьего лица не самостоятельно, то лицо, их предоставившее, обязуется уведомить такое третье лицо о Предоставлении Персональных данных.
8.3. При сборе Персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечивается запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение Персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ.
9.1. Компания использует файлы «Cookies», которые позволяют идентифицировать браузер субъекта Персональных данных. Когда субъект Персональных данных заходит на сайт Компании, Cookie обеспечивают сбор и сохранение информации о том, как Cубъект использует сайт Компании с целью соответствующего учета и аналитики. Персональные данные, собираемые с помощью Cookie, также могут использоваться Компанией для управления сеансом работы Cубъекта с сайтом Компании.
9.2. Компания не осуществляет:
9.2.1. прямое или косвенное определение Субъекта с использованием технической информации или иных сведений;
9.2.2. сопоставление и (или) объединение (связывание) технической информации с находящимися в распоряжении Компании Персональными данными и (или) иными сведениями;
9.2.3. обработку технической информации для аналитических и маркетинговых (рекламных) целей;
9.2.4. передачу технической информации сторонним Интернет-сервисам.
9.3. С помощью Cookie осуществляется сбор следующей информации при посещении сайта Компании:
9.4. Субъекты могут отказаться принимать Сookie сайта Компании, используя настройки своего Интернет-браузера. Однако это может привести к некоторым неудобствам при использовании сайта Компании (например, необходимость регулярного прохождения Субъектами процедуры аутентификации на сайте Компании).
9.5. Политика не регулирует порядок обработки и защиты Персональных данных в отношении любых иных сайтов или веб-объектов (включая, помимо прочего, любые мобильные приложения), доступных через сайт Компании или на которые сайт содержит ссылку. Наличие или включение ссылки на любой такой сайт или объект на сайте Компании не подразумевает наличие каких-либо гарантий и заверений со стороны Оператора.
10.1. Хранение Персональных данных осуществляется в форме, позволяющей определить субъекта Персональных данных, не дольше, чем этого требуют цели Обработки Персональных данных, если срок хранения Персональных данных не установлен законодательством либо договором, стороной которого является субъект Персональных данных.
10.2. Компания обеспечивает соблюдение Постановления Правительства РФ от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» при хранении биометрических Персональных данных.
10.3. При хранении биометрических Персональных данных вне Информационных систем Персональных данных Компания обеспечивает хранение на таких материальных носителях информации и с применением таких технологий хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
10.4. Хранение Персональных данных осуществляется с учетом обеспечения режима их конфиденциальности. Компания также обеспечивает раздельное хранение Персональных данных, собранных для обработки в различных целях, не допуская смешения Персональных данных, а также обеспечивая защиту Персональных от несанкционированного доступа.
10.5. В случае подтверждения факта неточности Персональных данных, Персональные данные подлежат их актуализации Компанией путем соответствующего запроса в адрес субъекта Персональных данных.
10.6. Персональные данные передаются на архивное хранение в соответствии с законодательством Российской Федерации об архивном деле, уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
10.7. В случае выявления факта неправомерности Обработки Персональных данных, такие Персональные данные подлежат уничтожению.
11.1. Персональные данные, цель обработки которых достигнута, подлежат уничтожению, если более длительный срок их хранения не предусмотрен действующим законодательством Российской Федерации.
11.2. При уничтожении Персональных данных необходимо уничтожить соответствующие носители таким образом, чтобы восстановление содержания Персональных данных стало невозможным. Уничтожение бумажных носителей Персональных данных производится с помощью специальных бумагорезательных технических средств (шредеров).
11.3. При утилизации компьютера или носителя информации, на котором записаны Персональные данные, должно использоваться специальное программное обеспечение, предназначенное для полного разрушения Персональных данных, или же данный носитель информации должен быть физически уничтожен до его утилизации.
11.4. Факт уничтожения Персональных данных фиксируется в специальном журнале, утвержденном Оператором. 11.5. При достижении целей обработки персональных данных, а также в случае отзыва Субъектом согласия на их обработку Персональные данные подлежат уничтожению, если:
11.5.1. Иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект;
11.5.2. Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами;
11.5.3. Иное не предусмотрено иным соглашением между Оператором и Субъектом.
12.1. Предоставление Персональных данных третьему лицу осуществляется только с согласия субъекта Персональных данных или в случаях, прямо предусмотренных законодательством Российской Федерации. Предоставление Персональных данных органу государственной власти, органу местного самоуправления, органу безопасности и правопорядка, государственному учреждению и фонду, а также иному уполномоченному органу допускается по основаниям, предусмотренным законодательством Российской Федерации.
12.2. Раскрытие Персональных данных в коммерческих целях без письменного согласия соответствующего субъекта запрещено. Обработка Персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации осуществляется только при условии предварительного согласия на это субъекта.
13.1. В случаях, если Компании необходимо обработать Персональные данные субъекта, имеющего гражданство Европейского союза, к таким лицам применяются Стандартные договорные условия (SCCs), утвержденные Европейской комиссией в соответствии с положениями статьи 46(2)(c) Общего регламента по защите данных (GDPR).
14.1. Субъект Персональных данных имеет права, касающейся обработки его Персональных данных, в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных». Ряд прав, указанных ниже, субъект Персональных данных может реализовать только при наличии определенных обстоятельств.
14.2. Для уточнения информации о реализации своих прав субъект Персональных данных вправе обратиться по почте или используя e-mal: surgut@21-school.ru.
14.3. Права субъекта Персональных данных:
14.4. В случае, если субъект Персональных данных намеревается реализовать какие-либо из своих прав, он вправе обратиться к лицу, ответственному за Обработку Персональных данных, указанному в настоящей политике, по соответствующему адресу. Субъект Персональных данных также вправе обратиться в государственные и муниципальные органы, если сочтет, что Компания нарушает его права при Обработке Персональных данных.
15.1. При Обработке Персональных данных Компания принимает необходимые правовые, организационные и технические меры для защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Персональных данных, а также от иных неправомерных действий в отношении Персональных данных.
15.1.1. Компания вправе принимать локальные нормативные акты в целях применения мер для защиты Персональных данных.
16.1. Компания может время от времени вносить изменения в настоящую Политику без предварительного уведомления. Любые изменения вступают в силу с момента их публикации на сайте Компании в сети «Интернет».
16.2. Контактная информация
Ответственный за Обработку Персональных данных:
Балаушко Дмитрий Александрович.
Любые обращения, касающиеся Обработки Персональных данных, направляются с помощью электронной почты по адресу: surgut@21-school.ru, либо на почтовый адрес: г. Сургут, ул. Иосифа Каролинского, д. 14/1.
редакция от 15 мая 2023 г.