Политика в отношении обработки персональных данных

  1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящий документ определяет Политику Негосударственного образовательного частного учреждения дополнительного профессионального образования «Библейско-богословского института святого апостола Андрея» (далее – Институт)  в отношении обработки персональных данных.

1.2. Настоящая политика в отношении обработки персональных данных (далее – Политика) составлена в соответствии с

  • Конституцией Российской Федерации;
  • Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»;
  • главой 14 Трудового кодекса Российской Федерации;
  • постановлением Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

1.3. Целью настоящей Политики является защита интересов Института, его студентов, партнеров, работников и посетителей сайтов, а также соблюдение требований Законодательства Российской Федерации о персональных данных.

1.4. Политика распространяется на персональные данные, полученные как до, так и после утверждения настоящей Политики.

1.5. Политика обязательна для ознакомления лицами, передающими в Институт персональные данные.

1.6. Текущая редакция Политики размещается в сети Интернет на сайте Института http://standrews.ru в общем доступе и вступает в силу с момента ее размещения.

1.7. В настоящей Политике определены следующие термины, определения и сокращения:  персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);

оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств  автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

  1. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Обработка персональных данных в Институте осуществляется в соответствии с принципами, установленными Федеральным законом Российской Федерации «О персональных данных»:

  • обработка персональных данных осуществляется на законной и справедливой основе;
  • обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;  не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместных между собой;
  • обработке подлежат только те персональные данные, которые отвечают целям их обработки;
  • содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки;
  • при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки;

2.2. Безопасность персональных данных обеспечивается выполнением согласованных мероприятий, направленных на предотвращение (нейтрализацию) и устранение угроз безопасности персональных данных, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и работы информационных систем персональных данных в случае реализации угроз.

  1. ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОАНЛЬНЫХ ДАННЫХ

3.1. Институт собирает и хранит персональные данные работников, посетителей сайта Института, а также персональные данные других субъектов персональных данных, полученные от контрагентов, необходимые для оказания услуги, исполнения соглашения или договора, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

3.2. Институт может использовать данные в следующих целях:

  • Идентификация стороны в рамках соглашений и договоров
  • Предоставление пользователю персонализированных услуг, сервисов, товаров
  • Связь с пользователем, в том числе направление уведомлений, запросов и информации, касающихся использования сайта, приобретения товаров, оказания услуг
  • Обработка запросов, заявок и сообщений от пользователя
  • Улучшение качества сайта, удобства его использования, разработка новых товаров и услуг
  • Таргетирование рекламных материалов
  • Проведение статистических и иных исследований
  • Заключение, исполнение и прекращение гражданско-правовых договоров с физическими, юридическими лицами, индивидуальными предпринимателями
  • Выполнения действующего законодательства Российской Федерации, нормативных актов Университета

3.2  Сбор персональных данных посетителей сайта Института осуществляется путем получения в форме обратной связи/заявке/анкете таких данных как фамилия, имя отчество, номер мобильного телефона и адрес электронной почты и т.д

3.3  Кроме форм для данных на сайте Института установлены системы веб аналитики Яндекс Метрика, Google Analytics, Лайв Интернет, статистический скрипт системы «пиксель». Информация из систем веб аналитики собирается в автоматическом режиме и используется для улучшения Сайта.

  1. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1.Обработка персональных данных в Институте допускается в следующих случаях:

  • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
  • обработка персональных данных осуществляется без согласия Субъекта персональных данных на обработку его персональных данных для достижения целей, предусмотренных: заключаемыми договорами; Трудовым кодексом Российской Федерации от 30.12.2001 г. № 197-ФЗ; Гражданским кодексом Российской Федерации; Налоговым кодексом Российской Федерации (часть первая – Федеральный закон от 31.07.1998 г. № 146- ФЗ; часть вторая – Федеральный закон от 05.08.2000 г. № 117 – ФЗ); Федеральным законом от 24 июля 2009 г. N 212-ФЗ «О страховых взносах в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»; Федеральным законом от 15 декабря 2001 г. N 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации», и для осуществления и выполнения, возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
  • обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  • обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
  • обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных. Исключение составляет обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи;
  • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

4.2.В случае необходимости Институт может включить персональные данные своих работников в общедоступные источники персональных данных.

4.3.Институт  не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных без письменного согласия субъекта персональных данных или других случаях, предусмотренных Статей 10.№152-ФЗ «Специальные категории персональных данных».

4.4.Институт обязуется и обязует иные лица, получившие доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

  1. ОБЯЗАННОСТИ ИНСТИТУТА

5.1В соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных» Институт обязуется:

  • предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ;
  • по требованию субъекта персональных данных уточнять обрабатываемые персональные данные, блокировать или удалять, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • вести Журнал учета обращений субъектов персональных данных, в котором должны фиксироваться запросы субъектов персональных данных на получение персональных данных, а также факты предоставления персональных данных по этим запросам;
  • уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных;
  • в случае достижения цели обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены  уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;
  • в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Институтом и субъектом персональных данных;
  • уведомить субъекта персональных данных об уничтожении его персональных данных;
  • в случае поступления требования субъекта о прекращении обработки персональных данных в целях продвижения товаров, работ, услуг на рынке немедленно прекратить обработку персональных данных.
  1. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

6.1 При обработке персональных данных Институт принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

  1. ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Под уничтожением персональных данных понимается действия, в результате которых невозможно достоверно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

7.2. Уничтожение персональных данных должно соответствовать следующим требованиям:

  • быть максимально надежным и конфиденциальным, исключая возможность последующего восстановления.
  • оформляться юридически в виде акта об удалении персональных данных.
  • должно проводиться комиссией по уничтожению персональных данных.
  • уничтожение должно касаться только тех персональных данных, которые подлежат уничтожению в связи с достижением целей обработки указанных персональных данных, либо утраты необходимости в их достижении. Персональные данные субъектов персональных данных хранятся не дольше, чем этого требуют цели их обработки, и подлежат уничтожению по достижению этих целей или в случае утраты необходимости в их достижении, но не более 30 дней с момента прекращения их обработки.
  • Носители персональных данных субъектов персональных данных уничтожаются по достижению целей их обработки или в случае утраты необходимости в их достижении.