Утверждено
Генеральным директором Логинов П.А.,
действующего на основании Устава
1. Общие положения
1.1. Политика обработки персональных данных (далее – Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ) и Рекомендациями Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
1.2. Настоящая Политика является основополагающим внутренним нормативным документом АО «Моджо Образовательные Технологии» (далее – Общество) в области обработки и обеспечения безопасности персональных данных, и разработана в целях реализации требований законодательства Российской Федерации в области обработки и обеспечения безопасности персональных данных и направлена на обеспечение защиты прав и свобод человека (гражданина) при обработке его персональных данных в Обществе.
1.3. Действие настоящей Политики распространяется на все операции, совершаемые Оператором с персональными данными с использованием средств автоматизации или без их использования.
1.4. Требования настоящей Политики распространяются на всех работников Общества и должны быть доведены до них под подпись.
1.5. Понятия, содержащиеся в ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», используются в настоящей Политике с аналогичным значением.
2. Цели обработки персональных данных
2.1. Категории и перечень обрабатываемых персональных данных (далее – ПДн), категории субъектов, ПДн которых обрабатываются, способы, сроки обработки и хранения ПДн для каждой цели обработки ПДн содержатся в настоящей Политике (Приложение 1), и обновляются в случае их изменения.
2.2. Порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований определен в соответствии с требованиями Приказа Роскомнадзора от 28.10.2022 № 179 «Об утверждении требований к подтверждению уничтожения персональных данных», поэтому применим для всех целей обработки ПДн.Обеспечивать соблюдение законности в деятельности Общества в соответствии с законодательством РФ, организует подготовку соответствующих документов и осуществление всех необходимых действий для получения (продления) лицензии на осуществление уставной деятельности Общества.
3. Правовые основания обработки персональных данных
3.1. Общество обрабатывает персональные данные (далее – ПДн) на следующих правовых основаниях:
- Гражданский кодекс.
- Налоговый кодекс.
- Трудовой кодекс.
- Федеральный закон от 17.09.1998 № 157-ФЗ «Об иммунопрофилактике инфекционных болезней».
- Постановление Правительства Российской Федерации от 15.07.1999 № 825 «Об утверждении перечня работ, выполнение которых связано с высоким риском заболевания инфекционными болезнями и требует обязательного проведения профилактических прививок».
- Постановление Правления Пенсионного фонда России от 15.04.2021 № 103п «Об утверждении формы «Сведения о застрахованных лицах (СЗВ-М)» и Порядка заполнения формы указанных сведений».
- Постановление Правления Пенсионного фонда России от 25.12.2019 № 730п «Об утверждении формы и формата сведений о трудовой деятельности зарегистрированного лица, а также порядка заполнения форм указанных сведений» (вместе с «Порядком заполнения формы «Сведения о трудовой деятельности зарегистрированного лица (СЗВТД)», «Форматом сведений для формы «Сведения о трудовой деятельности (СЗВ-ТД) зарегистрированного лица» в электронном виде»).
- Постановление Правления Пенсионного фонда России от 06.12.2018 № 507п «Об утверждении формы «Сведения о страховом стаже застрахованных лиц (СЗВ-СТАЖ)», 4 формы «Сведения по страхователю, передаваемые в ПФР для ведения индивидуального (персонифицированного) учета (ОДВ-1)», формы «Данные о корректировке сведений, учтенных на индивидуальном лицевом счете застрахованного лица (СЗВ-КОРР)», формы «Сведения о заработке (вознаграждении), доходе, сумме выплат и иных вознаграждений, начисленных и уплаченных страховых взносах, о периодах трудовой и иной деятельности, засчитываемых в страховой стаж застрахованного лица (СЗВ-ИСХ)», порядка их заполнения и формата сведений».
- Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством».
- Приказ Минтруда России от 20.01.2020 № 23н «Об утверждении формы сведений о трудовой деятельности, предоставляемой работнику работодателем, формы предоставления сведений о трудовой деятельности из информационных ресурсов Пенсионного фонда Российской Федерации и порядка их заполнения» (вместе с «Порядком заполнения формы «Сведения о трудовой деятельности, предоставляемые работнику работодателем (СТД-Р)» и формы «Сведения о трудовой деятельности, предоставляемые из информационных ресурсов Пенсионного фонда Российской Федерации (СТД-ПФР)».
- Постановление Правительства Российской Федерации от 16.09.2020 № 1479 «Об утверждении Правил противопожарного режима в Российской Федерации».
- Постановление Правительства Российской Федерации от 24.12.2021 № 2464 «О порядке обучения по охране труда и проверки знания требований охраны труда».
- Приказ Минтруда России № 903н «Об утверждении правил по охране труда при эксплуатации электроустановок».
- Федеральный закон от 28.12.2013 № 426-ФЗ «О специальной оценке условий труда».
- Уставные документы Оператора.
- Согласие субъекта на обработку ПДн.
- Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения.
- Осуществление прав и законных интересов Общества или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн.
- Исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем.
- Иные основания, когда согласие на обработку персональных данных не требуется в силу закона.
4. Порядок и условия обработки персональных данных
4.1. Обработка персональных данных (далее – ПДн) в Обществе осуществляется на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только те ПДн, которые отвечают целям их обработки. Содержание и объем обрабатываемых в Обществе ПДн соответствуют заявленным целям обработки, избыточность обрабатываемых ПДн не допускается. В случае необходимости, Общество принимает меры по устранению их избыточности по отношению к заявленным целям обработки.
4.2. При обработке ПДн в Обществе обеспечивается их точность, достаточность и актуальность по отношению к целям обработки. Общество принимает необходимые меры по удалению или уточнению неполных или неточных ПДн.
4.3. Хранение ПДн в Обществе осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки, если срок хранения ПДн не установлен федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральными законами.
4.4. Общество осуществляет обработку иных и общедоступных категорий ПДн субъектов ПДн, а также специальных категорий ПДн, касающихся состояния здоровья работников, в предусмотренных трудовым законодательством случаях. Общество может обрабатывать сведения о состоянии здоровья иных категорий субъектов ПДн по поручению контрагентов, при этом контрагенты Общества обязуются получать письменные согласия от субъектов обработки ПДн.
4.5. Общество не осуществляет обработку специальных категорий ПДн, касающихся расовой и национальной принадлежности, политических взглядов, религиозных и философских убеждений, интимной жизни, судимости субъекта ПДн, а также биометрических ПДн.
4.6. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает Согласие свободно, своей волей и в своем интересе.
4.7. Согласие дается в любой позволяющей подтвердить факт его получения форме. В предусмотренных законодательством Российской Федерации случаях согласие дается в любой позволяющей подтвердить факт его получения форме, в том числе путем совершения действий, указанных на Сайте Согласие с настоящей Политикой означает предоставление субъектом персональных данных согласия на обработку своих персональных данных, указанными в Политике способами.
4.8. Согласие на обработку персональных данных субъекта персональных данных вступает в силу со дня его принятия (подписания) и действует в течение неопределенного срока и может быть отозвано на основании письменного заявления субъекта персональных данных в произвольной форме.
4.9. Общество в ходе своей деятельности может предоставлять и (или) поручать обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральными законами. При этом обязательным условием предоставления и (или) поручения обработки ПДн другому лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности ПДн при их обработке.
4.10. Юридические наименования таких третьих лиц и адреса их местонахождения определены в Положении о конфиденциальности, с которым соглашается субъект ПДн, или в согласии на обработку ПДн, которое дает субъект ПДн, или в ином документе, в котором определены условия обработки ПДн, с которыми соглашается субъект ПДн.
4.11. Общество не размещает ПДн субъекта в общедоступных источниках без его предварительного письменного согласия.
4.12. Общество не распространяет ПДн субъекта без его предварительного отдельного согласия на обработку ПДн, разрешенных субъектом для распространения.
4.13. Общество в ходе своей деятельности не осуществляет трансграничную передачу ПДн граждан РФ.
4.14. При сборе ПДн Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
4.15. Общество не раскрывает информацию о конкретных применяемых средствах и методах обеспечения информационной безопасности персональных данных в целях обеспечения надлежащего уровня защиты персональных данных требованиям законодательства Российской Федерации.
5. Принимаемые меры по обеспечению безопасности персональных данных
5.1. С целью обеспечения безопасности персональных данных (далее – ПДн) при их обработке Общество самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством в области ПДн. К таким мерам относятся:
5.1.1. назначение ответственного лица за организацию обработки ПДн;
5.1.2. издание документов, определяющих политику Общества в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, определяющих для каждой цели обработки ПДн категории и перечень обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
5.1.3. применение правовых, организационных и технических мер по обеспечению безопасности ПДн;
5.1.4. осуществление внутреннего контроля соответствия обработки ПДн законодательству в области ПДн и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике Общества в отношении обработки ПДн, локальным актам Общества;
5.1.5. оценка вреда, который может быть причинен субъектам ПДн в случае нарушения требований законодательства, соотношение указанного вреда и принимаемых Обществом мер безопасности;
5.1.6. ознакомление работников Общества, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику Общества в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников;
5.1.7. иные меры по обеспечению безопасности ПДн, применяемые Обществом.
5.2. Руководство Общества осознает важность и необходимость обеспечения безопасности ПДн и поощряет постоянное совершенствование системы защиты ПДн, обрабатываемых Обществом.
6. Права и обязанности субъектов персональных данных
6.1. Субъекты персональных данных (далее – ПДн) имеют право:
6.1.1. свободно, своей полей и в своих интересах предоставлять свои ПДн и давать согласие на их обработку;
6.1.2. отзывать ранее предоставленное согласие на обработку ПДн, в том числе на распространение ПДн;
6.1.3. получать информацию, касающуюся обработки их ПДн;
6.1.4. требовать уточнения ПДн в случае, если ПДн являются неполными, устаревшими, недостоверными;
6.1.5. требовать прекращения обработки ПДн в случае, если ПДн являются незаконно полученными, не являются необходимыми для заявленной цели обработки ПДн или используются в целях, на которые отсутствует правовое основание для их обработки;
6.1.6. обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов ПДн (Роскомнадзор) и (или) в досудебном (судебном) порядке, если считает, что Общество осуществляет обработку его ПДн с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
6.1.7. иные права, предусмотренные законодательством Российской Федерации.
6.2. Субъекты ПДн обязаны:
6.2.1. сообщать Обществу достоверную информацию;
6.2.2. сообщать Обществу об изменении своих ПДн (по возможности используя личный кабинет для внесения таких изменений ПДн и (или) путем обращения в Общество);
6.2.3. при предоставлении ПДн третьих лиц в Общество, уведомить таких третьих лиц о передаче их ПДн в Общество, а также получить необходимые согласия на передачу ПДн в Общество;
6.2.4. выполнять иные обязанности, предусмотренные законодательством Российской Федерации.
7. Права и обязанности общества, как оператора персональных данных
7.1. Общество имеет право:
7.1.1. обрабатывать ПДн субъекта в соответствии с заявленными целями;
7.1.2. требовать от субъекта ПДн предоставления достоверных ПДн;
7.1.3. в случае отзыва согласия на обработку ПДн субъектом, продолжить обработку его ПДн, если у Общества есть иные правовые основания для такой обработки ПДн;
7.1.4. поручить обработку ПДн другому лицу с согласия субъекта ПДн;
7.1.5. иные права, предусмотренные законодательством Российской Федерации.
7.2. Общество обязано:
7.2.1. не раскрывать и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации;
7.2.2. предоставлять субъекту ПДн или его представителю, а также в Роскомнадзор, по их запросу, информацию, предоставление которой является обязательной в соответствии с законодательством Российской Федерации, и в сроки, определенными таким законодательством;
7.2.3. предоставлять субъекту ПДн или его представителю возможность ознакомиться с обрабатываемыми ПДн субъекта ПДн;
7.2.4. разъяснять субъекту ПДн юридические последствия отказа предоставить ПДн и (или) согласие на их обработку;
7.2.5. не допускать, а в случае их выявления, устранять нарушения законодательства Российской Федерации в области обработки и обеспечения безопасности ПДн;
7.2.6. выполнять иные обязанности, предусмотренные законодательством Российской Федерации.
8. Реагирование на обращения субъектов персональных данных
8.1. Субъект персональных данных (далее – ПДн) или его представитель могут обратиться в Общество по вопросам обработки ПДн, направив письменное обращение, направленное в адрес Общества заказным почтовым отправлением или письмом на электронную почту: [email protected] (в свободной форме с учетом требований к содержанию такого обращения), в следующих случаях:
8.1.1. получение информации, касающейся обработки его ПДн;
8.1.2. уточнение своих ПДн, если они являются неполными, устаревшими, неточными;
8.1.3. подача жалобы на неправомерную обработку ПДн и (или) требования о прекращении обработки ПДн;
8.1.14. отзыв согласия на обработку ПДн;
8.1.5. отзыв согласия на обработку ПДн, разрешенных субъектом ПДн для распространения;
8.1.6. иные случаи, предусмотренные законодательством Российской Федерации.
8.2. Запрошенные сведения предоставляются субъекту ПДн или его представителю в той форме, в которой направлено соответствующие Обращение, если иное не указано в Обращении субъекта ПДн или его представителя.
9. Информация о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом для распространения.
9.1. В соответствии со статьей 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» АО «Моджо Образовательные Технологии» (далее – Общество) осуществляет распространение, то есть раскрытие персональных данных (далее – ПДн) неограниченному кругу лиц, с учетом установленных субъектом ПДн условий и запретов, указанных ниже.
9.2. Категории и перечень ПДн, для обработки которых субъектами ПДн установлены условия и запреты, а также перечень установленных условий и запретов:
9.2.1. В отношении иных категорий ПДн, включая фамилию, имя, фотографию, краткое и полное описание о спикере, отзыв о продукте Общества – установлены следующие условия и запреты:
- обработка указанных ПДн разрешена только на веб-сайтах Общества;
- запрещено копирование ПДн и (или) их размещение на иных веб-сайтах и (или) информационных ресурсах.
9.3. Условия, при которых полученные ПДн могут передаваться Обществом (оператором ПДн), осуществляющим обработку ПДн, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных ПДн:
9.3.1. В отношении иных категорий ПДн, включая фамилию, имя, фотографию, краткое и полное описание о спикере, отзыв о продукте Общества – установлены следующие условия:
- обработка указанных ПДн разрешена с использованием как внутренней сети Общества, так и с использованием информационно-коммуникационной сети «Интернет», путем размещения ПДн на веб-сайтах Общества.
10. Заключительные положения
10.1. Общество, а также его работники несут гражданско-правовую, административную и иную ответственность за несоблюдение принципов и условий обработки персональных данных, а также за разглашение или незаконное использование персональных данных в соответствии с законодательством Российской Федерации.
10.2. Настоящая Политика является общедоступной и подлежит размещению на официальном веб-сайте Общества. При этом допускается обеспечение неограниченного доступа к Политике иным возможным способом.