Политика в области организации обработки и обеспечения безопасности персональных данных
УТВЕРЖДЕНА
приказом АНО «Корпоративная Академия Росатома» от 27.05.2022 No 328/77-П
приказом АНО «Корпоративная Академия Росатома» от 27.05.2022 No 328/77-П
1 Назначение и область применения
1.1 Политика в области организации обработки и обеспечения безопасности персональных данных (далее – Политика) в АНО «Корпоративная Академия Росатома» (далее – Академия) определяет основные цели, принципы, перечни субъектов и обрабатываемых в Академии персональных данных, права и обязанности Академии как Оператора персональных данных, права субъекта персональных данных, а также порядок и обеспечение безопасности персональных данных.
1.2 Настоящая Политика разработана в целях реализации требований пункта 2 части 1 статьи 18.1 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и действует в отношении всех персональных данных, которые Академия получает от субъектов персональных данных.
1.3 Политика распространяется на отношения по обработке персональных данных, возникшие в Академии, как до, так и после утверждения настоящей Политики.
1.4 Положения Политики служат основой для организации работы по обработке персональных данных в Академии, в том числе, для разработки локальных нормативных актов, регламентирующих в Академии вопросы обработки и защиты персональных данных работников и других субъектов персональных данных.
1.5 Настоящая Политика является документом, к которому обеспечивается неограниченный доступ. Для обеспечения неограниченного доступа Политика подлежит размещению на официальном сайте Академии.
1.6 Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных в Академии.
1.1 Политика в области организации обработки и обеспечения безопасности персональных данных (далее – Политика) в АНО «Корпоративная Академия Росатома» (далее – Академия) определяет основные цели, принципы, перечни субъектов и обрабатываемых в Академии персональных данных, права и обязанности Академии как Оператора персональных данных, права субъекта персональных данных, а также порядок и обеспечение безопасности персональных данных.
1.2 Настоящая Политика разработана в целях реализации требований пункта 2 части 1 статьи 18.1 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и действует в отношении всех персональных данных, которые Академия получает от субъектов персональных данных.
1.3 Политика распространяется на отношения по обработке персональных данных, возникшие в Академии, как до, так и после утверждения настоящей Политики.
1.4 Положения Политики служат основой для организации работы по обработке персональных данных в Академии, в том числе, для разработки локальных нормативных актов, регламентирующих в Академии вопросы обработки и защиты персональных данных работников и других субъектов персональных данных.
1.5 Настоящая Политика является документом, к которому обеспечивается неограниченный доступ. Для обеспечения неограниченного доступа Политика подлежит размещению на официальном сайте Академии.
1.6 Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных в Академии.
2 Нормативные ссылки
2.1 Политика разработана и определяется в соответствии со следующими нормативными правовыми актами:
− Конституция Российской Федерации;
− Федеральный закон от 27 июля 2006 г. No 152-ФЗ «О персональных данных»;
− Федеральный закон от 29 декабря 2012 г. No 273-ФЗ «Об образовании в Российской Федерации»;
− Трудовой кодекс Российской Федерации;
− Указ Президента Российской Федерации от 06 марта 1997 г. No 188 «Об утверждении Перечня сведений конфиденциального характера»;
− постановление Правительства Российской Федерации от 15 сентября 2008 г. No 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
− постановление Правительства Российской Федерации от 06 июля 2008 г. No 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
− постановление Правительства Российской Федерации от 01 ноября 2012 г. No 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
− Регламент Европейского Парламента и Совета Европейского Союза No 2016/679 от 27 апреля 2016г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных / General Data Protection Regulation /GDPR).
− постановление Правительства Российской Федерации от 26 августа 2013 г. No 729 «О федеральной информационной системе «Федеральный реестр сведений о документах об образовании и (или) о квалификации, документах об обучении»;
− приказ Федеральной службы по техническому и экспортному контролю России от 18 февраля 2013 г. No 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
− приказ Роскомнадзора от 05 сентября 2013 г. No 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
− иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.
2.1 Политика разработана и определяется в соответствии со следующими нормативными правовыми актами:
− Конституция Российской Федерации;
− Федеральный закон от 27 июля 2006 г. No 152-ФЗ «О персональных данных»;
− Федеральный закон от 29 декабря 2012 г. No 273-ФЗ «Об образовании в Российской Федерации»;
− Трудовой кодекс Российской Федерации;
− Указ Президента Российской Федерации от 06 марта 1997 г. No 188 «Об утверждении Перечня сведений конфиденциального характера»;
− постановление Правительства Российской Федерации от 15 сентября 2008 г. No 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
− постановление Правительства Российской Федерации от 06 июля 2008 г. No 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
− постановление Правительства Российской Федерации от 01 ноября 2012 г. No 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
− Регламент Европейского Парламента и Совета Европейского Союза No 2016/679 от 27 апреля 2016г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных / General Data Protection Regulation /GDPR).
− постановление Правительства Российской Федерации от 26 августа 2013 г. No 729 «О федеральной информационной системе «Федеральный реестр сведений о документах об образовании и (или) о квалификации, документах об обучении»;
− приказ Федеральной службы по техническому и экспортному контролю России от 18 февраля 2013 г. No 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
− приказ Роскомнадзора от 05 сентября 2013 г. No 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
− иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.
3 Термины и сокращения
3.1 В настоящем документе применены следующие термины с соответствующими определениями:
3.1 В настоящем документе применены следующие термины с соответствующими определениями:
3.2 В настоящем документе используются следующие сокращения (обозначения) с соответствующими расшифровками:
4 Цели обработки персональных данных
4.1 ПДн обрабатываются в Академии в целях выполнения возложенных законодательством Российской Федерации на Академию функций, полномочий и обязанностей, осуществления прав и законных интересов Академии в рамках осуществления видов деятельности, предусмотренных Уставом и иными ЛНА Академии.
4.2 Целями обработки ПДн работников являются:
− реализация обязательств в рамках трудовых отношений, а также обязательств, связанных с трудовыми отношениями, предусмотренных действующим законодательством Российской Федерации (в частности, требований Трудового кодекса Российской Федерации, Налогового кодекса Российской Федерации, Федерального закона Российской Федерации от 01.04.1996 г. No 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» и т.д.);
− регулирование трудовых отношений с работниками Академии (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль качества выполняемой работы, обеспечение сохранности имущества и т.д.);
− предоставление работникам Академии дополнительных гарантий и компенсаций, в том числе добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;
− формирование справочных материалов для внутреннего информационного обеспечения деятельности Академии;
− реализация пропускного режима на территории Академии.
4.3 Целью обработки ПДн близких родственников работников является предоставление социальных льгот и компенсаций работникам и членам семьи работников в соответствии с действующим законодательством Российской Федерации.
4.4 Целями обработки ПДн соискателей являются:
− подбор персонала на открытые вакансии;
− реализация пропускного режима на территории Академии.
4.5 Целями обработки ПДн участников программ обучения и/или развития являются:
− организация и проведение мероприятий по обучению и/или развитию;
− оказание образовательных услуг, в том числе предоставление сведений о документах об образовании и (или) о квалификации, документах об обучении в ФИС ФРДО;
− контроль посещаемости слушателей программ обучения и/или развития;
− проведение аналитических и статистических исследований в сфере обучения и развития;
− идентификации участников в информационных системах Академии в целях предоставления участникам персонализированных сервисов, связи с участником в случае необходимости (в том числе направления уведомлений, запросов и т.д.), а также обработки запросов и заявок на мероприятия;
− реализация пропускного режима на территории Академии.
4.6 Целью обработки ПДн контрагентов, представителей контрагентов и партнеров является подготовка, заключение, исполнение и прекращение договоров с контрагентами и иными лицами в случаях, предусмотренных действующим законодательством.
4.1 ПДн обрабатываются в Академии в целях выполнения возложенных законодательством Российской Федерации на Академию функций, полномочий и обязанностей, осуществления прав и законных интересов Академии в рамках осуществления видов деятельности, предусмотренных Уставом и иными ЛНА Академии.
4.2 Целями обработки ПДн работников являются:
− реализация обязательств в рамках трудовых отношений, а также обязательств, связанных с трудовыми отношениями, предусмотренных действующим законодательством Российской Федерации (в частности, требований Трудового кодекса Российской Федерации, Налогового кодекса Российской Федерации, Федерального закона Российской Федерации от 01.04.1996 г. No 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» и т.д.);
− регулирование трудовых отношений с работниками Академии (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль качества выполняемой работы, обеспечение сохранности имущества и т.д.);
− предоставление работникам Академии дополнительных гарантий и компенсаций, в том числе добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;
− формирование справочных материалов для внутреннего информационного обеспечения деятельности Академии;
− реализация пропускного режима на территории Академии.
4.3 Целью обработки ПДн близких родственников работников является предоставление социальных льгот и компенсаций работникам и членам семьи работников в соответствии с действующим законодательством Российской Федерации.
4.4 Целями обработки ПДн соискателей являются:
− подбор персонала на открытые вакансии;
− реализация пропускного режима на территории Академии.
4.5 Целями обработки ПДн участников программ обучения и/или развития являются:
− организация и проведение мероприятий по обучению и/или развитию;
− оказание образовательных услуг, в том числе предоставление сведений о документах об образовании и (или) о квалификации, документах об обучении в ФИС ФРДО;
− контроль посещаемости слушателей программ обучения и/или развития;
− проведение аналитических и статистических исследований в сфере обучения и развития;
− идентификации участников в информационных системах Академии в целях предоставления участникам персонализированных сервисов, связи с участником в случае необходимости (в том числе направления уведомлений, запросов и т.д.), а также обработки запросов и заявок на мероприятия;
− реализация пропускного режима на территории Академии.
4.6 Целью обработки ПДн контрагентов, представителей контрагентов и партнеров является подготовка, заключение, исполнение и прекращение договоров с контрагентами и иными лицами в случаях, предусмотренных действующим законодательством.
5 Принципы обработки персональных данных
5.1 Обработка ПДн в Академии осуществляется с учетом необходимости обеспечения защиты прав и свобод работников и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
− законности и справедливости целей и способов обработки ПДн;
− соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн;
− соответствия объема и характера обрабатываемых ПДн, способов обработки ПДн целям обработки ПДн;
− достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн избыточных по отношению к целям, заявленным при сборе ПДн;
− недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих ПДн;
− хранение ПДн осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
− уничтожение ПДн либо обезличивание осуществляется по достижении целей их обработки или в случае утраты необходимости в их достижении, если срок хранения ПДн не установлен законодательством Российской Федерации, ФЗ-152 и другими документами, определяющими такой срок;
− обеспечения надлежащей защиты ПДн;
− обеспечения конфиденциальности и безопасности обрабатываемых ПДн.
5.1 Обработка ПДн в Академии осуществляется с учетом необходимости обеспечения защиты прав и свобод работников и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
− законности и справедливости целей и способов обработки ПДн;
− соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн;
− соответствия объема и характера обрабатываемых ПДн, способов обработки ПДн целям обработки ПДн;
− достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн избыточных по отношению к целям, заявленным при сборе ПДн;
− недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих ПДн;
− хранение ПДн осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
− уничтожение ПДн либо обезличивание осуществляется по достижении целей их обработки или в случае утраты необходимости в их достижении, если срок хранения ПДн не установлен законодательством Российской Федерации, ФЗ-152 и другими документами, определяющими такой срок;
− обеспечения надлежащей защиты ПДн;
− обеспечения конфиденциальности и безопасности обрабатываемых ПДн.
6 Перечень субъектов, персональные данные которых обрабатываются в Академии
6.1 Академия, являясь оператором ПДн, осуществляет обработку ПДн работников Академии и других субъектов персональных данных, не состоящих с Академией в трудовых отношениях.
6.2 Субъектами персональных данных, обработка которых осуществляется Академией, являются:
− Работники и бывшие работники Академии;
− близкие родственники и члены семьи работников Академии;
− кандидаты на замещение вакантных должностей в Академии;
− участники программ обучения и развития;
− клиенты и контрагенты Академии (физические лица);
− представители/работники клиентов и контрагентов Академии (юридические лица).
6.3 Обрабатываемые персональные данные Академия получает:
− непосредственно у самого субъекта персональных данных;
− от лиц, не являющихся субъектами персональных данных;
− из общедоступных источников персональных данных.
6.1 Академия, являясь оператором ПДн, осуществляет обработку ПДн работников Академии и других субъектов персональных данных, не состоящих с Академией в трудовых отношениях.
6.2 Субъектами персональных данных, обработка которых осуществляется Академией, являются:
− Работники и бывшие работники Академии;
− близкие родственники и члены семьи работников Академии;
− кандидаты на замещение вакантных должностей в Академии;
− участники программ обучения и развития;
− клиенты и контрагенты Академии (физические лица);
− представители/работники клиентов и контрагентов Академии (юридические лица).
6.3 Обрабатываемые персональные данные Академия получает:
− непосредственно у самого субъекта персональных данных;
− от лиц, не являющихся субъектами персональных данных;
− из общедоступных источников персональных данных.
7 Перечень персональных данных, обрабатываемых в Академии
7.1 Сведениями, составляющими ПДн, является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и месторождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация.
7.2 Перечень ПДн, обрабатываемых в Академии, определяется в соответствии с законодательством Российской Федерации, Регламентом ЕС (GDPR) и ЛНА Академии с учетом целей обработки ПДн, указанных в пункте 5 Политики.
7.3 Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Академии не допускается.
7.4 Обработка биометрических ПДн в Академии допускается только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации.
7.1 Сведениями, составляющими ПДн, является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и месторождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация.
7.2 Перечень ПДн, обрабатываемых в Академии, определяется в соответствии с законодательством Российской Федерации, Регламентом ЕС (GDPR) и ЛНА Академии с учетом целей обработки ПДн, указанных в пункте 5 Политики.
7.3 Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Академии не допускается.
7.4 Обработка биометрических ПДн в Академии допускается только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации.
8 Права и обязанности Академии в качестве Оператора
персональных данных
8.1 Обязанности Академии в качестве оператора ПДн:
− организовывать обработку ПДн в соответствии с требованиями ФЗ-152;
− обеспечивать защиту ПДн, обрабатываемых в Академии от их неправомерного использования или утраты;
− получать ПДн только у субъекта персональных данных. В случаях, когда ПДн можно получить только у третьих лиц, делать это исключительно с письменного согласия субъекта персональных данных;
− осуществлять ознакомление и обучение работников Академии, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации и ЛНА Академии в области ПДн;
− своевременно и в соответствии с требованиями законодательства Российской Федерации реагировать на обращения и запросы субъектов персональных данных и их законных представителей;
− сообщать в установленном порядке субъектам персональных данных или их представителям информацию о наличии ПДн, относящихся к соответствующим субъектам, предоставлять возможность ознакомления с этими ПДн при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации;
− сообщать в уполномоченный орган по защите прав субъекта персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса;
− прекращать обработку и уничтожать ПДн в случаях, предусмотренных законодательством Российской Федерации в области ПДн и Регламентом ЕС (GDPR);
− совершать иные действия, предусмотренные законодательством Российской Федерации в области ПДн и Регламентом ЕС (GDPR).
8.2 Права Академии в качестве оператора персональных данных:
− обрабатывать ПДн субъекта персональных данных в соответствии с заявленной целью;
− обрабатывать общедоступные ПДн физических лиц;
− поручать обработку ПДн другому лицу с согласия субъекта персональных данных и на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели обработки, обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также требования к защите обрабатываемых ПДн в соответствии со статьей 19 ФЗ-152;
− предлагать субъекту персональных данных оформить персональное письменное согласие на обработку/передачу ПДн;
− требовать от субъекта персональных данных предоставления достоверных ПДн, необходимых для исполнения договора, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных ФЗ-152;
− отказывать в предоставлении ПДн в случаях, предусмотренных частью 6 статьи 14 и частью 2 статьи 20 ФЗ-152. В случае отказа, при обращении субъекта персональных данных или его представителя, в предоставлении субъекту персональных данных его ПДн или информации о наличии в Академии его ПДн, давать в письменной форме мотивированный ответ, содержащий ссылку на положение ФЗ-152, являющееся основанием для такого отказа;
− привлекать к дисциплинарной ответственности работников Академии, к должностным обязанностям которых относится обработка ПДн, за нарушение требований к защите ПДн;
− иные права, предусмотренные ФЗ-152.
персональных данных
8.1 Обязанности Академии в качестве оператора ПДн:
− организовывать обработку ПДн в соответствии с требованиями ФЗ-152;
− обеспечивать защиту ПДн, обрабатываемых в Академии от их неправомерного использования или утраты;
− получать ПДн только у субъекта персональных данных. В случаях, когда ПДн можно получить только у третьих лиц, делать это исключительно с письменного согласия субъекта персональных данных;
− осуществлять ознакомление и обучение работников Академии, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации и ЛНА Академии в области ПДн;
− своевременно и в соответствии с требованиями законодательства Российской Федерации реагировать на обращения и запросы субъектов персональных данных и их законных представителей;
− сообщать в установленном порядке субъектам персональных данных или их представителям информацию о наличии ПДн, относящихся к соответствующим субъектам, предоставлять возможность ознакомления с этими ПДн при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации;
− сообщать в уполномоченный орган по защите прав субъекта персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса;
− прекращать обработку и уничтожать ПДн в случаях, предусмотренных законодательством Российской Федерации в области ПДн и Регламентом ЕС (GDPR);
− совершать иные действия, предусмотренные законодательством Российской Федерации в области ПДн и Регламентом ЕС (GDPR).
8.2 Права Академии в качестве оператора персональных данных:
− обрабатывать ПДн субъекта персональных данных в соответствии с заявленной целью;
− обрабатывать общедоступные ПДн физических лиц;
− поручать обработку ПДн другому лицу с согласия субъекта персональных данных и на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели обработки, обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также требования к защите обрабатываемых ПДн в соответствии со статьей 19 ФЗ-152;
− предлагать субъекту персональных данных оформить персональное письменное согласие на обработку/передачу ПДн;
− требовать от субъекта персональных данных предоставления достоверных ПДн, необходимых для исполнения договора, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных ФЗ-152;
− отказывать в предоставлении ПДн в случаях, предусмотренных частью 6 статьи 14 и частью 2 статьи 20 ФЗ-152. В случае отказа, при обращении субъекта персональных данных или его представителя, в предоставлении субъекту персональных данных его ПДн или информации о наличии в Академии его ПДн, давать в письменной форме мотивированный ответ, содержащий ссылку на положение ФЗ-152, являющееся основанием для такого отказа;
− привлекать к дисциплинарной ответственности работников Академии, к должностным обязанностям которых относится обработка ПДн, за нарушение требований к защите ПДн;
− иные права, предусмотренные ФЗ-152.
9 Права субъекта персональных данных
9.1 Субъект персональных данных имеет право:
− получать информацию, касающуюся обработки его ПДн в Академии, в том числе и об источниках их получения;
− требовать блокирования или уничтожения своих ПДн в случае, если ПДн являются неполными, устаревшими, незаконно полученными или не являются необходимыми для заявленной цели обработки;
− требовать извещения всех лиц, которым ранее были сообщены недостоверные или неполные его ПДн, обо всех произведенных в них исключениях, исправлениях или дополнениях;
− обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Академии в качестве оператора персональных данных при обработке его ПДн;
− отозвать свое согласие на обработку ПДн;
− на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. В соответствии с Регламентом ЕС (GDPR) иностранный субъект персональных данных также имеет право подать жалобу в надзорный орган государства-члена ЕС по месту регистрации или проживания, месту работы или по месту, где произошло предполагаемое нарушение Регламента ЕС (GDPR);
− иные права, предусмотренные ФЗ-152.
9.1 Субъект персональных данных имеет право:
− получать информацию, касающуюся обработки его ПДн в Академии, в том числе и об источниках их получения;
− требовать блокирования или уничтожения своих ПДн в случае, если ПДн являются неполными, устаревшими, незаконно полученными или не являются необходимыми для заявленной цели обработки;
− требовать извещения всех лиц, которым ранее были сообщены недостоверные или неполные его ПДн, обо всех произведенных в них исключениях, исправлениях или дополнениях;
− обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Академии в качестве оператора персональных данных при обработке его ПДн;
− отозвать свое согласие на обработку ПДн;
− на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. В соответствии с Регламентом ЕС (GDPR) иностранный субъект персональных данных также имеет право подать жалобу в надзорный орган государства-члена ЕС по месту регистрации или проживания, месту работы или по месту, где произошло предполагаемое нарушение Регламента ЕС (GDPR);
− иные права, предусмотренные ФЗ-152.
10 Порядок обработки персональных данных
10.1 Обработка ПДн в Академии производится в соответствии с требованиями законодательства Российской Федерации и ЛНА Академии работниками структурных подразделений Академии и организациями, осуществляющими такую обработку, на основании договоров на оказание соответствующих услуг Академии.
10.2 Обработка ПДн в Академии включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
10.3 Обработка ПДн субъектов персональных данных осуществляется как на бумажных носителях, так и с использованием средств автоматизации (с помощью средств вычислительной техники) путем:
− получения оригиналов необходимых документов;
− копирования оригиналов документов;
− внесения сведений в учетные формы на бумажных и электронных
носителях;
− формирования ПДн в ходе кадровой работы;
− внесения ПДн в информационные системы.
10.4 Сбор, запись, систематизация, накопление (обновление, изменение) ПДн осуществляется путем получения ПДн непосредственно от субъектов персональных данных, и с согласия субъекта персональных данных на обработку его ПДн, если иное не предусмотрено ФЗ-152.
10.5 Обработка ПДн, разрешенных субъектом персональных данных для распространения, осуществляется в Академии на основании согласия субъекта персональных данных на распространение с соблюдением установленных субъектом персональных данных запретов и условий на обработку ПДн.
10.6 Академия осуществляет обработку ПДн без согласия субъекта персональных данных на обработку его ПДн:
− для достижения целей, предусмотренных законом РФ;
− для осуществления и выполнения обязанностей, возложенных законодательством РФ на Академию, как на Оператора персональных данных;
− для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ;
− для осуществления прав и законных интересов Академии или третьих лиц с соблюдением условий, при которых не нарушаются права и свободы субъекта персональных данных;
− в случае, если обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
− в случае, если обработка ПДн необходима для научной, творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
− в случае, если обработка ПДн осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПДн;
− обрабатываемые ПДн подлежат опубликованию или обязательному раскрытию в соответствии с ФЗ-152.
10.7 В целях внутреннего информационного обеспечения Академия может создавать справочники, адресные книги, информационные системы и другие источники, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено ФЗ-152, могут включаться его ПДн.
10.8 В Академии используются следующие информационные системы, обрабатывающие ПДн субъектов персональных данных: корпоративная электронная почта, система электронного документооборота; система нормативно-справочной информации, система управления закупочной деятельностью, система управления персоналом, система организации обучения, система управления карьерой и преемственностью, корпоративные сайты и информационные порталы.
10.9 Пользователь ИСПДн может самостоятельно, своими действиями, по своему усмотрению, раскрывать неопределенному кругу лиц (публиковать в информационных системах) информацию, которая может включать ПДн, в том числе: фамилия, имя, отчество, пол, дата рождения, город местонахождения, место работы, должность, сведения об образовании, профессиональном опыте, трудоустройстве, ссылки на профили в социальных сетях, дополнительную контактную информацию (электронную почту, мессенджеры), другую информацию о себе в свободной форме. Добавленная пользователем в профиль информация становится доступной неограниченному кругу лиц, с учетом настроек отображения информации профиля в ИСПДн.
10.10 Ввод в эксплуатацию новых ИСПДн производится только после выполнения процедур оценки эффективности принимаемых мер по обеспечению безопасности обрабатываемых в них ПДн.
10.11 Доступ к ПДн имеют работники Академии, которым это необходимо для исполнения должностных обязанностей и с соблюдением принципов персональной ответственности. Перечень лиц, имеющих доступ к ПДн, утверждается приказом.
10.12 При передаче ПДн субъекта персональных данных, работники Академии, осуществляющие обработку ПДн, должны соблюдать следующие требования:
− не сообщать ПДн субъекта персональных данных третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных ФЗ-152;
− не сообщать ПДн субъекта персональных данных в коммерческих целях без его письменного согласия;
− не отвечать на вопросы, связанные с передачей персональной информации по телефону, факсу, электронной почте;
− предупредить лиц, получающих ПДн субъекта персональных данных о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что правило соблюдено. Лица, получающие ПДн субъекта персональных данных, обязаны соблюдать режим конфиденциальности;
− разрешать доступ к ПДн субъекта персональных данных только лицам, определенным приказом Академии, при этом указанные лица должны иметь право получать только те ПДн, которые необходимы для выполнения конкретных функций;
− не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключение тех сведений, которые относятся к вопросу о возможности выполнения работников трудовой функции;
− передавать ПДн субъекта персональных данных представителям субъекта персональных данных в порядке, установленном Трудовым кодексом Российской Федерации, и ограничить эту информацию только теми ПДн субъекта персональных данных, которые необходимы для выполнения указанными представителями их функций.
10.13 Обработка ПДн субъектов персональных данных, находящихся на территории государств – членов Европейского союза, осуществляется в порядке, определенном положениями Регламента ЕС (GDPR), в случаях, когда к деятельности Академии по обработке ПДн применяются критерии территориального действия Регламента ЕС (GDPR).
10.14 Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться:
− при наличии согласия в письменной форме субъекта персональных данных на трансграничную передачу его ПДн;
− в случаях, предусмотренных международными договорами Российской Федерации;
− в случаях, предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
− в случае исполнения договора, стороной которого является субъект персональных данных;
− в случае защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
10.15 Академия осуществляет необходимые мероприятия для поддержания точности, достаточности, а в необходимых случаях актуальности по отношению к целям обработки обрабатываемых ПДн.
10.16 Академия производит обработку ПДн не дольше, чем этого требуют цели обработки ПДн.
10.17 В Академии организовано хранение ПДн в течение времени, установленного требованиями.
10.18 При достижении целей обработки, в случае утраты необходимости в достижении этих целей, по окончанию сроков хранения ПДн, обрабатываемые данные подлежат уничтожению.
10.1 Обработка ПДн в Академии производится в соответствии с требованиями законодательства Российской Федерации и ЛНА Академии работниками структурных подразделений Академии и организациями, осуществляющими такую обработку, на основании договоров на оказание соответствующих услуг Академии.
10.2 Обработка ПДн в Академии включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
10.3 Обработка ПДн субъектов персональных данных осуществляется как на бумажных носителях, так и с использованием средств автоматизации (с помощью средств вычислительной техники) путем:
− получения оригиналов необходимых документов;
− копирования оригиналов документов;
− внесения сведений в учетные формы на бумажных и электронных
носителях;
− формирования ПДн в ходе кадровой работы;
− внесения ПДн в информационные системы.
10.4 Сбор, запись, систематизация, накопление (обновление, изменение) ПДн осуществляется путем получения ПДн непосредственно от субъектов персональных данных, и с согласия субъекта персональных данных на обработку его ПДн, если иное не предусмотрено ФЗ-152.
10.5 Обработка ПДн, разрешенных субъектом персональных данных для распространения, осуществляется в Академии на основании согласия субъекта персональных данных на распространение с соблюдением установленных субъектом персональных данных запретов и условий на обработку ПДн.
10.6 Академия осуществляет обработку ПДн без согласия субъекта персональных данных на обработку его ПДн:
− для достижения целей, предусмотренных законом РФ;
− для осуществления и выполнения обязанностей, возложенных законодательством РФ на Академию, как на Оператора персональных данных;
− для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ;
− для осуществления прав и законных интересов Академии или третьих лиц с соблюдением условий, при которых не нарушаются права и свободы субъекта персональных данных;
− в случае, если обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
− в случае, если обработка ПДн необходима для научной, творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
− в случае, если обработка ПДн осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПДн;
− обрабатываемые ПДн подлежат опубликованию или обязательному раскрытию в соответствии с ФЗ-152.
10.7 В целях внутреннего информационного обеспечения Академия может создавать справочники, адресные книги, информационные системы и другие источники, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено ФЗ-152, могут включаться его ПДн.
10.8 В Академии используются следующие информационные системы, обрабатывающие ПДн субъектов персональных данных: корпоративная электронная почта, система электронного документооборота; система нормативно-справочной информации, система управления закупочной деятельностью, система управления персоналом, система организации обучения, система управления карьерой и преемственностью, корпоративные сайты и информационные порталы.
10.9 Пользователь ИСПДн может самостоятельно, своими действиями, по своему усмотрению, раскрывать неопределенному кругу лиц (публиковать в информационных системах) информацию, которая может включать ПДн, в том числе: фамилия, имя, отчество, пол, дата рождения, город местонахождения, место работы, должность, сведения об образовании, профессиональном опыте, трудоустройстве, ссылки на профили в социальных сетях, дополнительную контактную информацию (электронную почту, мессенджеры), другую информацию о себе в свободной форме. Добавленная пользователем в профиль информация становится доступной неограниченному кругу лиц, с учетом настроек отображения информации профиля в ИСПДн.
10.10 Ввод в эксплуатацию новых ИСПДн производится только после выполнения процедур оценки эффективности принимаемых мер по обеспечению безопасности обрабатываемых в них ПДн.
10.11 Доступ к ПДн имеют работники Академии, которым это необходимо для исполнения должностных обязанностей и с соблюдением принципов персональной ответственности. Перечень лиц, имеющих доступ к ПДн, утверждается приказом.
10.12 При передаче ПДн субъекта персональных данных, работники Академии, осуществляющие обработку ПДн, должны соблюдать следующие требования:
− не сообщать ПДн субъекта персональных данных третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных ФЗ-152;
− не сообщать ПДн субъекта персональных данных в коммерческих целях без его письменного согласия;
− не отвечать на вопросы, связанные с передачей персональной информации по телефону, факсу, электронной почте;
− предупредить лиц, получающих ПДн субъекта персональных данных о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что правило соблюдено. Лица, получающие ПДн субъекта персональных данных, обязаны соблюдать режим конфиденциальности;
− разрешать доступ к ПДн субъекта персональных данных только лицам, определенным приказом Академии, при этом указанные лица должны иметь право получать только те ПДн, которые необходимы для выполнения конкретных функций;
− не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключение тех сведений, которые относятся к вопросу о возможности выполнения работников трудовой функции;
− передавать ПДн субъекта персональных данных представителям субъекта персональных данных в порядке, установленном Трудовым кодексом Российской Федерации, и ограничить эту информацию только теми ПДн субъекта персональных данных, которые необходимы для выполнения указанными представителями их функций.
10.13 Обработка ПДн субъектов персональных данных, находящихся на территории государств – членов Европейского союза, осуществляется в порядке, определенном положениями Регламента ЕС (GDPR), в случаях, когда к деятельности Академии по обработке ПДн применяются критерии территориального действия Регламента ЕС (GDPR).
10.14 Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться:
− при наличии согласия в письменной форме субъекта персональных данных на трансграничную передачу его ПДн;
− в случаях, предусмотренных международными договорами Российской Федерации;
− в случаях, предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
− в случае исполнения договора, стороной которого является субъект персональных данных;
− в случае защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
10.15 Академия осуществляет необходимые мероприятия для поддержания точности, достаточности, а в необходимых случаях актуальности по отношению к целям обработки обрабатываемых ПДн.
10.16 Академия производит обработку ПДн не дольше, чем этого требуют цели обработки ПДн.
10.17 В Академии организовано хранение ПДн в течение времени, установленного требованиями.
10.18 При достижении целей обработки, в случае утраты необходимости в достижении этих целей, по окончанию сроков хранения ПДн, обрабатываемые данные подлежат уничтожению.
11 Обеспечение безопасности персональных данных
11.1 В Академии принимаются необходимые правовые, технические и организационные меры для защиты данных от несанкционированного доступа, изменения, раскрытия или уничтожения ПДн, путем внутренних проверок процессов сбора, хранения и обработки данных и мер безопасности, а также осуществления мер по обеспечению физической безопасности данных для предотвращения несанкционированного доступа к ИСПДн, в которых Академия хранит ПДн.
11.2 Меры по обеспечению безопасности ПДн при их обработке в ИСПДн устанавливаются в соответствии с ЛНА Академии, регламентирующими вопросы обеспечения безопасности ПДн при их обработке в ИСПДн Академии.
11.3 Меры, необходимые и достаточные для обеспечения выполнения Академией обязанностей оператора ПДн, предусмотренные ФЗ-152, включают:
− принятие ЛНА и иных документов в области обработки и защиты ПДн;
− организацию обучения и проведение методической работы с работниками структурных подразделений Академии, и работниками, занимающими должности, включенные в перечень должностей структурных подразделений Академии, при замещении которых осуществляется обработка ПДн;
− получение согласий субъектов персональных данных на обработку их ПДн, за исключением случаев, предусмотренных законодательством Российской Федерации и случаев, указанных в пункте 10.6 Политики;
− обеспечение раздельного хранения ПДн и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории ПДн;
− обеспечение безопасности ПДн при их передаче по открытым каналам связи;
− хранение материальных носителей ПДн с соблюдением условий, обеспечивающих сохранность ПДн и исключающих несанкционированный доступ к ним;
− иные меры, предусмотренные ФЗ-152 и Регламентом ЕС (GDPR).
11.4 В Академии назначается лицо, ответственное за организацию обработки ПДн.
11.5 Контроль за соблюдением структурными подразделениями Академии ФЗ-152 и ЛНА Академии в области ПДн, в том числе требований к защите ПДн, осуществляется с целью проверки соответствия обработки ПДн в структурных подразделениях Академии ФЗ-152 и ЛНА Академии в области ПДн, в том числе требованиям к защите ПДн, а также принятых мер, направленных на предотвращение и выявление нарушений ФЗ-152 в области ПДн, выявления возможных каналов утечки и несанкционированного доступа к ПДн, устранения последствий таких нарушений.
11.6 Внутренний контроль за соблюдением структурными подразделениями Академии ФЗ-152 и ЛНА Академии в области ПДн, в том числе требований к защите ПДн, осуществляется лицом, назначаемым приказом по Академии, ответственным за организацию обработки ПДн в Академии.
11.1 В Академии принимаются необходимые правовые, технические и организационные меры для защиты данных от несанкционированного доступа, изменения, раскрытия или уничтожения ПДн, путем внутренних проверок процессов сбора, хранения и обработки данных и мер безопасности, а также осуществления мер по обеспечению физической безопасности данных для предотвращения несанкционированного доступа к ИСПДн, в которых Академия хранит ПДн.
11.2 Меры по обеспечению безопасности ПДн при их обработке в ИСПДн устанавливаются в соответствии с ЛНА Академии, регламентирующими вопросы обеспечения безопасности ПДн при их обработке в ИСПДн Академии.
11.3 Меры, необходимые и достаточные для обеспечения выполнения Академией обязанностей оператора ПДн, предусмотренные ФЗ-152, включают:
− принятие ЛНА и иных документов в области обработки и защиты ПДн;
− организацию обучения и проведение методической работы с работниками структурных подразделений Академии, и работниками, занимающими должности, включенные в перечень должностей структурных подразделений Академии, при замещении которых осуществляется обработка ПДн;
− получение согласий субъектов персональных данных на обработку их ПДн, за исключением случаев, предусмотренных законодательством Российской Федерации и случаев, указанных в пункте 10.6 Политики;
− обеспечение раздельного хранения ПДн и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории ПДн;
− обеспечение безопасности ПДн при их передаче по открытым каналам связи;
− хранение материальных носителей ПДн с соблюдением условий, обеспечивающих сохранность ПДн и исключающих несанкционированный доступ к ним;
− иные меры, предусмотренные ФЗ-152 и Регламентом ЕС (GDPR).
11.4 В Академии назначается лицо, ответственное за организацию обработки ПДн.
11.5 Контроль за соблюдением структурными подразделениями Академии ФЗ-152 и ЛНА Академии в области ПДн, в том числе требований к защите ПДн, осуществляется с целью проверки соответствия обработки ПДн в структурных подразделениях Академии ФЗ-152 и ЛНА Академии в области ПДн, в том числе требованиям к защите ПДн, а также принятых мер, направленных на предотвращение и выявление нарушений ФЗ-152 в области ПДн, выявления возможных каналов утечки и несанкционированного доступа к ПДн, устранения последствий таких нарушений.
11.6 Внутренний контроль за соблюдением структурными подразделениями Академии ФЗ-152 и ЛНА Академии в области ПДн, в том числе требований к защите ПДн, осуществляется лицом, назначаемым приказом по Академии, ответственным за организацию обработки ПДн в Академии.
12 Заключительные положения
12.1 Политика утверждается и вводится в действие приказом Академии и является обязательной для исполнения всеми работниками Академии.
12.2 Академия, как Оператор персональных данных, несет ответственность за соответствие обработки и обеспечение безопасности ПДн законодательству о персональных данных.
12.3 Работники Академии несут дисциплинарную, гражданско-правовую, административную и уголовную ответственность за несоблюдение принципов и условий обработки ПДн субъектов персональных данных, а также за разглашение или незаконное использование ПДн в соответствии с ФЗ-152.
12.4 ПДн относятся к конфиденциальной информации. Режим конфиденциальности ПДн снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.
12.5 Субъект персональных данных может получить любые разъяснения по интересующим вопросам, касающимся обработки его ПДн, обратившись в Академию с помощью электронной почты academy@rosatom-academy.ru.
12.6 Настоящая Политика подлежит изменению в случае принятия нормативных актов, устанавливающих новые требования по обработке и защите ПДн или внесения изменений в действующие НПА.
12.1 Политика утверждается и вводится в действие приказом Академии и является обязательной для исполнения всеми работниками Академии.
12.2 Академия, как Оператор персональных данных, несет ответственность за соответствие обработки и обеспечение безопасности ПДн законодательству о персональных данных.
12.3 Работники Академии несут дисциплинарную, гражданско-правовую, административную и уголовную ответственность за несоблюдение принципов и условий обработки ПДн субъектов персональных данных, а также за разглашение или незаконное использование ПДн в соответствии с ФЗ-152.
12.4 ПДн относятся к конфиденциальной информации. Режим конфиденциальности ПДн снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.
12.5 Субъект персональных данных может получить любые разъяснения по интересующим вопросам, касающимся обработки его ПДн, обратившись в Академию с помощью электронной почты academy@rosatom-academy.ru.
12.6 Настоящая Политика подлежит изменению в случае принятия нормативных актов, устанавливающих новые требования по обработке и защите ПДн или внесения изменений в действующие НПА.
