- Главная
- Политика в отношении обработки персональных данных
ПОЛИТИКА
Общества с ограниченной ответственностью «Центр иностранных языков»
(ООО «Центр изучения иностранных языков») в отношении обработки персональных данных и
сведения о реализуемых требованиях к защите персональных данных
2025
Общие положения.
1.1. Политика в отношении обработки персональных данных (далее – Политика) Общества с ограниченной ответственностью «Центр иностранных языков» (далее — Оператор, Центр) определяет основные цели, принципы и условия обработки персональных данных, обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также применяемые у Оператора меры по защите персональных данных. Политика определяет порядок обработки и защиты информации о физических лицах, пользующихся формами обратной связи на сайте Оператора https://немецкий-екатеринбург.рф.
1.2. Политика разработана в соответствии с требованиями законодательства в области обработки и защиты персональных данных, основанного на Конституции РФ и состоящего из Федерального закона от 27 июля 2006 г. № 152-ФЗ «Оперсональных данных» (далее - ФЗ № 152), иных федеральных законах и подзаконных нормативных правовых актах, регулирующих вопросы обработки и защиты персональных данных.
1.3. Политика регулирует отношения между Оператором и:
1) физическим лицом (соискателем, работником Оператора, иным субъектом) касательно обработки и защиты персональных данных;
2) физическим лицом (пользующимся формами обратной связи на сайте Оператора) касательно обработки и защиты персональных данных, получаемых и обрабатываемых с использованием сайта Оператора.
1.4. В целях реализации положений Политики Оператором разрабатываются и могут быть разработаны локальные нормативные акты и иные документы, регламентирующие вопросы обработки персональных данных. Оператор периодически актуализирует Политику и вправе в одностороннем порядке в любой момент времени изменять ее положения. Оператор рекомендует регулярно проверять содержание Политики на предмет ее возможных изменений.
1.5. Действующая редакция Политики, являющейся публичным документом, доступна на сайте Оператора. Уведомление Пользователей при внесении изменений в Политику осуществляется путем размещения новой редакции Политики на сайте Оператора.
1.6. Пользуясь формами обратной связи на сайте Оператора, Пользователь выражает свое согласие с условиями настоящей Политики. В случае несогласия Пользователя с условиями настоящей Политики Пользователь не заполняет формы обратной связи на сайте Оператора.
1.7. Основные понятия, используемые в настоящей Политике:
Сайт – сайт Оператора https://немецкий-екатеринбург.рф, расположенный в сети Интернет.
Пользователь – физическое лицо, пользующееся формами обратной связи на сайте Оператора.
Персональные данные — персональные данные Пользователя, которые Пользователь предоставляет в процессе заполнения форм обратной связи на Сайте.
Формы обратной связи на Сайте – форма «Запись на экзамен» на сайте Оператора и другие подобные формы, которые могут появиться на сайте Оператора.
Субъект персональных данных – пользователь Сайта, чьи персональные данные стали известны при заполнении форм обратной связи на Сайте.
Оператор - Общество с ограниченной ответственностью «Центр иностранных языков», организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
OLIMP - специализированный сайт, по своей сути являющийся базой данных, сервер которого расположен в Германии. Используется Оператором совместно с Центральным правлением Гёте - Института в г. Мюнхене (Германия) и Немецким культурным центром имени Гёте при Германском Посольстве в Москве (ИНН 9909056286, КПП 773860002, адрес: 119313, г. Москва, Ленинский проспект, 95А) для реализации целей, указанных в пункте 2.1. Политики.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность персональных данных – обязательство Оператора и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2. Цели обработки персональных данных, категории субъектов персональных данных.
2.1. Целью обработки персональных данных является предоставление Оператором и получение субъектом персональных данных (пользователем) услуг по определению языкового уровня (владение немецким языком), в том числе для заключения и исполнения договора возмездного оказания услуг по проведению Оператором экзаменов с последующей выдачей субъекту персональных данных сертификата о прохождении экзамена и подтвержденном уровне владения немецким языком.
Положения настоящей Политики ставят субъекта персональных данных в известность о том, что выпуск сертификата о прохождении экзамена (с целью подтверждении уровня владения немецким языком), как и дальнейшая возможность его восстановления при утере (в форме справки о прохождении экзамена) происходит только путем взаимодействия Оператора с автоматизированной системой OLIMP (специализированный сайт, по своей сути являющийся базой данных, сервер которого расположен в Германии), что является трансграничной передачей персональных данных. Для этих целей Оператор осуществляет передачу персональных данных следующим обработчикам (третьим лицам):
• Немецкий культурный центр имени Гёте при Германском Посольстве в Москве (ИНН 9909056286, КПП 773860002, адрес: 119313, г. Москва, Ленинский проспект, 95А), в том числе филиалы;
• Центральное правление Гёте-Института в г. Мюнхене (Германия),
осуществляющим обработку полученных от Оператора персональных данных.
2.2. Персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных.
2.3. При сборе персональных данных, в том числе посредством сети Интернет, обеспечивается запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ.
3. Правовые основания обработки персональных данных.
3.1. Правовое основание обработки персональных данных предусмотрено ч. 1 ст. 6 ФЗ № 152, где содержится закрытый перечень оснований для обработки персональных данных. К обрабатываемым Оператором персональным данным применяется основание - обработка с согласия субъекта персональных данных. К основаниям обработки персональных данных также относятся:
• Поручения на проведение экзаменов;
• Договоры, заключаемые между Оператором и субъектом персональных данных;
• Договоры поручения на обработку персональных данных третьими лицами (для экзаменаторов, в случае необходимости).
4. Объем обрабатываемых персональных данных.
4.1. Оператор обрабатывает следующие персональные данные: фамилия, имя, отчество, пол, дата и место рождения, адрес регистрации, адрес фактического проживания, гражданство, адрес электронной почты, номер телефона (в том числе мобильный), информация об уровне знания немецкого языка, отметка о наличии ограниченных возможностей здоровья, дополнительная информация, предоставленная Пользователем по собственной инициативе при заполнении форм обратной связи на Сайте. Запрашиваемый перечень персональных данных является необходимым и достаточным по отношению к заявленным целям их обработки. В случае обращения субъекта персональных данных с запросом о необходимости пояснить причину, по которой запрашиваются такие персональные данные, дать соответствующие разъяснения.
5. Основные права субъекта персональных данных и обязанности Оператора.
5.1. Основные права субъекта персональных данных.
Субъект имеет право на доступ к его персональным данным и следующим сведениям, а также на следующие действия:
• подтверждение факта обработки персональных данных Оператором;
• правовые основания и цели обработки персональных данных;
• цели и применяемые Оператором способы обработки персональных данных;
• наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании Федерального закона «О персональных данных»;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
• наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
• обращение к Оператору и направление ему запросов;
• обжалование действий или бездействия Оператора.
5.2. Обязанности Оператора.
Оператор обязан:
• при сборе персональных данных предоставить информацию об обработке персональных данных;
• в случаях если персональные данные были получены не от субъекта персональных данных, уведомить субъекта;
• при отказе в предоставлении персональных данных субъекту разъясняются последствия такого отказа;
• опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
• принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
• давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных.
6. Порядок и условия обработки персональных данных.
6.1. Оператор осуществляет различные виды обработки персональных данных. Обработка персональных данных осуществляется с применением: автоматизированной обработки персональных данных с передачей по сети Интернет или без таковой; неавтоматизированной обработки персональных данных; смешанных способов обработки.
6.2. Обработка персональных данных субъекта персональных данных осуществляется с его согласия на обработку персональных данных, а также без такового, если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем или в иных случаях, предусмотренных законодательством Российской Федерации.
6.3. В отношении персональных данных сохраняется их конфиденциальность, кроме случаев, когда указанные данные являются общедоступными.
6.4. Оператор хранит персональные на серверах на территории Российской Федерации. В случае трансграничной передачи персональных данных субъект персональных данных дает на это письменное согласие. Трансграничная передача персональных данных происходит при использовании Оператором системы OLIMP, расположенной на серверах в Германии, используемой для хранения и обработки данных участников экзаменов (субъектов персональных данных). Оператор использует систему OLIMP для реализации целей, указанных в пункте 2.1. настоящей Политики. Оператор осуществляет трансграничную передачу Третьим лицам, Обработчикам следующих персональных данных:
• фамилия, имя, отчество;
• дата и место рождения;
• адрес электронной почты;
• участие в экзамене с целью переезда для воссоединения с супругом (-ой) (если указано)
• участие в экзамене в рамках инициативы "Школы: партнёры будущего" (ПАШ) (если указано)
• информация о результатах сдачи экзамена;
• информация о документе (сертификате), полученном по результатам сдачи экзамена.
6.5. Оператор вправе осуществлять обработку персональных данных в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных.
6.6. Оператор имеет право передавать персональные данные без согласия Пользователя:
• государственным органам, в том числе органам дознания и следствия, и органам местного самоуправления по их мотивированному запросу;
• в иных случаях, прямо предусмотренных действующим законодательством Российской Федерации. Передача персональных данных третьему лицу осуществляется только с согласия субъекта персональных данных или в случаях, прямо предусмотренных законодательством Российской Федерации. Оператор раскрывает информацию третьим лицам только в случаях, предусмотренных Политикой или применимым законодательством Российской Федерации, и только в объёме, необходимом исходя из цели раскрытия.
6.7. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных».
6.8. Оператор вправе поручить обработку персональных данных другому лицу и (или) осуществлять обработку персональных данных по поручению другого лица в порядке и на условиях, предусмотренных требованиями ч. 3−6 ст. 6 ФЗ № 152.
6.9. Лицам, получающим доступ к персональным данным по поручению, а равно третьим лицам, которым Оператор предоставляет доступ по иным законным основаниям, передаётся строго ограниченный набор данных, необходимый для исполнения их функций.
6.10. Оператор принимает все зависящие от него меры, чтобы обеспечить конфиденциальность персональных данных. Обработчики и третьи лица обязуются соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ № 152, иными законами и подзаконными актами. Для каждого обработчика определены: перечень обрабатываемых персональных данных; цели их обработки; перечень действий (операций), которые будут совершаться с персональными данными обработчиком; обязанности обработчика по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке, а также перечень принимаемых обработчиком мер по обеспечению защиты обрабатываемых им персональных данных, включая требование об уведомлении Оператора об инцидентах с персональными данными; обязанность по запросу Оператора в течение срока действия поручения на обработку персональных данных (если таковое подписано между Оператором и Обработчиком) предоставлять Оператору документы и информацию, подтверждающую принятие мер и соблюдение в целях исполнения поручения Оператора требований, установленных ФЗ № 152.
6.11. Перечень лиц, обрабатывающих персональные данные субъекта по поручению Оператора или получающих данные субъекта от Оператора, подлежит раскрытию в соответствующем согласии на обработку персональных данных. К таким обработчикам (третьим лицам) для реализации целей, указанных в пункте 2.1. настоящей Политики, относятся:
• Немецкий культурный центр имени Гёте при Германском Посольстве в Москве (ИНН 9909056286, КПП 773860002, адрес: 119313, г. Москва, Ленинский проспект, 95А), в том числе филиалы;
• Центральное правление Гёте-Института в г. Мюнхене (Германия),
осуществляющие обработку полученных от Оператора персональных данных.
7. Сведения о реализуемых требованиях к защите персональных данных
7.1. Для обеспечения безопасности персональных данных при их обработке Оператор принимает меры по защите от несанкционированного или случайного неправомерного доступа, уничтожения, изменения, блокирования, копирования и иных действий, которые могут нарушить установленные для персональных данных характеристики безопасности, к которым относятся:
• конфиденциальность (требование не передавать информацию третьим лицам без согласия ее обладателя, обязательное для выполнения лицом, получившим доступ к информации);
• целостность (состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право);
• доступность (состояние информации, при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно).
7.2. К предпринимаемым мерам защиты персональных данных относятся:
• организационные и технические меры по обеспечению безопасности персональных данных при их обработке Оператором, необходимые для выполнения законодательных требований и регулирующих органов Российской Федерации к защите персональных данных;
• определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• учет машинных носителей персональных данных;
• обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.
7.3. Организационные и (или) технические меры защиты для информационной системы, обрабатывающей персональные данные, определяются с учетом уровней защищенности персональных данных, актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационной системе Оператора.
7.4. Уровень защищенности информационной системы, обрабатывающей персональные данные, определяется в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и в соответствии с Приказом ФСТЭК от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
7.5. Обработка персональных данных осуществляется уполномоченными работниками с обязательным принятием мер, исключающих возможность ознакомления с персональными данными посторонних лиц, в том числе работников Оператора, не уполномоченных на обработку персональных данных, таких как:
1) экран монитора размещается таким образом, чтобы исключить возможность просмотра информации посторонними лицами (в том числе другими работниками, не уполномоченными на обработку персональных данных);
2) уполномоченные работники используют для доступа к информационной системе, обрабатывающей персональные данные, индивидуальные пароли, отвечающие установленным Оператором требованиям;
3) средства вычислительной техники блокируются с помощью защищенной паролем экранной заставки во время перерывов в работе;
4) в информационной системе, обрабатывающей персональные данные, и (или) на отдельных автоматизированных рабочих местах, предназначенных для работы с персональными данными, в обязательном порядке используются средства антивирусной защиты.
7.6. При работе с персональными данными уполномоченным работникам запрещается:
1) работать под чужими или общими учетными записями в информационных системах, обрабатывающих персональные данные, и передавать кому-либо индивидуальные пароли;
2) допускать использование своего автоматизированного рабочего места другими работниками Оператора и посторонними лицами;
3) использовать (загружать, запускать и т.п.) для обработки персональных данных программные средства, не разрешенные для применения в информационных системах Оператора;
4) сообщать ставшие им известными в связи с исполнением своих должностных обязанностей персональные данные лицам, не имеющим права доступа к этим данным.
7.7. Работник Оператора немедленно ставит в известность директора Центра:
1) о факте разглашения или неправомерной обработки персональных данных;
2) о ставших известными ему фактах или возможностях несанкционированного доступа к информационным системам, обрабатывающим персональные данные.
7.8. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации, договором, стороной которого является субъект персональных данных, либо согласием на обработку персональных данных. Хранение персональных данных осуществляется с учетом обеспечения режима их конфиденциальности. Оператор обеспечивает сбор персональных данных и их обработку с использованием баз данных, находящихся на территории Российской Федерации
7.9. В случае необходимости персональные данные могут быть переданы на архивное хранение. Персональные данные передаются на архивное хранение в соответствии с законодательством Российской Федерации об архивном деле, уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации, договором, стороной которого является субъект персональных данных, либо согласием на обработку персональных данных.
7.10. Оператор принимает необходимые правовые, организационные и технические меры, позволяющие обеспечить безопасность персональных данных, а также соблюдение прав субъектов персональных данных, требований законодательства Российской Федерации и локальных актов Общества в области обработки и защиты персональных данных.
7.11. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных:
• издание локальных актов Оператора по вопросам обработки персональных данных;
• назначение лица, ответственного за организацию обработки персональных данных;
• определение лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных у Оператора и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных;
• определение порядка доступа работников Оператора в помещения, в которых ведется обработка персональных данных;
• ознакомление работников Оператора непосредственно осуществляющих обработку персональных данных под роспись до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими порядок обработки персональных данных у Оператора;
• получение персональных данных лично у субъекта персональных данных, в случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных, в случае возникновения необходимости получения персональных данных у третьей стороны Оператор извещает об этом субъекта персональных данных заранее, получает его письменное согласие и сообщает ему о целях, предполагаемых источниках и способах получения персональных данных;
• определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
• опубликование Политики на официальном сайте Центра;
• осуществление внутреннего контроля соответствия обработки персональных данных ФЗ № 152, Политике и локальным нормативным актам Организации, регламентирующих порядок обработки персональных данных;
• оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ № 152;
• применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• учет машинных носителей персональных данных;
• обнаружение фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
• установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
• организация рассмотрения запросов субъектов персональных данных или их представителей и ответов на такие запросы;
• блокирование, внесение изменений и уничтожение персональных данных в предусмотренных действующим законодательством случаях.
7.12. Процедуры, направленные на устранение последствий нарушений законодательства Российской Федерации в сфере персональных данных:
• прекращение неправомерной обработки персональных данных или обеспечение прекращения неправомерной обработки персональных данных лицом, действующим по поручению Оператора;
• если обеспечить правомерность обработки персональных данных невозможно, Оператор уничтожает такие персональные данные или обеспечивает их уничтожение, в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных;
• уведомление субъекта персональных данных или его представителя об устранении допущенных нарушений;
• в случае отсутствия возможности уничтожения персональных данных в течение установленного срока, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Организации) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен действующим законодательством Российской Федерации;
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним, если это возможно;
• уведомление уполномоченного органа по защите прав субъектов персональных данных в случае установления оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных: 1. в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом; 2. в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
8. Изменение, блокирование, уничтожение персональных данных
8.1. Субъект персональных данных вправе изменять предоставляемые им персональные данные, повторно заполняя формы обратной связи на Сайте. Оператор не несет ответственность за полноту и достоверность сведений, предоставленных субъектом персональных данных.
8.2. Блокирование персональных данных осуществляется на основании письменного заявления от субъекта персональных данных.
8.3. Уничтожение персональных данных осуществляется путем стирания информации с использованием сертифицированного программного обеспечения с гарантированным уничтожением (в соответствии с заданными характеристиками для установленного программного обеспечения с гарантированным уничтожением).
8.4. Персональные данные подлежат уничтожению в следующих случаях и в указанные сроки:
1) по достижению целей обработки - в срок не более чем десять лет;
2) в случае утраты необходимости достижения целей обработки - в срок не более чем шесть месяцев;
3) в случае отзыва субъектом персональных данных согласия на обработку персональных данных - в 30-дневный срок, если иной не предусмотрен федеральными законами, договором или соглашением между Оператором и субъектом персональных данных;
4) при выявлении неправомерной обработки персональных данных - в срок, не превышающий 10 рабочих дней с даты выявления.
9. Ответы на запросы субъектов на доступ к персональным данным
9.1. Субъекты персональных данных имеют право получать информацию, касающуюся обработки их персональных данных, в соответствии с частями 1 - 7 статьи 14 Федерального закона «О персональных данных».
9.2. При получении обращения (запроса) от субъекта персональных данных ему (или его представителю) предоставляются сведения, касающиеся обработки его персональных данных, в срок, не превышающий 30 дней с даты обращения.
9.3. Сведения предоставляются в доступной форме, в них не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
9.4. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Федерального закона «О персональных данных» все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ в срок, не превышающий 30 дней с даты обращения.
9.5. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона «О персональных данных» в том случае, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
9.6. Если иной порядок взаимодействия Оператора и субъекта персональных данных не предусмотрен соответствующим документом (например, договором или текстом согласия на обработку персональных данных), для реализации указанных прав субъекту персональных данных необходимо направить в адрес Центра требование: в письменной форме и подписанное собственноручной подписью — по адресу: г. Екатеринбург, ул. Карла Либкнехта, 5, этаж 4, офис 407; в форме электронного документа — на электронную почту: Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра. . Заявление лица должно содержать описание требований, а также информацию, способную его идентифицировать как субъекта персональных данных, чьи данные обрабатывает Оператор.
10. Заключительные положения
10.1 Иные права и обязанности Оператора как оператора персональных данных определяются законодательством Российской Федерации в области персональных данных. Оператор, его должностные лица и работники несут гражданско-правовую, административную и иную ответственность за несоблюдение принципов и условий обработки персональных данных, а также за разглашение или незаконное использование персональных данных.
ПОЛИТИКА
Общества с ограниченной ответственностью «Центр иностранных языков»
(ООО «Центр изучения иностранных языков»)
в отношении обработки персональных данных и
сведения о реализуемых требованиях к защите персональных данных
2025
Общие положения.
1.1. Политика в отношении обработки персональных данных (далее – Политика) Общества с ограниченной ответственностью «Центр иностранных языков» (далее — Оператор, Центр) определяет основные цели, принципы и условия обработки персональных данных, обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также применяемые у Оператора меры по защите персональных данных. Политика определяет порядок обработки и защиты информации о физических лицах, пользующихся формами обратной связи на сайте Оператора https://немецкий-екатеринбург.рф.
1.2. Политика разработана в соответствии с требованиями законодательства в области обработки и защиты персональных данных, основанного на Конституции РФ и состоящего из Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - ФЗ № 152), иных федеральных законах и подзаконных нормативных правовых актах, регулирующих вопросы обработки и защиты персональных данных.
1.3. Политика регулирует отношения между Оператором и:
1) физическим лицом (соискателем, работником Оператора, иным субъектом) касательно обработки и защиты персональных данных;
2) физическим лицом (пользующимся формами обратной связи на сайте Оператора) касательно обработки и защиты персональных данных, получаемых и обрабатываемых с использованием сайта Оператора.
1.4. В целях реализации положений Политики Оператором разрабатываются и могут быть разработаны локальные нормативные акты и иные документы, регламентирующие вопросы обработки персональных данных. Оператор периодически актуализирует Политику и вправе в одностороннем порядке в любой момент времени изменять ее положения. Оператор рекомендует регулярно проверять содержание Политики на предмет ее возможных изменений.
1.5. Действующая редакция Политики, являющейся публичным документом, доступна на сайте Оператора. Уведомление Пользователей при внесении изменений в Политику осуществляется путем размещения новой редакции Политики на сайте Оператора.
1.6. Пользуясь формами обратной связи на сайте Оператора, Пользователь выражает свое согласие с условиями настоящей Политики. В случае несогласия Пользователя с условиями настоящей Политики Пользователь не заполняет формы обратной связи на сайте Оператора.
1.7. Основные понятия, используемые в настоящей Политике:
Сайт – сайт Оператора https://немецкий-екатеринбург.рф, расположенный в сети Интернет.
Пользователь – физическое лицо, пользующееся формами обратной связи на сайте Оператора.
Персональные данные — персональные данные Пользователя, которые Пользователь предоставляет в процессе заполнения форм обратной связи на Сайте.
Формы обратной связи на Сайте – форма «Запись на экзамен» на сайте Оператора и другие подобные формы, которые могут появиться на сайте Оператора.
Субъект персональных данных – пользователь Сайта, чьи персональные данные стали известны при заполнении форм обратной связи на Сайте.
Оператор - Общество с ограниченной ответственностью «Центр иностранных языков», организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
OLIMP - специализированный сайт, по своей сути являющийся базой данных, сервер которого расположен в Германии. Используется Оператором совместно с Центральным правлением Гёте - Института в г. Мюнхене (Германия) и Немецким культурным центром имени Гёте при Германском Посольстве в Москве (ИНН 9909056286, КПП 773860002, адрес: 119313, г. Москва, Ленинский проспект, 95А) для реализации целей, указанных в пункте 2.1. Политики.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность персональных данных – обязательство Оператора и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Блокирование персональных данных- временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2. Ц ели обработки персональных данных, категории субъектов персональных данных.
2.1. Целью обработки персональных данных является предоставление Оператором и получение субъектом персональных данных (пользователем) услуг по определению языкового уровня (владение немецким языком), в том числе для заключения и исполнения договора возмездного оказания услуг по проведению Оператором экзаменов с последующей выдачей субъекту персональных данных сертификата о прохождении экзамена и подтвержденном уровне владения немецким языком.
Положения настоящей Политики ставят субъекта персональных данных в известность о том, что выпуск сертификата о прохождении экзамена (с целью подтверждении уровня владения немецким языком), как и дальнейшая возможность его восстановления при утере (в форме справки о прохождении экзамена) происходит только путем взаимодействия Оператора с автоматизированной системой OLIMP (специализированный сайт, по своей сути являющийся базой данных, сервер которого расположен в Германии), что является трансграничной передачей персональных данных. Для этих целей Оператор осуществляет передачу персональных данных следующим обработчикам (третьим лицам):
· Немецкий культурный центр имени Гёте при Германском Посольстве в Москве (ИНН 9909056286, КПП 773860002, адрес: 119313, г. Москва, Ленинский проспект, 95А), в том числе филиалы;
· Центральное правление Гёте-Института в г. Мюнхене (Германия),
осуществляющим обработку полученных от Оператора персональных данных.
2.2. Персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных.
2.3. При сборе персональных данных, в том числе посредством сети Интернет, обеспечивается запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ.
3. Правовые основания обработки персональных данных.
3.1. Правовое основание обработки персональных данных предусмотрено ч. 1 ст. 6 ФЗ № 152, где содержится закрытый перечень оснований для обработки персональных данных. К обрабатываемым Оператором персональным данным применяется основание - обработка с согласия субъекта персональных данных. К основаниям обработки персональных данных также относятся:
· Поручения на проведение экзаменов;
· Договоры, заключаемые между Оператором и субъектом персональных данных;
· Договоры поручения на обработку персональных данных третьими лицами (для экзаменаторов, в случае необходимости).
4. Объем обраб атываемых персональных данных.
4.1. Оператор обрабатывает следующие персональные данные: фамилия, имя, отчество, пол, дата и место рождения, адрес регистрации, адрес фактического проживания, гражданство, адрес электронной почты, номер телефона (в том числе мобильный), информация об уровне знания немецкого языка, отметка о наличии ограниченных возможностей здоровья, дополнительная информация, предоставленная Пользователем по собственной инициативе при заполнении форм обратной связи на Сайте. Запрашиваемый перечень персональных данных является необходимым и достаточным по отношению к заявленным целям их обработки. В случае обращения субъекта персональных данных с запросом о необходимости пояснить причину, по которой запрашиваются такие персональные данные, дать соответствующие разъяснения.
5. Основные права субъекта персональных данных и обязанности Оператора.
5.1. Основные права субъекта персональных данных.
Субъект имеет право на доступ к его персональным данным и следующим сведениям, а также на следующие действия:
· подтверждение факта обработки персональных данных Оператором;
· правовые основания и цели обработки персональных данных;
· цели и применяемые Оператором способы обработки персональных данных;
· наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании Федерального закона «О персональных данных»;
· сроки обработки персональных данных, в том числе сроки их хранения;
· порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
· наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
· обращение к Оператору и направление ему запросов;
· обжалование действий или бездействия Оператора.
5.2. Обязанности Оператора.
Оператор обязан:
· при сборе персональных данных предоставить информацию об обработке персональных данных;
· в случаях если персональные данные были получены не от субъекта персональных данных, уведомить субъекта;
· при отказе в предоставлении персональных данных субъекту разъясняются последствия такого отказа;
· опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
· принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
· давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных.
6. Порядок и условия обработки персональны х данных.
6.1. Оператор осуществляет различные виды обработки персональных данных. Обработка персональных данных осуществляется с применением: автоматизированной обработки персональных данных с передачей по сети Интернет или без таковой; неавтоматизированной обработки персональных данных; смешанных способов обработки.
6.2. Обработка персональных данных субъекта персональных данных осуществляется с его согласия на обработку персональных данных, а также без такового, если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем или в иных случаях, предусмотренных законодательством Российской Федерации.
6.3. В отношении персональных данных сохраняется их конфиденциальность, кроме случаев, когда указанные данные являются общедоступными.
6.4. Оператор хранит персональные на серверах на территории Российской Федерации. В случае трансграничной передачи персональных данных субъект персональных данных дает на это письменное согласие. Трансграничная передача персональных данных происходит при использовании Оператором системы OLIMP, расположенной на серверах в Германии, используемой для хранения и обработки данных участников экзаменов (субъектов персональных данных). Оператор использует систему OLIMP для реализации целей, указанных в пункте 2.1. настоящей Политики. Оператор осуществляет трансграничную передачу Третьим лицам, Обработчикам следующих персональных данных:
- фамилия, имя, отчество;
- дата и место рождения;
- адрес электронной почты;
- участие в экзамене с целью переезда для воссоединения с супругом (-ой) (если указано)
- участие в экзамене в рамках инициативы "Школы: партнёры будущего" (ПАШ) (если указано)
- информация о результатах сдачи экзамена;
- информация о документе (сертификате), полученном по результатам сдачи экзамена.
6.5. Оператор вправе осуществлять обработку персональных данных в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных.
6.6. Оператор имеет право передавать персональные данные без согласия Пользователя:
· государственным органам, в том числе органам дознания и следствия, и органам местного самоуправления по их мотивированному запросу;
· в иных случаях, прямо предусмотренных действующим законодательством Российской Федерации. Передача персональных данных третьему лицу осуществляется только с согласия субъекта персональных данных или в случаях, прямо предусмотренных законодательством Российской Федерации. Оператор раскрывает информацию третьим лицам только в случаях, предусмотренных Политикой или применимым законодательством Российской Федерации, и только в объёме, необходимом исходя из цели раскрытия.
6.7. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных».
6.8. Оператор вправе поручить обработку персональных данных другому лицу и (или) осуществлять обработку персональных данных по поручению другого лица в порядке и на условиях, предусмотренных требованиями ч. 3−6 ст. 6 ФЗ № 152.
6.9. Лицам, получающим доступ к персональным данным по поручению, а равно третьим лицам, которым Оператор предоставляет доступ по иным законным основаниям, передаётся строго ограниченный набор данных, необходимый для исполнения их функций.
6.10. Оператор принимает все зависящие от него меры, чтобы обеспечить конфиденциальность персональных данных. Обработчики и третьи лица обязуются соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ № 152, иными законами и подзаконными актами. Для каждого обработчика определены: перечень обрабатываемых персональных данных; цели их обработки; перечень действий (операций), которые будут совершаться с персональными данными обработчиком; обязанности обработчика по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке, а также перечень принимаемых обработчиком мер по обеспечению защиты обрабатываемых им персональных данных, включая требование об уведомлении Оператора об инцидентах с персональными данными; обязанность по запросу Оператора в течение срока действия поручения на обработку персональных данных (если таковое подписано между Оператором и Обработчиком) предоставлять Оператору документы и информацию, подтверждающую принятие мер и соблюдение в целях исполнения поручения Оператора требований, установленных ФЗ № 152.
6.11. Перечень лиц, обрабатывающих персональные данные субъекта по поручению Оператора или получающих данные субъекта от Оператора, подлежит раскрытию в соответствующем согласии на обработку персональных данных. К таким обработчикам (третьим лицам) для реализации целей, указанных в пункте 2.1. настоящей Политики, относятся:
· Немецкий культурный центр имени Гёте при Германском Посольстве в Москве (ИНН 9909056286, КПП 773860002, адрес: 119313, г. Москва, Ленинский проспект, 95А), в том числе филиалы;
· Центральное правление Гёте-Института в г. Мюнхене (Германия),
осуществляющие обработку полученных от Оператора персональных данных.
7. Сведения о реализуемых требованиях к защите персональных данных
7.1. Для обеспечения безопасности персональных данных при их обработке Оператор принимает меры по защите от несанкционированного или случайного неправомерного доступа, уничтожения, изменения, блокирования, копирования и иных действий, которые могут нарушить установленные для персональных данных характеристики безопасности, к которым относятся:
· конфиденциальность (требование не передавать информацию третьим лицам без согласия ее обладателя, обязательное для выполнения лицом, получившим доступ к информации);
· целостность (состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право);
· доступность (состояние информации, при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно).
7.2. К предпринимаемым мерам защиты персональных данных относятся:
· организационные и технические меры по обеспечению безопасности персональных данных при их обработке Оператором, необходимые для выполнения законодательных требований и регулирующих органов Российской Федерации к защите персональных данных;
· определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
· применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
· учет машинных носителей персональных данных;
· обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
· восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
· установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
· контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.
7.3. Организационные и (или) технические меры защиты для информационной системы, обрабатывающей персональные данные, определяются с учетом уровней защищенности персональных данных, актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационной системе Оператора.
7.4. Уровень защищенности информационной системы, обрабатывающей персональные данные, определяется в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и в соответствии с Приказом ФСТЭК от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
7.5. Обработка персональных данных осуществляется уполномоченными работниками с обязательным принятием мер, исключающих возможность ознакомления с персональными данными посторонних лиц, в том числе работников Оператора, не уполномоченных на обработку персональных данных, таких как:
1) экран монитора размещается таким образом, чтобы исключить возможность просмотра информации посторонними лицами (в том числе другими работниками, не уполномоченными на обработку персональных данных);
2) уполномоченные работники используют для доступа к информационной системе, обрабатывающей персональные данные, индивидуальные пароли, отвечающие установленным Оператором требованиям;
3) средства вычислительной техники блокируются с помощью защищенной паролем экранной заставки во время перерывов в работе;
4) в информационной системе, обрабатывающей персональные данные, и (или) на отдельных автоматизированных рабочих местах, предназначенных для работы с персональными данными, в обязательном порядке используются средства антивирусной защиты.
7.6. При работе с персональными данными уполномоченным работникам запрещается:
1) работать под чужими или общими учетными записями в информационных системах, обрабатывающих персональные данные, и передавать кому-либо индивидуальные пароли;
2) допускать использование своего автоматизированного рабочего места другими работниками Оператора и посторонними лицами;
3) использовать (загружать, запускать и т.п.) для обработки персональных данных программные средства, не разрешенные для применения в информационных системах Оператора;
4) сообщать ставшие им известными в связи с исполнением своих должностных обязанностей персональные данные лицам, не имеющим права доступа к этим данным.
7.7. Работник Оператора немедленно ставит в известность директора Центра:
1) о факте разглашения или неправомерной обработки персональных данных;
2) о ставших известными ему фактах или возможностях несанкционированного доступа к информационным системам, обрабатывающим персональные данные.
7.8. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации, договором, стороной которого является субъект персональных данных, либо согласием на обработку персональных данных. Хранение персональных данных осуществляется с учетом обеспечения режима их конфиденциальности. Оператор обеспечивает сбор персональных данных и их обработку с использованием баз данных, находящихся на территории Российской Федерации
7.9. В случае необходимости персональные данные могут быть переданы на архивное хранение. Персональные данные передаются на архивное хранение в соответствии с законодательством Российской Федерации об архивном деле, уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации, договором, стороной которого является субъект персональных данных, либо согласием на обработку персональных данных.
7.10. Оператор принимает необходимые правовые, организационные и технические меры, позволяющие обеспечить безопасность персональных данных, а также соблюдение прав субъектов персональных данных, требований законодательства Российской Федерации и локальных актов Общества в области обработки и защиты персональных данных.
7.11. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных:
· издание локальных актов Оператора по вопросам обработки персональных данных;
· назначение лица, ответственного за организацию обработки персональных данных;
· определение лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных у Оператора и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных;
· определение порядка доступа работников Оператора в помещения, в которых ведется обработка персональных данных;
· ознакомление работников Оператора непосредственно осуществляющих обработку персональных данных под роспись до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими порядок обработки персональных данных у Оператора;
· получение персональных данных лично у субъекта персональных данных, в случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных, в случае возникновения необходимости получения персональных данных у третьей стороны Оператор извещает об этом субъекта персональных данных заранее, получает его письменное согласие и сообщает ему о целях, предполагаемых источниках и способах получения персональных данных;
· определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
· применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
· опубликование Политики на официальном сайте Центра;
· осуществление внутреннего контроля соответствия обработки персональных данных ФЗ № 152, Политике и локальным нормативным актам Организации, регламентирующих порядок обработки персональных данных;
· оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ № 152;
· применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
· оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
· учет машинных носителей персональных данных;
· обнаружение фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
· установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
· контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
· организация рассмотрения запросов субъектов персональных данных или их представителей и ответов на такие запросы;
· блокирование, внесение изменений и уничтожение персональных данных в предусмотренных действующим законодательством случаях.
7.12. Процедуры, направленные на устранение последствий нарушений законодательства Российской Федерации в сфере персональных данных:
· прекращение неправомерной обработки персональных данных или обеспечение прекращения неправомерной обработки персональных данных лицом, действующим по поручению Оператора;
· если обеспечить правомерность обработки персональных данных невозможно, Оператор уничтожает такие персональные данные или обеспечивает их уничтожение, в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных;
· уведомление субъекта персональных данных или его представителя об устранении допущенных нарушений;
· в случае отсутствия возможности уничтожения персональных данных в течение установленного срока, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Организации) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен действующим законодательством Российской Федерации;
· восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним, если это возможно;
· уведомление уполномоченного органа по защите прав субъектов персональных данных в случае установления оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных: 1. в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом; 2. в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
8. Изменение, блокирование, у ничтожение персональных данных
8.1. Субъект персональных данных вправе изменять предоставляемые им персональные данные, повторно заполняя формы обратной связи на Сайте. Оператор не несет ответственность за полноту и достоверность сведений, предоставленных субъектом персональных данных.
8.2. Блокирование персональных данных осуществляется на основании письменного заявления от субъекта персональных данных.
8.3. Уничтожение персональных данных осуществляется путем стирания информации с использованием сертифицированного программного обеспечения с гарантированным уничтожением (в соответствии с заданными характеристиками для установленного программного обеспечения с гарантированным уничтожением).
8.4. Персональные данные подлежат уничтожению в следующих случаях и в указанные сроки:
1) по достижению целей обработки - в срок не более чем десять лет;
2) в случае утраты необходимости достижения целей обработки - в срок не более чем шесть месяцев;
3) в случае отзыва субъектом персональных данных согласия на обработку персональных данных - в 30-дневный срок, если иной не предусмотрен федеральными законами, договором или соглашением между Оператором и субъектом персональных данных;
4) при выявлении неправомерной обработки персональных данных - в срок, не превышающий 10 рабочих дней с даты выявления.
9. Ответы на запрос ы субъектов на доступ к персональным данным
9.1. Субъекты персональных данных имеют право получать информацию, касающуюся обработки их персональных данных, в соответствии с частями 1 - 7 статьи 14 Федерального закона «О персональных данных».
9.2. При получении обращения (запроса) от субъекта персональных данных ему (или его представителю) предоставляются сведения, касающиеся обработки его персональных данных, в срок, не превышающий 30 дней с даты обращения.
9.3. Сведения предоставляются в доступной форме, в них не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
9.4. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Федерального закона «О персональных данных» все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ в срок, не превышающий 30 дней с даты обращения.
9.5. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона «О персональных данных» в том случае, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
9.6. Если иной порядок взаимодействия Оператора и субъекта персональных данных не предусмотрен соответствующим документом (например, договором или текстом согласия на обработку персональных данных), для реализации указанных прав субъекту персональных данных необходимо направить в адрес Центра требование: в письменной форме и подписанное собственноручной подписью — по адресу: г. Екатеринбург, ул. Карла Либкнехта, 5, этаж 4, офис 407; в форме электронного документа — на электронную почту: Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра. . Заявление лица должно содержать описание требований, а также информацию, способную его идентифицировать как субъекта персональных данных, чьи данные обрабатывает Оператор.
10. Заключительные положения
10.1 Иные права и обязанности Оператора как оператора персональных данных определяются законодательством Российской Федерации в области персональных данных. Оператор, его должностные лица и работники несут гражданско-правовую, административную и иную ответственность за несоблюдение принципов и условий обработки персональных данных, а также за разглашение или незаконное использование персональных данных.
