Положение о защите персональных данных

I. ОБЩИЕ ПОЛОЖЕНИЯ

Настоящий документ определяет политику Ассоциации выпускников Южного федерального университета (далее – Оператор) в отношении обработки персональных данных, осуществляемой Оператором, а также содержит сведения о реализуемых требованиях к защите персональных данных, в соответствии с Федеральным законом от 27 июля 2006 г. № 152
"О персональных данных".

Принятие настоящей политики преследует следующие цели:

  • обеспечение защиты прав и свобод субъектов при обработке их персональных данных Оператором;

  • предотвращение нарушений законных прав и интересов субъектов;

  • защита персональных данных субъектов от несанкционированного доступа и разглашения;

  • недопущение нанесения возможного ущерба, вызванного неправомерными умышленными или неосторожными действиями юридических и (или) физических лиц путем безвозмездного присвоения информации или ее разглашения, нарушением установленных норм, регулирующих обработку и защиту персональных данных.

Основные понятия, используемые в настоящей политике:

  1. персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

  2. обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

  3. распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

  4. предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

  5. блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

  6. уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

  7. обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

II. ЦЕЛИ И СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Обработка персональных данных субъектов осуществляется с целью:

  • связи с субъектом, в том числе направления уведомлений, запросов и информации, касающихся использования сайта, оказания услуг, а также обработки запросов и заявок от субъекта;

  • предоставления субъекту персонализированных услуг;

  • составления базы данных пользователей сайта;

  • проведения статистических и иных исследований, на основе обезличенных данных;

  • улучшения качества сайта, удобства их использования, разработки новых сервисов и услуг.

2.2. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, указанные в п. 2.1. настоящей Политики, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или договором с субъектом персональных данных не установлен соответствующий срок хранения. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении следующий условий:

  • при достижении цели обработки персональных данных, если иное не предусмотрено договором – в течение 30 дней;

  • предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки  в течение 7 дней;

  • невозможность обеспечения правомерности обработки персональных данных  в течение 10 дней;

  • отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных  в течение 30 дней;

  • ликвидация (реорганизация) Оператора.

2.3. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных в п. 2.2. настоящей Политики, Оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем
6 месяцев, если иной срок не установлен федеральными законами.

III. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Политика Оператора в области обработки персональных данных субъектов определяется следующими основными нормативными правовыми актами Российской Федерации:

  • Конституцией Российской Федерации;

  • Гражданским кодексом Российской Федерации;

  • Федеральным законом от 27 июля 2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации";

  • Федеральным законом от 27 июля 2006 г. № 152 "О персональных данных";

  • постановлением Правительства РФ от 01 ноября 2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

  • Приказом ФСТЭК России от 18.02.2013 № 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

  • прочими нормативными правовыми актами.

IV. КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, ИСТОЧНИКИ ИХ ПОЛУЧЕНИЯ

  1. Оператор обрабатывает иные категории персональных данных субъектов, не являющихся сотрудниками Оператора (до 100 000 субъектов).

  2. Для достижения целей обработки персональных данных Оператор обрабатывает следующие персональные данные субъектов:

  • фамилия, имя, отчество;

  • местонахождение (город, регион);

  • место работы (организация);

  • должность;

  • учебное заведение;

  • контактные данные (номер телефона, адрес электронной почты).

    1. Персональные данные, разрешённые к обработке в рамках настоящей Политики, предоставляются субъектом путём заполнения регистрационных форм на сайте "https://www.alumni-sfedu.ru/user/register".

V. ОСНОВНЫЕ ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Обработка персональных данных осуществляется на законной и справедливой основе.

  2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

  3. Обрабатываются только персональные данные, которые отвечают целям их обработки.

  4. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки.

  5. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

  6. При обработке персональных данных обеспечивается их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

  7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.

  8. При сборе персональных данных Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

  9. Обработка персональных данных субъектов осуществляется исключительно в целях выполнения функций Оператора, обеспечения соблюдения требований законодательства.

  10. При обработке персональных данных соблюдается режим конфиденциальности, за исключением случаев, предусмотренных законом.

  11. Обработка персональных данных осуществляется на основании согласия субъекта в соответствии с требованиями п. 1 ч. 1 ст. 6 Федеральным законом от 27 июля 2006 г. № 152
    "О персональных данных". Заполняя регистрационную форму на сайте "https://www.alumni-sfedu.ru/user/register" субъект подтверждает согласие на обработку своих персональных данных Оператором.

VI. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

Политика безопасности и защиты персональных данных обеспечивается путем принятия правовых, организационных и технических мер, к которым можно отнести:

  • определение перечня информации, составляющей персональные данные субъектов, обрабатываемой Оператором;

  • ограничение доступа к информации, составляющей персональные данные субъектов, путем установления порядка обращения с этой информацией и контроля соблюдения такого порядка;

  • учет лиц, получивших доступ к информации, составляющей персональные данные субъектов, и (или) лиц, которым такая информация была предоставлена или передана;

  • урегулирование отношений по использованию информации, составляющей персональные данные субъектов, работниками в силу выполнения ими трудовых обязанностей;

  • обеспечение защиты персональных данных от несанкционированного доступа;

  • использование программных средств защиты информации;

  • другие меры, которые не противоречат законодательству Российской Федерации.

VII. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Субъект, персональные данные которого обрабатываются Оператором, имеет право получать от Оператора информацию, касающуюся обработки его персональных данных. Сведения, предоставляются субъекту персональных данных на основании запроса. Запрос должен содержать сведения, предусмотренные законодательством Российской Федерации, подпись субъекта персональных данных или его представителя.

  2. Разъяснения по вопросам обработки персональных данных субъект персональных данных может получить, направив официальный запрос в адрес Оператора.

  3. Субъект персональных данных вправе требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

  4. Требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

  5. Отозвать свое согласие на обработку персональных данных в любой момент.

  6. Требовать устранения неправомерных действий Оператора в отношении его персональных данных.

  7. На защиту своих прав и законных интересов, в том числе на возмещения убытков и/или компенсацию морального вреда в судебном порядке.

  8. Субъект персональных данных вправе осуществлять иные права, предусмотренные законодательством Российской Федерации.

VIII. ОБЯЗАННОСТИ ОПЕРАТОРА

  1. Предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

  2. Разъяснить субъекту персональных данных юридические последствия отказа предоставить персональные данные, если предоставление персональных данных является обязательным в соответствии с федеральным законом.

  3. Принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

  4. В соответствии с ч. 2 ст. 18.1 Федерального закона от 27 июля 2006 г. № 152
    "О персональных данных"
    опубликовать в сети Интернет на официальном сайте "https://www.alumni-sfedu.ru/user/register" и обеспечить неограниченный доступ с использованием сети Интернет к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

  5. Осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора).

  6. Уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора).

  7. Прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора), в случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим на основании договора с Оператором.

  8. Прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по договору с Оператором) и уничтожить данные или обеспечить их уничтожение (если обработка данных осуществляется другим лицом, по поручению Оператора) по достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, в случае достижения цели обработки персональных данных.

  9. Прекратить обработку персональных данных или обеспечить ее прекращение и уничтожить персональные данные или обеспечить их уничтожение в случае отзыва субъектом персональных данных согласия на обработку персональных данных.

  10. Выполнять иные обязанности, предусмотренные законодательством Российской Федерации.

  11. Работники Оператора обязаны:

  • ознакомиться с Политикой и внутренними документами, регламентирующими процесс обработки персональных данных, и выполнять требования этих документов;

  • обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;

  • не разглашать персональные данные, к которым был получен доступ в рамках исполнения своих трудовых обязанностей;

  • информировать работодателя о фактах разглашения (уничтожения, искажения) персональных данных.

IX. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

  1. В целях соблюдения требований законодательства Оператором приняты локальные акты, регламентирующие порядок обработки персональных данных, и определяющие его политику в отношении их обработки.

  2. Положение подлежит изменению/дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.

  3. Ответственность за невыполнение требований, регулирующих обработку и защиту персональных данных, должностными лицами Оператора, имеющими доступ к персональным данным, определяется в соответствии с законодательством Российской Федерации и локальными правовыми актами в отношении обработки персональных данных.

Приложения:

  1. Типовые запросы субъектов персональных данных, сроки их рассмотрения, а также типовые действия Оператора в ответ на обращения субъектов персональных данных, их представителей.

  2. Типовая форма бланка запроса субъекта на получение информации о его персональных данных.

  3. Типовая форма бланка отзыва согласия на обработку персональных данных субъекта.

  4. Типовая форма бланка запроса на блокирование/ удаление/ уточнение персональных данных.


 

Приложение 1

Типовые запросы субъектов персональных данных,

сроки их рассмотрения, а также типовые действия Оператора

в ответ на обращения субъектов персональных данных, их представителей.

Обращение, запрос

Действия

Срок

Ответ

Обращение субъекта персональных данных (ПДн) или его представителя

Наличие ПДн

Подтверждение обработки ПДн

30 дней (согласно ч. 1 ст. 20, 152-ФЗ)

Подтверждение обработки ПДн

Отказ от подтверждения

обработки ПДн

30 дней (согласно ч. 2 ст. 20, 152-ФЗ)

Уведомление об отказе

подтверждения обработки

ПДн

Ознакомление с

ПДн

Предоставление

информации по ПДн

30 дней (согласно ч. 1 ст. 20, 152-ФЗ)

Подтверждение обработки

ПДн, правовые основания и цели такой обработки

Способы обработки ПДн

Сведения о лицах, которые имеют доступ к ПДн

Перечень обрабатываемых

ПДн и источник их получения

Сроки обработки ПДн, в том числе сроки их хранения

Информация об осуществленной или о предполагаемой трансграничной передаче

Отказ от предоставления

информации по ПДн

30 дней (согласно ч. 2 ст. 20, 152-ФЗ)

 

Уведомление об отказе предоставления информации по ПДн

Уточнение ПДн

Изменение ПДн

7 рабочих дней со дня

предоставления уточняющих сведений (согласно ч. 3
ст. 20, 152-ФЗ)

Уведомление о внесенных

изменениях

Отказ от изменения ПДн

30 дней (согласно ч. 2 ст. 20, 152-ФЗ)

Уведомление об отказе изменений ПДн

Уничтожение ПДн

Уничтожение ПДн

7 рабочих дней со дня

предоставления сведений о незаконном получении ПДн или отсутствии необходимости

ПДн для заявленной цели обработки (согласно ч. 3 ст. 20 152-ФЗ)

Уведомление об уничтожении

Отказ от уничтожения ПДн

30 дней (согласно ч. 2 ст. 20, 152-ФЗ)

Уведомление об отказе уничтожения ПДн

Отзыв согласия на обработку

ПДн

Прекращение обработки и

уничтожение ПДн

30 дней (согласно ч. 5 ст. 21, 152-ФЗ)

Уведомление о прекращении обработки и уничтожении ПДн

Отказ от прекращения обработки и уничтожения ПДн

30 дней (согласно ч. 2 ст. 20, 152-ФЗ)

Уведомление об отказе прекращения обработки и уничтожения ПДн

Недостоверность

ПДн субъекта

Блокировка ПДн

С момента обращения

субъекта ПДн о недостоверности

его ПДн или с момента получения запроса на период проверки (согласно ч. 1 ст. 21 152-ФЗ)

Уведомление о внесенных

изменениях

Изменение ПДн

7 рабочих дней со дня предоставления уточненных сведений (согласно ч. 2 ст. 21, 152-ФЗ)

Снятие блокировки

ПДн

Отказ изменения

ПДн

30 дней (согласно ч. 2 ст. 20, 152-ФЗ)

Уведомление об отказе изменения ПДн

Неправомерность

действий с ПДн субъекта

Прекращение

неправомерной обработки ПДн

3 рабочих дня (согласно ч. 3 ст. 21 152-ФЗ)

Уведомление об устранении нарушений

Уничтожение ПДн в случае невозможности обеспечения

правомерности обработки

10 рабочих дней (согласно
ч. 3 ст. 21, 152-ФЗ)

Уведомление об уничтожении ПДн

Достижение цели

обработки

ПДн субъекта

Прекращение обработки ПДн

30 дней (согласно ч. 4 ст. 21, 152-ФЗ)

Уведомление об уничтожении ПДн

Уничтожение ПДн

Запрос Уполномоченного органа по защите прав субъектов ПДн

Информация для

осуществления

деятельности

уполномоченного

органа

Предоставление

затребованной информации

по ПДн

30 дней (согласно ч. 4 ст. 20, 152-ФЗ)

Предоставление затребованной

информации по ПДн

Недостоверность

ПДн субъекта

Блокировка ПДн

С момента обращения

Уполномоченного органа о недостоверности или с момента получения запроса на период проверки (согласно ч. 1 ст. 21 152-ФЗ)

Уведомление о внесённых

изменениях

Изменение ПДн

7 рабочих дней со дня

предоставления уточнённых сведений (согласно ч. 2 ст. 21, 152-ФЗ)

Снятие блокировки

ПДн

Отказ от изменения

ПДн

30 дней (согласно ч. 2 ст. 20, 152-ФЗ)

Уведомление об отказе изменения ПДн

Неправомерность

действий с ПДн субъекта

Прекращение

неправомерной обработки ПДн

3 рабочих дня (согласно
ч. 3 ст. 21 152-ФЗ)

Уведомление об устранении нарушений

Уничтожение ПДн
в случае невозможности обеспечения

правомерности обработки

10 рабочих дней (согласно
ч. 3 ст. 21 152-ФЗ)

Уведомление об уничтожении ПДн

Достижение целей обработки

ПДн субъекта

Блокировка ПДн

30 дней (согласно ч. 4 ст. 21, 152-ФЗ)

Уведомление об уничтожении ПДн

Уничтожение ПДн


 

Приложение № 2

_______________________________

(кому)

От ____________________________,

_________ серия ______ № ________,

(документ, удостоверяющий личность)

выдан __________________________

_______________________________,

(когда, кем)

проживающего по адресу__________

________________________________.

Запрос №______

На основании своих законных прав субъекта персональных данных, прошу предоставить следующие сведения (выделить нужное):

  • подтверждение факта обработки моих персональных данных ____________________

(наименование Оператора)

(далее – Учреждение);

  • правовые основания и цели обработки моих персональных данных;

  • цели и применяемые Учреждением способы обработки моих персональных данных;

  • наименование и место нахождения Учреждения, сведения о лицах (за исключением работников Учреждения), которые имеют доступ к моим персональным данным;

  • мои обрабатываемые персональные данные, источник их получения;

сроки обработки моих персональных данных, в том числе сроки их хранения;

  • порядок осуществления моих прав, предусмотренных федеральным законом о персональных данных;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку моих персональных данных по поручению Учреждения;

  • иные сведения, предусмотренные законодательством Российской Федерации:

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________.

Ответ прошу предоставить:

  • почтовым сообщением на указанный мною адрес;

  • мне лично.

«_____» ______________ 20___г. ____________ ________________________

(дата) (подпись) (ФИО)


 

Приложение № 3

ОТЗЫВ

согласия на обработку персональных данных

_____________________________________

(кому)

От __________________________________,

______________ серия ______ № ________,

(документ, удостоверяющий личность)

выдан ________________________________

_____________________________________,

(когда, кем)

проживающего по адресу_______________

_____________________________________.

ЗАЯВЛЕНИЕ

Прошу Вас прекратить обработку моих персональных данных в связи с _______________

__________________________________________________________________________________

__________________________________________________________________________________.

(указать причину)


 

«_____» ______________ 20___г. ____________ ________________________

(дата) (подпись) (ФИО)

Приложение № 4

ЗАПРОС

на блокирование / удаление / уточнение персональных данных

___________________________________

(кому)

От _________________________________,

__________ серия ______ № ___________,

(документ, удостоверяющий личность)

выдан ________________________________

_____________________________________,

(когда, кем)

проживающего по адресу _________________________________________________________________________.

Запрос №______

Прошу _______________________ мои персональные данные по следующим причинам

(блокировать/удалить/уточнить)

(нужное выделить):

персональные данные являются неполными;

персональные данные являются устаревшими; персональные данные являются недостоверными; персональные данные являются незаконно полученными;

персональные данные не являются необходимыми для заявленной цели обработки; другое: _____________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________.

«_____» ______________ 20___г. ____________ ____________________

(дата) (подпись) (ФИО)

ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

I. ОБЩИЕ ПОЛОЖЕНИЯ

Настоящий документ определяет политику Ассоциации выпускников Южного федерального университета (далее – Оператор) в отношении обработки персональных данных, осуществляемой Оператором, а также содержит сведения о реализуемых требованиях к защите персональных данных, в соответствии с Федеральным законом от 27 июля 2006 г. № 152
"О персональных данных".

Принятие настоящей политики преследует следующие цели:

  • обеспечение защиты прав и свобод субъектов при обработке их персональных данных Оператором;

  • предотвращение нарушений законных прав и интересов субъектов;

  • защита персональных данных субъектов от несанкционированного доступа и разглашения;

  • недопущение нанесения возможного ущерба, вызванного неправомерными умышленными или неосторожными действиями юридических и (или) физических лиц путем безвозмездного присвоения информации или ее разглашения, нарушением установленных норм, регулирующих обработку и защиту персональных данных.

Основные понятия, используемые в настоящей политике:

  1. персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

  2. обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

  3. распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

  4. предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

  5. блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

  6. уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

  7. обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

II. ЦЕЛИ И СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Обработка персональных данных субъектов осуществляется с целью:

  • связи с субъектом, в том числе направления уведомлений, запросов и информации, касающихся использования сайта, оказания услуг, а также обработки запросов и заявок от субъекта;

  • предоставления субъекту персонализированных услуг;

  • составления базы данных пользователей сайта;

  • проведения статистических и иных исследований, на основе обезличенных данных;

  • улучшения качества сайта, удобства их использования, разработки новых сервисов и услуг.

2.2. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, указанные в п. 2.1. настоящей Политики, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или договором с субъектом персональных данных не установлен соответствующий срок хранения. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении следующий условий:

  • при достижении цели обработки персональных данных, если иное не предусмотрено договором – в течение 30 дней;

  • предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки  в течение 7 дней;

  • невозможность обеспечения правомерности обработки персональных данных  в течение 10 дней;

  • отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных  в течение 30 дней;

  • ликвидация (реорганизация) Оператора.

2.3. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных в п. 2.2. настоящей Политики, Оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем
6 месяцев, если иной срок не установлен федеральными законами.

III. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Политика Оператора в области обработки персональных данных субъектов определяется следующими основными нормативными правовыми актами Российской Федерации:

  • Конституцией Российской Федерации;

  • Гражданским кодексом Российской Федерации;

  • Федеральным законом от 27 июля 2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации";

  • Федеральным законом от 27 июля 2006 г. № 152 "О персональных данных";

  • постановлением Правительства РФ от 01 ноября 2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

  • Приказом ФСТЭК России от 18.02.2013 № 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

  • прочими нормативными правовыми актами.

IV. КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, ИСТОЧНИКИ ИХ ПОЛУЧЕНИЯ

  1. Оператор обрабатывает иные категории персональных данных субъектов, не являющихся сотрудниками Оператора (до 100 000 субъектов).

  2. Для достижения целей обработки персональных данных Оператор обрабатывает следующие персональные данные субъектов:

  • фамилия, имя, отчество;

  • местонахождение (город, регион);

  • место работы (организация);

  • должность;

  • учебное заведение;

  • контактные данные (номер телефона, адрес электронной почты).

    1. Персональные данные, разрешённые к обработке в рамках настоящей Политики, предоставляются субъектом путём заполнения регистрационных форм на сайте "https://www.alumni-sfedu.ru/user/register".

V. ОСНОВНЫЕ ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Обработка персональных данных осуществляется на законной и справедливой основе.

  2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

  3. Обрабатываются только персональные данные, которые отвечают целям их обработки.

  4. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки.

  5. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

  6. При обработке персональных данных обеспечивается их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

  7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.

  8. При сборе персональных данных Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

  9. Обработка персональных данных субъектов осуществляется исключительно в целях выполнения функций Оператора, обеспечения соблюдения требований законодательства.

  10. При обработке персональных данных соблюдается режим конфиденциальности, за исключением случаев, предусмотренных законом.

  11. Обработка персональных данных осуществляется на основании согласия субъекта в соответствии с требованиями п. 1 ч. 1 ст. 6 Федеральным законом от 27 июля 2006 г. № 152
    "О персональных данных". Заполняя регистрационную форму на сайте "https://www.alumni-sfedu.ru/user/register" субъект подтверждает согласие на обработку своих персональных данных Оператором.

VI. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

Политика безопасности и защиты персональных данных обеспечивается путем принятия правовых, организационных и технических мер, к которым можно отнести:

  • определение перечня информации, составляющей персональные данные субъектов, обрабатываемой Оператором;

  • ограничение доступа к информации, составляющей персональные данные субъектов, путем установления порядка обращения с этой информацией и контроля соблюдения такого порядка;

  • учет лиц, получивших доступ к информации, составляющей персональные данные субъектов, и (или) лиц, которым такая информация была предоставлена или передана;

  • урегулирование отношений по использованию информации, составляющей персональные данные субъектов, работниками в силу выполнения ими трудовых обязанностей;

  • обеспечение защиты персональных данных от несанкционированного доступа;

  • использование программных средств защиты информации;

  • другие меры, которые не противоречат законодательству Российской Федерации.

VII. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Субъект, персональные данные которого обрабатываются Оператором, имеет право получать от Оператора информацию, касающуюся обработки его персональных данных. Сведения, предоставляются субъекту персональных данных на основании запроса. Запрос должен содержать сведения, предусмотренные законодательством Российской Федерации, подпись субъекта персональных данных или его представителя.

  2. Разъяснения по вопросам обработки персональных данных субъект персональных данных может получить, направив официальный запрос в адрес Оператора.

  3. Субъект персональных данных вправе требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

  4. Требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

  5. Отозвать свое согласие на обработку персональных данных в любой момент.

  6. Требовать устранения неправомерных действий Оператора в отношении его персональных данных.

  7. На защиту своих прав и законных интересов, в том числе на возмещения убытков и/или компенсацию морального вреда в судебном порядке.

  8. Субъект персональных данных вправе осуществлять иные права, предусмотренные законодательством Российской Федерации.

VIII. ОБЯЗАННОСТИ ОПЕРАТОРА

  1. Предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

  2. Разъяснить субъекту персональных данных юридические последствия отказа предоставить персональные данные, если предоставление персональных данных является обязательным в соответствии с федеральным законом.

  3. Принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

  4. В соответствии с ч. 2 ст. 18.1 Федерального закона от 27 июля 2006 г. № 152
    "О персональных данных"
    опубликовать в сети Интернет на официальном сайте "https://www.alumni-sfedu.ru/user/register" и обеспечить неограниченный доступ с использованием сети Интернет к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

  5. Осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора).

  6. Уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора).

  7. Прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора), в случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим на основании договора с Оператором.

  8. Прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по договору с Оператором) и уничтожить данные или обеспечить их уничтожение (если обработка данных осуществляется другим лицом, по поручению Оператора) по достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, в случае достижения цели обработки персональных данных.

  9. Прекратить обработку персональных данных или обеспечить ее прекращение и уничтожить персональные данные или обеспечить их уничтожение в случае отзыва субъектом персональных данных согласия на обработку персональных данных.

  10. Выполнять иные обязанности, предусмотренные законодательством Российской Федерации.

  11. Работники Оператора обязаны:

  • ознакомиться с Политикой и внутренними документами, регламентирующими процесс обработки персональных данных, и выполнять требования этих документов;

  • обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;

  • не разглашать персональные данные, к которым был получен доступ в рамках исполнения своих трудовых обязанностей;

  • информировать работодателя о фактах разглашения (уничтожения, искажения) персональных данных.

IX. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

  1. В целях соблюдения требований законодательства Оператором приняты локальные акты, регламентирующие порядок обработки персональных данных, и определяющие его политику в отношении их обработки.

  2. Положение подлежит изменению/дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.

  3. Ответственность за невыполнение требований, регулирующих обработку и защиту персональных данных, должностными лицами Оператора, имеющими доступ к персональным данным, определяется в соответствии с законодательством Российской Федерации и локальными правовыми актами в отношении обработки персональных данных.

Приложения:

  1. Типовые запросы субъектов персональных данных, сроки их рассмотрения, а также типовые действия Оператора в ответ на обращения субъектов персональных данных, их представителей.

  2. Типовая форма бланка запроса субъекта на получение информации о его персональных данных.

  3. Типовая форма бланка отзыва согласия на обработку персональных данных субъекта.

  4. Типовая форма бланка запроса на блокирование/ удаление/ уточнение персональных данных.


 

Приложение 1

Типовые запросы субъектов персональных данных,

сроки их рассмотрения, а также типовые действия Оператора

в ответ на обращения субъектов персональных данных, их представителей.

Обращение, запрос

Действия

Срок

Ответ

Обращение субъекта персональных данных (ПДн) или его представителя

Наличие ПДн

Подтверждение обработки ПДн

30 дней (согласно ч. 1 ст. 20, 152-ФЗ)

Подтверждение обработки ПДн

Отказ от подтверждения

обработки ПДн

30 дней (согласно ч. 2 ст. 20, 152-ФЗ)

Уведомление об отказе

подтверждения обработки

ПДн

Ознакомление с

ПДн

Предоставление

информации по ПДн

30 дней (согласно ч. 1 ст. 20, 152-ФЗ)

Подтверждение обработки

ПДн, правовые основания и цели такой обработки

Способы обработки ПДн

Сведения о лицах, которые имеют доступ к ПДн

Перечень обрабатываемых

ПДн и источник их получения

Сроки обработки ПДн, в том числе сроки их хранения

Информация об осуществленной или о предполагаемой трансграничной передаче

Отказ от предоставления

информации по ПДн

30 дней (согласно ч. 2 ст. 20, 152-ФЗ)

 

Уведомление об отказе предоставления информации по ПДн

Уточнение ПДн

Изменение ПДн

7 рабочих дней со дня

предоставления уточняющих сведений (согласно ч. 3
ст. 20, 152-ФЗ)

Уведомление о внесенных

изменениях

Отказ от изменения ПДн

30 дней (согласно ч. 2 ст. 20, 152-ФЗ)

Уведомление об отказе изменений ПДн

Уничтожение ПДн

Уничтожение ПДн

7 рабочих дней со дня

предоставления сведений о незаконном получении ПДн или отсутствии необходимости

ПДн для заявленной цели обработки (согласно ч. 3 ст. 20 152-ФЗ)

Уведомление об уничтожении

Отказ от уничтожения ПДн

30 дней (согласно ч. 2 ст. 20, 152-ФЗ)

Уведомление об отказе уничтожения ПДн

Отзыв согласия на обработку

ПДн

Прекращение обработки и

уничтожение ПДн

30 дней (согласно ч. 5 ст. 21, 152-ФЗ)

Уведомление о прекращении обработки и уничтожении ПДн

Отказ от прекращения обработки и уничтожения ПДн

30 дней (согласно ч. 2 ст. 20, 152-ФЗ)

Уведомление об отказе прекращения обработки и уничтожения ПДн

Недостоверность

ПДн субъекта

Блокировка ПДн

С момента обращения

субъекта ПДн о недостоверности

его ПДн или с момента получения запроса на период проверки (согласно ч. 1 ст. 21 152-ФЗ)

Уведомление о внесенных

изменениях

Изменение ПДн

7 рабочих дней со дня предоставления уточненных сведений (согласно ч. 2 ст. 21, 152-ФЗ)

Снятие блокировки

ПДн

Отказ изменения

ПДн

30 дней (согласно ч. 2 ст. 20, 152-ФЗ)

Уведомление об отказе изменения ПДн

Неправомерность

действий с ПДн субъекта

Прекращение

неправомерной обработки ПДн

3 рабочих дня (согласно ч. 3 ст. 21 152-ФЗ)

Уведомление об устранении нарушений

Уничтожение ПДн в случае невозможности обеспечения

правомерности обработки

10 рабочих дней (согласно
ч. 3 ст. 21, 152-ФЗ)

Уведомление об уничтожении ПДн

Достижение цели

обработки

ПДн субъекта

Прекращение обработки ПДн

30 дней (согласно ч. 4 ст. 21, 152-ФЗ)

Уведомление об уничтожении ПДн

Уничтожение ПДн

Запрос Уполномоченного органа по защите прав субъектов ПДн

Информация для

осуществления

деятельности

уполномоченного

органа

Предоставление

затребованной информации

по ПДн

30 дней (согласно ч. 4 ст. 20, 152-ФЗ)

Предоставление затребованной

информации по ПДн

Недостоверность

ПДн субъекта

Блокировка ПДн

С момента обращения

Уполномоченного органа о недостоверности или с момента получения запроса на период проверки (согласно ч. 1 ст. 21 152-ФЗ)

Уведомление о внесённых

изменениях

Изменение ПДн

7 рабочих дней со дня

предоставления уточнённых сведений (согласно ч. 2 ст. 21, 152-ФЗ)

Снятие блокировки

ПДн

Отказ от изменения

ПДн

30 дней (согласно ч. 2 ст. 20, 152-ФЗ)

Уведомление об отказе изменения ПДн

Неправомерность

действий с ПДн субъекта

Прекращение

неправомерной обработки ПДн

3 рабочих дня (согласно
ч. 3 ст. 21 152-ФЗ)

Уведомление об устранении нарушений

Уничтожение ПДн
в случае невозможности обеспечения

правомерности обработки

10 рабочих дней (согласно
ч. 3 ст. 21 152-ФЗ)

Уведомление об уничтожении ПДн

Достижение целей обработки

ПДн субъекта

Блокировка ПДн

30 дней (согласно ч. 4 ст. 21, 152-ФЗ)

Уведомление об уничтожении ПДн

Уничтожение ПДн


 

Приложение № 2

_______________________________

(кому)

От ____________________________,

_________ серия ______ № ________,

(документ, удостоверяющий личность)

выдан __________________________

_______________________________,

(когда, кем)

проживающего по адресу__________

________________________________.

Запрос №______

На основании своих законных прав субъекта персональных данных, прошу предоставить следующие сведения (выделить нужное):

  • подтверждение факта обработки моих персональных данных ____________________

(наименование Оператора)

(далее – Учреждение);

  • правовые основания и цели обработки моих персональных данных;

  • цели и применяемые Учреждением способы обработки моих персональных данных;

  • наименование и место нахождения Учреждения, сведения о лицах (за исключением работников Учреждения), которые имеют доступ к моим персональным данным;

  • мои обрабатываемые персональные данные, источник их получения;

сроки обработки моих персональных данных, в том числе сроки их хранения;

  • порядок осуществления моих прав, предусмотренных федеральным законом о персональных данных;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку моих персональных данных по поручению Учреждения;

  • иные сведения, предусмотренные законодательством Российской Федерации:

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________.

Ответ прошу предоставить:

  • почтовым сообщением на указанный мною адрес;

  • мне лично.

«_____» ______________ 20___г. ____________ ________________________

(дата) (подпись) (ФИО)


 

Приложение № 3

ОТЗЫВ

согласия на обработку персональных данных

_____________________________________

(кому)

От __________________________________,

______________ серия ______ № ________,

(документ, удостоверяющий личность)

выдан ________________________________

_____________________________________,

(когда, кем)

проживающего по адресу_______________

_____________________________________.

ЗАЯВЛЕНИЕ

Прошу Вас прекратить обработку моих персональных данных в связи с _______________

__________________________________________________________________________________

__________________________________________________________________________________.

(указать причину)


 

«_____» ______________ 20___г. ____________ ________________________

(дата) (подпись) (ФИО)

Приложение № 4

ЗАПРОС

на блокирование / удаление / уточнение персональных данных

___________________________________

(кому)

От _________________________________,

__________ серия ______ № ___________,

(документ, удостоверяющий личность)

выдан ________________________________

_____________________________________,

(когда, кем)

проживающего по адресу _________________________________________________________________________.

Запрос №______

Прошу _______________________ мои персональные данные по следующим причинам

(блокировать/удалить/уточнить)

(нужное выделить):

персональные данные являются неполными;

персональные данные являются устаревшими; персональные данные являются недостоверными; персональные данные являются незаконно полученными;

персональные данные не являются необходимыми для заявленной цели обработки; другое: _____________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________.

«_____» ______________ 20___г. ____________ ____________________

(дата) (подпись) (ФИО)