ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «ИНСТИТУТ ГРУППОВОГО АНАЛИЗА И ДРУГИХ ПСИХОЛОГИЧЕСКИХ ПРАКТИК»
ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Общие цели Политики. Понятия Политики.
1.1. Назначение Политики в отношении обработки персональных данных (далее Политика)
Настоящая политика в отношении обработки персональных данных (далее – «Политика») разработана во исполнение требований пункта 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «Закон о персональных данных») в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.1.2. Политика устанавливает:
- общие принципы обработки персональных данных;
- цели обработки персональных данных;
- категории субъектов персональных данных;
- категории и перечень персональных данных;
1.1.3. Положения Политики являются обязательными для исполнения всеми работниками Оператора.
1.2 Основные понятия Политики
1.2.1. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (далее Субъект персональных данных);
1.2.2. Оператор персональных данных (далее Оператор) – ООО «Институт группового анализа и других психологических практик», ОГРН 1207800105325, ИНН/КПП 7813646570/781301001, 197046, город Санкт-Петербург, Большая Посадская ул., д. 16 литер А, пом. 6-н, №6, офис №401, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции, совершаемые с персональными данными.
1.2.3. Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение, использование;
- передачу (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение.
Оператор может поручить обработку персональных данных третьему лицу с согласия субъекта персональных данных.
1.2.4. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
1.2.5. Неавтоматизированная обработка персональных данных – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека (без использования средств автоматизации).
1.2.6. Смешанная обработка персональных данных -обработка персональных данных как с использованием средств автоматизации, так и без применения средств автоматизации.
1.2.7. Актуализация персональных данных — действия по уточнению, обновлению и изменению персональных данных, направленные на обеспечение актуальности персональных данных по отношению к целям их обработки.
1.2.8. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
1.2.9. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
1.2.10. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
1.2.11. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных, и (или) в результате которых уничтожаются материальные носители персональных данных.
1.2.12. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
1.2.13. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку, информационных технологий и технических средств.
1.2.14. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.2.15. Сайт Оператора – совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети интернет. Сайт Oператора расположен по адресу: https://iga21.ru
1.2.16. Согласие на обработку персональных данных (далее Согласие) – предоставляется субъектом ПДн – посетителем сайта - письменно и/или в электронном виде, посредством проставления галочки в поле занесения персональных данных на сайте Оператора https://iga21.ru.
1.3. Права и обязанности оператора и субъекта персональных данных.
1.3.1. Права Оператора:
- Оператор вправе обрабатывать персональные данные субъекта персональных данных при его согласии на обработку персональных данных, если иное не предусмотрено федеральным законом и законодательством РФ;
- Оператор определяет категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения;
- Оператор имеет право поручать обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом и законодательством РФ; ;
- Оператор имеет право предоставлять персональные данные другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом и законодательством РФ;
- Оператор имеет право распространять персональные данные неопределенному кругу лиц с согласия субъекта персональных данных на распространение, если иное не предусмотрено федеральным законом и законодательством РФ;
- Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения обработки персональных данных в соответствие с заявленными целями;
- Оператор имеет право запрашивать документы, субъекта персональных данных, подтверждающих достоверность его персональных данных.
1.3.2 Права Субъекта персональных данных
Субъект персональных данных имеет право:
- получать информацию, касающуюся обработки его персональных данных, в порядке, форме и сроки, установленные законодательством о персональных данных;
- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее при предоставлении субъектом персональных данных согласия на обработку персональных данных;
- отозвать свое согласие на обработку персональных данных.
1.3.3. Обязанности Оператора:
- организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
- обеспечить защиту персональных данных при их обработке в информационной системе персональных данных;
- отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
- сообщать в уполномоченный орган по защите прав субъектов персональных данных ( «Роскомнадзор») по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса;
- Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ними нормативными правовыми актами.
1.3.4. Обязанности Субъекта персональных данных:
- предъявлять документы, подтверждающие достоверность сообщаемых персональных данных;
- извещать Оператора персональных данных об изменении своих персональных данных.
2. Общие принципы обработки персональных данных
2.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации и на основе следующих принципов:
- законности и справедливой основы;
- ограничения обработки персональных данных достижением конкретных, заранее определённых и законных целей;
- недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
- недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработки только тех персональных данных, которые отвечают целям их обработки;
- соответствия содержания и объёма обрабатываемых персональных данных заявленным целям обработки;
- недопущения обработки избыточных персональных данных по отношению к заявленным целям их обработки;
- обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
3. Категории субъектов, персональные данные которых обрабатываются :
- работники;
- уволенные работники;
- клиенты, получающие психологические услуги;
- лица, завершившие получение психологической услуги;
- обучающие по образовательным программам;
- лица, завершившие образовательные программы;
- обучающиеся по дополнительным профессиональным программам (далее ДПО);
- лица, завершившие программы ДПО;
- лица, досрочно отчисленные из организации осуществляющую образовательную деятельность;
- посетитель сайта, заполнивший форму обратной связи на сайте Оператора;
- контрагенты.
4. Общие правила обработки персональных данных
4.1. При предоставлении Оператором персональных данных определенному лицу должны соблюдаться следующие требования:
- запрещается предоставлять персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных действующим законодательством РФ;
- работник Оператора, предоставляющий персональные данные субъектов персональных данных, обязан предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения соблюдения этого правила;
- лица, получающие персональные данные обязаны соблюдать режим их конфиденциальности;
- предоставление персональных данных работников в Фонд социального страхования РФ, Пенсионный фонд в фонд социального страхования РФ в порядке, установленном федеральными законами, в частности Федеральным законом «Об обязательном пенсионном страховании в Российской Федерации», Федеральным законом «Об основах обязательного социального страхования», Федеральным законом «Об обязательном медицинском страховании в Российской Федерации» осуществляется без согласия работников;
- согласие работников не требуется в случаях предоставления персональных данных работников в налоговые органы, военные комиссариаты, а также, в рамках установленных полномочий, по запросам органов прокуратуры, правоохранительных органов, органов безопасности, государственным инспекторам труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной действующим законодательством РФ.
- в соответствии с пунктом 5 части 1 статьи 6 Федерального закона №152-ФЗ «О персональных данных» от27.07.2006, допускается обработка и передача персональных данных без получения согласия субъекта персональных данных в случае, когда такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем является субъект персональных данных.
- в соответствии с пунктом 2 части 1 статьи 6 Федерального закона №152-ФЗ «О персональных данных» от27.07.2006, допускается обработка персональных данных субъекта персональных данных без его согласия если обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской
Федерации на оператора функций, полномочий и обязанностей.
5. Требования к обработке персональных данных.
5.1. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5.2. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
5.3. Cогласие субъекта персональных данных на обработку и/или на распространение его персональных данных должно быть конкретным, информированным, сознательным, предметным и однозначным.
5.4. Категории персональных данных обрабатываемые Оператором: персональные данные, иные персональные данные.
5.5. Оператор не обрабатывает биометрические персональные данные субъектов персональных данных.
5.6. Оператор не обрабатывает специальные персональные данные субъектов персональных данных.
5.7. Персональные данные субъектов персональных данных обрабатываются без передачи по внутренней сети юридического лица.
5.7. Оператор не осуществляет трансграничную передачу персональных данных субъектов персональных данных.
5.8.. Все информационные системы персональных данных, в том числе и сайт Оператора, находятся на территории РФ.
6. Сведения о соблюдении требований конфиденциальности
6.1 Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, согласно ст. 7 Закона о персональных данных.
7.Описание мер, предусмотренных статьями 18.1 и 19.1
- Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных в последней редакции и другими федеральными законами. К таким мерам относятся в частности меры, предусмотренные законом ФЗ №266 от 17.07.2022;
- Оператор назначил ответственного за организацию обработки персональных данных;
- Оператор назначил ответственного за безопасность персональных данных;
- Оператор издал документ, определяющий политику оператора в отношении обработки персональных данных;
- Оператор издал локальные акты по вопросам обработки персональных данных, определяющие для каждой цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, условия, при которых персональных данные подлежат уничтожению, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также издал локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
- документы и локальные акты не содержат положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности; (в ред. Федерального закона от 14.07.2022 N 266-ФЗ);
- работники Оператора, непосредственно осуществляющих обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;
- Оператор опубликовал на сайте и обеспечил неограниченный доступ к "Политике в отношении к обработке персональных данных";
- Оператор осуществляет внутренний контроль соответствия обработки персональных данных настоящему Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
- Ключи от металлических шкафов, где находятся бумажные документы, содержащие персональных данные ( договора, штатное расписание, график отпусков и др.) доступны только секретарю организации и генеральному директору, который отвечает за обработку персональных данных;
- Определен 4-й уровень защищенности персональных данных;
- обеспечивается возможность восстановления персональных данных в случае их поврежденных вследствие несанкционированного доступа к ним;
- разработаны правила доступа к обрабатываемым персональным данными;
- исключена возможность неконтролируемого проникновения или пребывания в помещение, где хранятся персональные данные, посторонних лиц;
- учетом машинных носителей персональных данных (если таковые имеются);
- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
- Оператор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных (в ред. Федерального закона от 14.07.2022 N 266-ФЗ);
- для обеспечения безопасности персональных данных применяются программно-технические средства:
- используется антивирус;
- электронно-цифровая подпись руководителя;
- используется средство криптографической защиты информации Крипто-Про СSP;
- вход в информационную систему осуществляется по двойной аутентификация;сайт Оператора имеет защищенное соединение https;
- используются российские ИСПДн;
- на ноутбуке, который является управляющим центром, установлен пароль, известный только ответственному за обработку персональных. данных в ИСПДн.
- ключ от металлического шкафа, где хранится ноутбук, находится только у ответственного за обработку персональных данных.
8. Условия хранения и прекращения обработки ПДн
8.1. При обработке персональных данных используются базы данных, находящиеся на территории РФ.
8.2. Доступ к ИСПДн имеют только лица назначенные приказом.
8.3. При хранении персональных данных без использования средств автоматизации используется юридический адрес Оператора. Персональные данные хранятся в закрывающихся металлических шкафах, доступ к которым имеет только лица назначенные приказом «О хранении материальных носителей персональных данных и утверждении списка должностей работников, допускаемых к обработке персональных данных без использования средств автоматизации».
Доступ этих лиц к документам и обработка персональных данных возможны при закрытых на ключ дверях помещения и при отсутствии посторонних лиц в помещении. Шкафы, где хранятся документы, могут открыватьсятолько в отсутствии посторонних лиц в помещении Оператора.
8.4. Оператор не принимает, не снимает и не хранит копии паспорта, документов об образовании, СНИЛС, ИНН, сведений о воинском учете, трудовой книжке и другие копии документов. Данные этих документов верифицируются при заключении договора с субъектом ПДн и заносятся в личную карточку субъекта персональных данных.
8.5. Условия прекращения обработки персональных данных может являться:
- достижение целей обработки персональных данных;
- истечение срока действия Согласия;
- отзыв согласия субъекта персональных данных на обработку его персональных данных;
- выявление неправомерной обработки персональных данных;
- исключение Оператора из Единого государственного реестра юридических лиц;
8.6. При наступлении условий для прекращения обработки ПДн Оператор и лица, кому были предоставлены персональные данные или поручалась обработка персональных данных, должны прекратить обработку персональных и уничтожить персональные данные субъекта ПДн в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", если отсутствуют иные правовые основания для обработки, установленные федеральными законами, законодательством Российской Федерации, а так же приказами Росархива о сроках хранения документов.
9. Уничтожение персональных данных
9.1. Для уничтожения ПДн Оператор создает экспертную комиссию и проводит экспертизу ценности документов.
В ходе проведения экспертизы комиссия отбирает документы с истекшим сроком хранения и по итогам отбора составляет акт о выделении к уничтожению дел, не подлежащих хранению. После чего документы измельчаются в шредере. Персональные данные субъектов персональных данных в электронном виде уничтожаются с информационных носителей. Информация об уничтожении документов с персональными данными заносится в Акт уничтожении персональных данных.
10. Актуализация , исправление, персональных данных, ответы на запросы субъектов на доступ к персональным данным
10.1 Согласно ст.21 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 14.07.2022) "О персональных данных" персональные данные должны быть актуализированы оператором, если подтвержден факт неточности персональных данных или подтвержден факт неправомерной обработки.
10.2. Разработаны регламенты реагирования на запросы и обращения субъектов персональных данных
11. Размещение Политики в отношении обработки персональных данных
Политика в отношении обработки персональных данных размещена на сайте Оператора по ссылке https://iga21.ru
12. Цели обработки Персональных данных.
Персональные данные обрабатываются Оператором в следующих целях:
- выполнения взаимных обязательств между Оператором персональных данных и субъектом персональных данных при заключении, исполнении, расторжении трудового договора;
- ведения бухгалтерского, налогового, кадрового учета в системе АО "ПФ "СКБ Контур";
- реализация зарплатного проекта в « Северо-Западный банк ПАО Сбербанк»;
- выполнения взаимных обязательств между Оператором персональных данных и субъектом персональных данных при заключении, исполнении, расторжении договоров на обучение и/или на оказание психологических услуг;
- составления и предоставления арендодателю Оператора списка работников, которые имеют право на получение ключей от офиса Оператора;
- заключения и исполнения гражданско-правовых договоров, исполнителем по которым является контрагент;
- обеспечения взаимодействия между Оператором персональных данных и субъектом персональных данных по вопросам оказания услуг и проведения мероприятий в ООО «ИГАиДПП»;
- обработки персональных данных, разрешенных субъектом персональных данных для распространения, в целях размещения персональных данных на сайте Оператора;
- оформления итогового документа субъекта персональных данных в системе «Федеральный реестр сведений о документах об образовании и (или) о квалификации, документах об обучении».
13. Обработка персональных данных с целью выполнения взаимных обязательств между Оператором персональных данных и субъектом персональных данных при заключении, исполнении, расторжении трудового договора
13.1. Категории субъектов ПДн, чьи персональные данные обрабатываются с целью, указанной в п. 13.:
- работники;
- уволенные работники.
13.2. Персональных данные субъектов ПДн, обрабатываемые с целью, указанной в п. 13.:
- фамилия, имя, отчество (далее ФИО);
- год рождения;
- месяц рождения;
- дата рождения;
- пол;
- адрес электронной почты;
- адрес места жительства / регистрации;
- номер телефона;
- Снилс;
- ИНН;
- гражданство;
- данные документа, удостоверяющего личность (паспортные данные);
- профессия;
- должность;
- отношение к воинской обязанности, сведения о воинском учете (если работник является военнообязанным);
- сведения об образовании;
- данные документа о смене Ф.И.О., если Ф.И.О.в документах об образовании отличаются от паспортных данных;
- вид начисления;
- размер оклада;
- процент ставки;
- способ выплат;
- сумма выплат,удержаний, компенсаций, пособий;
- период за который производятся выплаты,удержания, компенсации, пособия;
- дата выплат,удержаний, компенсаций, пособий;
- реквизиты банка, на карту которого производится перевод зарплаты, выплат, компенсаций, пособий;
- номер счета, на который переводится зарплата, выплаты, компенсации, пособия;
- подразделение в котором работает работник;
- тип договора (трудовой);
- данные бумажной и/или электронной трудовой книжки;
- данные табеля об отработанном времени;
- табельный номер (уникальный номер сотрудника);
- период отпуска, количество дней отпуска, вид отпуска, за какой период работы предоставляется отпуск;
- дата вступления в должность;
- дата увольнения;
- период работы;
- рабочее время;
- сведения больничного листа ;
- данные справки об отсутствии судимости;
- адрес осуществления рабочих обязанностей;
13.3 . Способы обработки персональных данных субъектов ПДн: смешанная обработка, без передачи по внутренней сети юридического лица, без использования сети интернет;
13.4. Перечень действий, совершаемых Оператором с целью, указанной в п. 13. с персональными данными субъектов ПДн:
- сбор;
- запись;
- систематизация,
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- блокирование;
- удаление;
- уничтожение.
13.5. Правовые основания для обработки персональных данных:
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенныхзаконодательством Российской Федерации на оператора функций, полномочий и обязанностей;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных,;
- локальные нормативные акты ООО «ИГАиДПП»