УТВЕРЖДАЮ
Генеральный директор
ООО «ИГАИДПП»
Дмитриева Т. В.
Приложение № 1
к Приказу № 01/2022-ПДн от «01»сентября 2022 г.

ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «ИНСТИТУТ ГРУППОВОГО АНАЛИЗА И ДРУГИХ ПСИХОЛОГИЧЕСКИХ ПРАКТИК»

Версия 2.0
г. Санкт-Петербург
2022 год

1. Общие цели Политики. Понятия Политики.

1.1. Назначение Политики в отношении обработки персональных данных (далее Политика)
Настоящая политика в отношении обработки персональных данных (далее – «Политика») разработана во исполнение требований пункта 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «Закон о персональных данных») в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.1.2. Политика устанавливает:

• общие принципы обработки персональных данных;
• цели обработки персональных данных;
• категории субъектов персональных данных;
• категории и перечень персональных данных;

1.1.3. Положения Политики являются обязательными для исполнения всеми работниками Оператора.

1.2 Основные понятия Политики.
1.2.1. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу ( далее Субъект персональных данных);
1.2.2. Оператор персональных данных (далее Оператор) – ООО «Институт группового анализа и других психологических практик», ОГРН 1207800105325, ИНН/КПП 7813646570/781301001, 197046, город Санкт-Петербург, Большая Посадская ул., д. 16 литер А, пом. 6-н, №6, офис №401, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.2.3. Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Оператор может поручить обработку персональных данных третьему лицу с согласия субъекта персональных данных.
1.2.4. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
1.2.5. Неавтоматизированная обработка персональных данных – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека (без использования средств автоматизации).
1.2.6. Смешанная обработка персональных данных -обработка персональных данных как с использованием средств автоматизации, так и без применения средств автоматизации.
1.2.7. Актуализация персональных данных — действия по уточнению, обновлению и изменению персональных данных, направленные на обеспечение актуальности персональных данных по отношению к целям их обработки.
1.2.8. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
1.2.9. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
1.2.10. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
1.2.11. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных, и (или) в результате которых уничтожаются материальные носители персональных данных.
1.2.12. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
1.2.13. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.2.14. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.2.15. Сайт – совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети интернет, расположенной по адресу: https://iga21.ru .

1.3. Права и обязанности оператора и субъекта персональных данных.

1.3.1 Права Оператора:

• Оператор вправе обрабатывать персональные данные субъекта персональных данных при его согласии на обработку персональных данных;
  
  
• Оператор определяет категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении цели их обработки или при наступлении иных законных оснований;
  
  
• Оператор имеет право поручать обработку персональных данных другому лицу с согласия субъекта персональных данных;
  
  
• Оператор имеет право предоставлять персональные данные другому лицу с согласия субъекта персональных данных;
  
  
• Оператор имеет право распространять персональные данные неопределенному кругу лиц с согласия субъекта персональных данных на распространение;
  
  
• Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения обработки персональных данных в соответствие с заявленными целями;
  
  
• Оператор имеет право запрашивать документы, субъекта персональных данных, подтверждающих достоверность его персональных данных;
  
  

1.3.2 Права Субъекта персональных данных:



Субъект персональных данных имеет право:

• получать информацию, касающуюся обработки его персональных данных, в порядке, форме и сроки, установленные законодательством о персональных данных;
  
  

• требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее при предоставлении субъектом персональных данных согласия на обработку персональных данных
  
  

• отозвать свое согласие на обработку персональных данных.
  
  

1.3.3. Обязанности Оператора:

• организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
  
  

• обеспечить защиту персональных данных при их обработке в информационной системе персональных данных;
  
  

• отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
  
  

• сообщать в уполномоченный орган по защите прав субъектов персональных данных (далее – «Роскомнадзор») по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса;
  
  

• Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ними нормативными правовыми актами.
  
  

1.3.4. Обязанности Субъекта персональных данных:

• предъявлять документы, подтверждающие достоверность сообщаемых персональных данных;
  
  

• извещать Оператора персональных данных об изменении своих персональных данных.
  
  

2. Общие принципы обработки персональных данных.



2.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации и на основе следующих принципов:

• законности и справедливой основы;
  
  
• ограничения обработки персональных данных достижением конкретных, заранее определённых и законных целей;
  
  
• недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
  
  
• недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  
  
• обработки только тех персональных данных, которые отвечают целям их обработки;
  
  
• соответствия содержания и объёма обрабатываемых персональных данных заявленным целям обработки;
  
  
• недопущения обработки избыточных персональных данных по отношению к заявленным целям их обработки;
  
  
• обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
  
  
• уничтожения персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей; при невозможности устранения Оператором допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом.
  
  

3. Правовые основания обработки персональных данных.



3.1. Правовым основанием обработки персональных данных является:

• ст. 23, 24 Конституции Российской Федерации;
  
  
• Гражданский кодекс Российской Федерации;
  
  
• Налоговый кодекс Российской Федерации;
  
  
• ст.ст. 86-90 Трудового кодекса Российской Федерации (Федерального закона от 30.12.2001г. № 197-ФЗ);
  
  
• Федеральный закон от 29 ноября 2010 года № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
  
  
• Федеральный закон от 15 декабря 2001 г. N 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
  
  
• Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
  
  
• Федеральный закон от 06.04.2011 № 63-Ф3 «Об электронной подписи»; Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете"; Федеральный закон от 17 декабря 2001 г. № 173-ФЗ «О трудовых пенсиях в Российской Федерации»;
  
  
• Федеральный закон от 28 марта 1998 г. № 53-ФЗ «О воинской обязанности и военной службе»;
  
  
• Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  
  
• Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  
  
• Закон Российской Федерации от 29.12.2012 № 273-ФЗ "Об образовании в Российской Федерации";
  
  
• Приказ Министерства образования и науки Российской Федерации (Минобрнауки России) от 1 июля 2013 г. № 499 г. Москва "Об утверждении Порядка организации и осуществления образовательной деятельности по дополнительным профессиональным программам";
  
  
• Постановление Правительства РФ от 26 августа 2013 г. N 729 "О федеральной информационной системе "Федеральный реестр сведений о документах об образовании и (или) о квалификации, документах об обучении" (с изменениями и дополнениями);
  
  
• Федеральный закон от 22 октября 2004 г. N 125-ФЗ "Об архивном деле в Российской Федерации";
  
  
• Приказ Министерства образования и науки Российской Федерации от 30 марта 2015 № 293 «Об утверждении Положения о порядке проведения аттестации работников, занимающих должности педагогических работников, относящихся к профессорско–преподавательскому составу»;
  
  
• Приказ Минобрнауки России от 07.04.2014 N 276 «Об утверждении Порядка проведения аттестации педагогических работников организаций, осуществляющих образовательную деятельность»;
  
  
• Приказ Росархива от 20.12.2019 № 236 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения";
  
  
• Федеральный закон от 22 октября 2004 г. N 125-ФЗ "Об архивном деле в Российской Федерации";
  
  
• Образовательная лицензия № 4457 от 17.06.21 г.;
  
  
• Политика в отношении обработки персональных данных в ООО «ИГАиДПП»;
  
  
• локальные нормативные акты ООО «ИГАиДПП»;
  
  
• согласие на обработку персональных данных;
  
  
• согласие на распространение персональных данных;
  
  
• трудовые договора с работниками;
  
  
• договора об оказании услуг клиентам;
  
  
• договора с контрагентами (ИП);
  
  

4. Категории субъектов, персональные данные которых обрабатываются :

• работники;
  
  
• посетители сайта Оператора;
  
  
• клиенты;
  
  
• контрагенты (ИП).
  
  

5. Общие правила обработки персональных данных



5.1. При предоставлении Оператором персональных данных определенному лицу должны соблюдаться следующие требования:

• запрещается предоставлять персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных действующим законодательством РФ;
  
  
• работник Оператора, предоставляющий персональные данные субъектов персональных данных, обязан предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения соблюдения этого правила;
  
  
• лица, получающие персональные данные обязаны соблюдать режим их конфиденциальности;
  
  
• предоставление персональных данных работников в Фонд социального страхования РФ, Пенсионный фонд в фонд социального страхования РФ в порядке, установленном федеральными законами, в частности Федеральным законом «Об обязательном пенсионном страховании в Российской Федерации», Федеральным законом «Об основах обязательного социального страхования», Федеральным законом «Об обязательном медицинском страховании в Российской Федерации» осуществляется без согласия работников;
  
  
• согласие работников не требуется в случаях предоставления персональных данных работников в налоговые органы, военные комиссариаты, а также, в рамках установленных полномочий, по запросам органов прокуратуры, правоохранительных органов, органов безопасности, государственным инспекторам труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной действующим законодательством РФ.
  
  

6. Сроки обработки и хранения персональных данных.



6.1. Сроки обработки и хранения персональных данных ограничивается достижением конкретных, заранее определенных и законных целей, а так же обусловлены сроками хранения, определенными законодательством РФ.



6.2 Оператор осуществляет хранение персональных данных субъектов перcональных данных в форме, позволяющей определить субъектов персональных данных, не дольше, чем этого требуют цель обработки персональных данных Политики обработки персональных данных, если иное не предусмотрено законодательством РФ.



6.3. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Обработке подлежат только персональные данные, которые отвечают целям их обработки.



6.4. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.



6.5. Cогласие субъекта персональных данных на обработку и/или на распространение его персональных данных должно быть конкретным, информированным, сознательным, предметным и однозначным.



6.6. Категории персональных данных обрабатываемые Оператором: персональные данные (общие, иные). Оператор не обрабатывает биометрические персональные данные субъектов персональных данных. Оператор не обрабатывает специальные персональные данные субъектов персональных данных. Персональные данные субъектов персональных данных обрабатываются без передачи по внутренней сети юридического лица. Оператор не осуществляет трансграничную передачу персональных данных субъектов персональных данных.



6.7. Все серверы программ, сайтов, используемых оператором, находятся на территории РФ.



7. Сведения о соблюдении требований конфиденциальности.



7.1 Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, согласно ст. 7 Закона о персональных данных.



8. Меры безопасности

8.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных Законом о персональных данных (ст. 18.1 Закона о персональных данных):

• Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных ст. 18.1. Закона о персональных данных и принятыми в соответствии с ним нормативными правовыми актами;
  
  
• Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных в последней редакции и другими федеральными законами. К таким мерам относятся в частности меры, предусмотренные законом ФЗ №266 от 17.07.2022;
  
  
• Оператор назначил ответственного за организацию обработки персональных данных;
  
  
• Оператор назначил ответственного за безопасность персональных данных;
  
  
• Оператор издал документ, определяющий политику оператора в отношении обработки персональных данных;
  
  
• Оператор издал локальные акты по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, условия, при которых персональных данные подлежат уничтожению, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также издал локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
  
  
• документы и локальные акты не содержат положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности; (в ред. Федерального закона от 14.07.2022 N 266-ФЗ);
  
  
• работники оператора, непосредственно осуществляющих обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;
  
  
• Оператор опубликовал на сайте и обеспечил неограниченный доступ к «Политике в отношении к обработке персональных данных».