1.Общие положения

• 1.1. Настоящая Политика обработки персональных данных (далее – Политика) раскрывает основные категории персональных данных, обрабатываемых в Академии ГПС МЧС России (далее – Оператор), цели, способы и принципы обработки Оператором персональных данных, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке.
• 1.2. Политика разработана в целях обеспечения реализации требований законодательства РФ в области обработки персональных данных субъектов персональных данных.
• 1.3. В Политике используются термины и определения в соответствии с их значениями, как они определены в Федеральном законе от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
• 1.4. Политика распространяется на всех сотрудников и клиентов Оператора. Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессе обработки персональных данных Оператором, а также в случаях передачи им в установленном порядке персональных данных на основании соглашений, договоров, поручений на обработку.
• 1.5. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.

2.Правовые основания и цели обработки персональных данных

• 2.1 Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами Российской Федерации:
  • Конституция Российской Федерации;
  • Трудовой кодекс Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • Налоговый кодекс Российской Федерации;
  • Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
  • Федеральный закон от 06.04.2011г. № 63-ФЗ «Об электронной подписи»;
  • Федеральный закон от 07.07.2003г. № 126-ФЗ «О связи»;
  • Федеральный закон от 24.07.2009г. № 212-ФЗ «О страховых взносах в Пенсионный Фонд РФ, Фонд социального страхования РФ, Федеральный Фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»;
  • Федеральный закон от 22.10.2004г. № 125-ФЗ «Об архивном деле в РФ»;
  • Федеральный закон от 01.04.1996г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
  • Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;
  • постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
  • иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.
• 2.2. Цели обработки персональных данных:
  • исполнение положений нормативных правовых актов Российской Федерации, указанных в пункте 2.1 настоящей Политики;
  • обеспечение задач кадровой работы, кадрового учета, делопроизводства, содействия в осуществлении служебной (трудовой) деятельности, формирования кадрового резерва, обучения и должностного роста, учета результатов исполнения должностных обязанностей, обеспечения личной безопасности субъектов персональных данных, медицинского обеспечения, реализации комплекса мероприятий по психологическому сопровождению, обеспечения установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, а также в целях противодействия коррупции;
  • исполнение иных полномочий, возложенных на Оператора.

3.Сведения об обработке персональных данных

• 3.1. Обработка персональных данных Оператором ведется смешанным способом: с использованием средств автоматизации и без.
• 3.2. Действия с персональными данными включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
• 3.3. Содержание и объем обрабатываемых персональных определяются исходя из целей обработки. Не обрабатываются персональные данные, избыточные или несовместимые по отношению к следующим основным целям:
  • обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Оператора;
  • осуществления функций, полномочий и обязанностей, возложенных на Оператора законодательством Российской Федерации, в том числе по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
  • регулирования трудовых отношений с работниками Оператора (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
  • предоставления работникам, обучающимся и членам семей работников Оператора дополнительных гарантий и компенсаций, добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;
  • защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
  • подготовки, заключения, исполнения и прекращения договоров с контрагентами;
  • обеспечения пропускного и внутриобъектового режимов на объектах Оператора;
  • формирования справочных материалов для внутреннего информационного обеспечения деятельности Оператора, его филиалов и представительств;
  • исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • осуществления прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных уставом и иными локальными нормативными актами Оператора, или третьих лиц либо достижения общественно значимых целей;
  • в иных законных целях.
• 3.4. Оператор не выполняет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
• 3.5. К основным категориям субъектов персональных данных, чьи данные обрабатываются Оператором, относятся:
  • обучающиеся;
  • поступающие на обучение в Академию (абитуриенты);
  • лица, прикреплённые к Академии для подготовки диссертации на соискание ученой степени кандидата наук без освоения программ подготовки научно-педагогических кадров в аспирантуре, докторанты;
  • участники олимпиад и конкурсов, проводимых Академией;
  • физические лица, состоящие в трудовых и гражданско-правовых отношениях с Оператором, в т.ч. пользователи услуг, оказываемых Академией;
  • кандидаты на замещение вакантных должностей;
  • работники организаций-контрагентов Академии, данные которые переданы Оператору в целях заключения, подготовки и исполнения договоров;
  • участники и посетители мероприятий, организуемых Академией;
  • другие субъекты персональных данных (для обеспечения реализации целей обработки).
• 3.6. Для указанных категорий субъектов могут обрабатываться: фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес регистрации и фактического пребывания. данные о семейном положении, составе семьи, родственниках, данные об образовании, профессии, данные о доходах, ИНН, СНИЛС, контактная информация (телефон, адрес электронной почты), Специальное звание, должность, подразделение, Группа здоровья, иные сведения, предусмотренные типовыми формами и установленным порядком обработки.
• 3.7. При обработке обеспечиваются точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. При обнаружении неточных или неполных персональных данных производится их уточнение и актуализация.
• 3.8. Для персональных данных, не являющихся общедоступными, обеспечивается конфиденциальность.
• 3.9. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или договором с субъектом персональных данных не установлен соответствующий срок хранения. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении следующий условий:
  • достижение целей обработки персональных данных или максимальных сроков хранения;
  • утрата необходимости в достижении целей обработки персональных данных;
  • предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • невозможность обеспечения правомерности обработки персональных данных;
  • отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных;
  • отзыв субъектом персональных данных согласия на использование персональных данных для контактов с потенциальными потребителями при продвижении товаров и услуг;
  • истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных;
  • ликвидация (реорганизация) Оператора.
• 3.10. Обработка персональных данных на основании договоров и иных соглашений Оператора, поручений Оператору и поручений Оператора на обработку персональных данных осуществляется в соответствии с условиями этих договоров, соглашений Оператора, а также соглашений с лицами, которым поручена обработка или которые поручили обработку на законных основаниях. Такие соглашения могут определять, в частности:
  • цели, условия, сроки обработки персональных данных;
  • обязательства сторон, в том числе меры по обеспечению конфиденциальности;
  • права, обязанности и ответственность сторон, касающиеся обработки персональных данных.
• 3.11. В случаях, не предусмотренных явно действующим законодательством или договором, обработка осуществляется после получения согласия субъекта персональных данных. Согласие может быть выражено в форме совершения действий, принятия условий договора-оферты, проставления соответствующих отметок, заполнения полей в формах, бланках, или оформлено в письменной форме в соответствии с законодательством.
• 3.12. Оператор зарегистрирован в реестре уполномоченного органа по защите прав субъектов персональных данных за номером № 77-20-017224. В реестре указаны сведения об Операторе, в том числе: полное наименование, контактная информация для обращений, сведения об обработке персональных данных и мерах по обеспечению безопасности.

4.Сведения о третьих лицах, участвующих в обработке персональных данных

• В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Оператор в ходе своей деятельности предоставляет персональные данные следующим организациям:
  • Федеральной налоговой службе;
  • Пенсионному фонду России;
  • Негосударственным пенсионным фондам;
  • Фонду социального страхования Российской Федерации;
  • Территориальным Фондам обязательного медицинского страхования;
  • Кредитным организациям;
  • Федеральной миграционной службе;
  • Лицензирующим и/или контролирующим органам государственной власти и местного самоуправления;
  • Иным организациям в соответствии с законодательством Российской Федерации.

5.Меры по обеспечению безопасности персональных данных

• 5.1. Оператор предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных для их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:
  • назначение сотрудников, ответственных за организацию обработки и обеспечение безопасности персональных данных;
  • проверка наличия в договорах и включение при необходимости в договоры пунктов об обеспечении конфиденциальности персональных данных;
  • издание локальных актов по вопросам обработки персональных данных, ознакомление с ними работников, обучение пользователей;
  • обеспечение физической безопасности помещений и средств обработки, пропускной режим, охрана;
  • ограничение и разграничение доступа сотрудников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными;
  • определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
  • применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации, принятие компенсирующих мер), в том числе прошедших процедуру оценки соответствия в установленном порядке;
  • учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;
  • резервное копирование информации для возможности восстановления;
  • осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.

6.Права субъектов персональных данных

• 6.1. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, направив соответствующий запрос Оператору по почте или обратившись лично.
• 6.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
  • подтверждение факта обработки персональных данных Оператором;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые Оператором способы обработки персональных данных;
  • наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников/работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 г. № 152 ФЗ «О персональных данных»;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные Федеральным законом от 27.07.2006 г. № 152 ФЗ «О персональных данных» или другими федеральными законами.
• 6.3. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
• 6.4. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27.07.2006 г. № 152 ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций – Роскомнадзор) или судебном порядке.
• 6.5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

7.Роли и ответственность

• 7.1. Права и обязанности Оператора определяются действующим законодательством и соглашениями Оператора.
• 7.2. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных и Центром связи и информационно-образовательных технологий Оператора в пределах их полномочий.
• 7.3. Ответственность лиц, участвующих в обработке персональных данных на основании поручений Оператора, за неправомерное использование персональных данных устанавливается в соответствии с условиями заключенного между Оператором и контрагентом гражданско-правового договора или Соглашения о конфиденциальности информации.
• 7.4. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами, локальными актами, соглашениями Оператора.
• 7.5. Политика разрабатывается ответственным за организацию обработки персональных данных и вводится в действие после утверждения руководителем Оператора. Для поддержания в актуальном состоянии Политика пересматривается по мере необходимости, но не реже одного раза в три года.

8.Сроки обработки (хранения) персональных данных

• 8.1 Началом срока обработки персональных данных считается момент их получения Оператором.
• 8.2 Персональные данные, полученные Оператором, хранятся на бумажных носителях и в электронном виде (в информационных системах персональных данных, на средствах вычислительной техники, а также на съемных магнитных, оптических и других цифровых носителях), с соблюдением условий, обеспечивающих их защиту от несанкционированного доступа.
• 8.3 Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъект персональных данных, не дольше, чем того требуют цели их обработки.
• 8.4 Персональные данные работников Оператора, в том числе родственников работника, используются в течение трудовой деятельности в соответствии с трудовым договором, а также на протяжении установленного законодательством срока хранения личного дела в архиве (75 лет).
• 8.5 Сроки хранения персональных данных на бумажном носителе определяются в соответствии с Федеральным законом от 22 октября 2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации»
• 8.6 Сроки хранения персональных данных, внесенных в информационные системы персональных данных, определяются в соответствии с Перечнем типовых архивных документов, образующихся в научно-технической и производственной деятельности организаций, с указанием сроков хранения, утвержденным приказом Министерства культуры Российской Федерации от 31 июля 2007 г. № 1182, с изменениями, внесенными приказом Министерства культуры Российской Федерации от 28 апреля 2011 г. № 412 .

9.Уточнение, блокирование и уничтожение персональных данных

• 9.1 Целью уточнения персональных данных, в том числе обновления и изменения, является обеспечение достоверности, полноты и актуальности персональных данных, обрабатываемых Оператором.
• 9.2 Уточнение персональных данных осуществляется Оператором по собственной инициативе, по требованию субъекта персональных данных или его представителя, по требованию уполномоченного органа по защите прав субъектов персональных данных в случаях, когда установлено, что персональные данные являются неполными, устаревшими, недостоверными.
• 9.3 Целью блокирования персональных данных является временное прекращение обработки персональных данных до момента устранения обстоятельств, послуживших основанием для блокирования персональных данных.
• 9.4 Блокирование персональных данных осуществляется Оператором по требованию субъекта персональных данных или его представителя, а также по требованию уполномоченного органа по защите прав субъектов персональных данных в случае выявления недостоверных персональных данных или неправомерных действий с ними.
• 9.5 Уничтожение персональных данных осуществляется Оператором:
  • по достижении цели обработки персональных данных;
  • в случае утраты необходимости в достижении целей обработки персональных данных;
  • в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных;
  • по требованию субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных в случае выявления фактов совершения неправомерных действий с персональными данными, когда устранить соответствующие нарушения не представляется возможным.
• 9.6 При уничтожении материальных носителей персональных данных составляется акт об уничтожении носителей, содержащих персональные данные.

10.Заключительные положения

• 10.1 Настоящая Политика является внутренним документом Оператора.
• 10.2 Контроль исполнения требований настоящей Политики осуществляется ответственным за обеспечение безопасности персональных данных.
• 10.3 Ответственность должностных лиц Оператора, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Оператора