8 (804) 333-0153 - бесплатно (Россия)
8 (800) 333-2953 - бесплатно (Крым)
8 (804) 333-0153 - (Россия)
8 (800) 333-2953 - (Крым)
Поддержка

1. Общие положения

Политика Общества с ограниченной ответственностью «ИНПО «КлассКарт» (далее - Организация) в области обеспечения безопасности персональных данных является документом определяющим стратегию Организации в области обеспечения информационной безопасности и определяет принципы, порядок и условия обработки персональных данных. Действие Политики распространяется на все подразделения Организации, ее подведомственные структуры.

Система защиты персональных данных клиентов и сотрудников Организации построена в полном соответствии с требованиями следующих законодательных и нормативных актов:

  • Статей Конституции Российской Федерации;
  • Трудового Кодекса Российской Федерации;
  • Федерального закона № 152-ФЗ «О персональных данных»;
  • Федерального закона № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
  • Постановления Правительства Российской Федерации №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
  • Приказом ФСТЭК №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

В рамках Политики обеспечения безопасности персональных данных Руководство Организации декларирует следующие положения:

Руководство Организации уделяет первостепенное внимание вопросам обеспечения защиты информации и обеспечения безопасности персональных данных клиентов, и сотрудников Организации;

Стратегической задачей является постоянное развитие и совершенствование системы защиты персональных данных клиентов и сотрудников Организации в соответствиями с требованиями законодательных и нормативных актов.

2. Понятие и состав персональных данных

Сведениями, составляющими персональные данные, является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:

  • сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение.
  • автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
  • распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
  • предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
  • обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
  • информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

В зависимости от субъекта персональных данных, Организация обрабатывает персональные данные следующих категорий субъектов персональных данных:

  • Персональные данные работников Организации, необходимые в связи с трудовыми отношениями и касающиеся конкретного работника.
  • Персональные данные кандидатов на работу в Организации;
  • Персональные данные лиц, имевших ранее трудовые отношения с Организацией;
  • Персональные данные лиц, имеющих гражданско-правовой характер договорных отношений с Организацией;
  • Персональные данные контрагентов Организации, представленные индивидуальными предпринимателями, их работниками; учредителями, руководителями, представителями (лицами, действующими на основании доверенностей) и работниками юридических лиц, имеющих или имевших договорные отношения с Организацией, либо желающих заключить договоры с Организацией;
  • Персональные данные посетителей Организации;
  • Персональные данные учащихся, их законных представителей и сотрудников образовательных учреждений, необходимые Организации для оказания информационно-учетных и иных услуг.
  • Персональные данные лиц, направивших письмо на официальную почту Организации

3. Категории персональных данных

В Организации обрабатываются следующие категории персональных данных:

  • биометрические персональные данные (фотографии субъектов персональных данных);
  • персональные данные общей категории, которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным или к общедоступным персональным данным: фамилия, имя, отчество, адрес, место рождения, дата рождения, месяц рождения, год рождения, степень родства, серия, номер, кем и когда выдан документ удостоверяющий личность, номер телефона, адрес электронной почты, класс/курс/группа обучающегося в образовательном учреждении, данные об успеваемости, посещаемости, домашних заданиях, расписании занятий обучающегося, данные о денежных средствах, находящихся на карте обучающегося, и о расходовании указанных денежных средств.
  • общедоступные персональные данные., в том числе: фамилия, имя, отчество руководителя образовательного учреждения, должность.

4. Принципы обработки персональных данных

Обработка персональных данных осуществляется с учетом необходимости обеспечения защиты прав и свобод клиентов и работников Организации, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

  • Обработка персональных данных осуществляется на законной и справедливой основе;
  • Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
  • Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
  • Обработке подлежат только персональные данные, которые отвечают целям их обработки;
  • Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки;
  • Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
  • При обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
  • Принимаются необходимые меры либо обеспечиваться их принятие по удалению или уточнению неполных или неточных персональных данных;
  • Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

5. Цели обработки персональных данных

Организация осуществляет обработку персональных данных в следующих целях:

  • Оказания комплекса услуг по предоставлению информации законным представителям учащихся общеобразовательных учреждений о посещаемости, успеваемости и других аспектах процесса образования;
  • Обеспечения процесса безналичных расчетов за школьное питание;
  • Оказание иных услуг в рамках Договора об оказании информационно-учетных и иных услуг;
  • Организации кадрового учета Организации, обеспечения соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам; ведения кадрового делопроизводства, содействия работникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных».

6. Условия обработки персональных данных

Обработка персональных данных в Организации  допускается в следующих случаях:

  • обработка персональных данных  осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
  • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
  • обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
  • осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных, либо по его просьбе.
  • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом,
  • а также обработка персональных данных Организации возможна в иных случаях, предусмотренных федеральным законодательством.

Организация вправе поручить обработку персональных данных другому лицу только с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. При этом Организация обязывает лицо, осуществляющее обработку персональных данных по поручению, соблюдать принципы и правила обработки персональных данных, предусмотренные федеральным законом.

В случае если Организация поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Организация. Лицо, осуществляющее обработку персональных данных по поручению Организации, несет ответственность перед Организацией.

Организация обязуется и обязывает иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные  без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

7. Прекращение обработки персональных данных

Обработка персональных данных прекращается в следующих случаях:

  • достижение целей обработки персональных данных;
  • истечение срока обработки персональных данных, предусмотренного федеральным законодательством, договором или согласием субъекта персональных данных на обработку его персональных данных;
  • при отзыве субъектом персональных данных согласия на обработку его персональных данных, в случаях, не противоречащих требованиям федерального законодательства.

8. Передача персональных данных

Организация не предоставляет и не раскрывает сведения, содержащие персональные данные клиентов, третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.

9. Права субъектов персональных данных

Субъект персональных данных имеет право:

  • Требовать в установленной форме уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
  • Требовать перечень своих персональных данных, обрабатываемых Организацией и источник их получения;
  • Получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
  • Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
  • На защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

10. Меры по обеспечению защиты персональных данных

Организация предпринимает необходимые организационные и технические меры по защите персональных данных, в частности:

  • Назначены лица, ответственные за организацию обработки и обеспечение безопасности персональных данных.
  • Лица, ведущие обработку персональных данных, проинструктированы и ознакомлены с нормативными правовыми актами, регламентирующими порядок работы и защиты персональных данных.
  • Разграничены права доступа к обрабатываемым персональным данным,
  • В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям проводятся периодические проверки условий обработки персональных данных.
  • Помимо вышеуказанных мер, осуществляются меры технического характера, направленные на:
    • Предотвращения несанкционированного доступа к системам, в которых хранятся персональные данные;
    • Резервирования и восстановления персональных данных, работоспособности технических средств и программного обеспечения, средств защиты информации в информационных системах персональных данных модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
    • Разработано и внедрено Положение о защите персональных данных
    • Иные необходимые меры безопасности.

11. Нарушение политики и ответственность

Организация несет ответственность за соответствие обработки и обеспечение безопасности персональных данных законодательству. Все работники Организации, осуществляющие обработку персональных данных, несут ответственность за соблюдение настоящей Политики и иных локальных актов Организации по вопросам обработки и обеспечению безопасности персональных данных.

Любые нарушения настоящей Политики и иных локальных актов Организации по вопросам обработки и обеспечению безопасности персональных данных будут расследоваться в соответствии с действующими в Организации  процедурами.

Лица, признанные виновными в нарушении установленных порядка и процедур обработки и обеспечения безопасности персональных данных, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством Российской Федерации.

12. Заключительные положения

Настоящая Политика является общедоступным документом и подлежит размещению на официальном сайте.

Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.