Политика в отношении обработки персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Политика в отношении обработки персональных данных (далее — Политика) индивидуального предпринимателя Черкасовой Инги Сергеевны (далее – Оператор) определяет основные цели, принципы и условия обработки персональных данных, обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также применяемые у Оператора меры по защите персональных данных. Политика регулирует отношения между Оператором и физическими лицами, персональные данные которых обрабатываются Оператором.

1.2. Основные понятия, используемые в настоящей Политике:

Персональные данные – любая информация, относящаяся к субъекту персональных данных.

Субъект персональных данных – физическое лицо, персональные данные которого обрабатываются Оператором.

Оператор – индивидуальный предприниматель Черкасова Инга Сергеевна, организующий и осуществляющий обработку персональных данных, а также определяющий цели и содержание обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность персональных данных – обязанность Оператора и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства, органу власти иностранного государства или иностранному юридическому лицу.

Сайт – сайт Оператора, расположенный в информационно-телекоммуникационной сети Интернет на доменном имени https://deutsch-wolgograd.ru/ со всеми его подразделами.

Формы обратной связи – формы «Запись на курсы», «Запись на экзамен»  на сайте Оператора.

1.3. Политика разработана в соответствии с требованиями законодательства в области обработки и защиты персональных данных, основанного на Конституции РФ и состоящего из Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (далее – ФЗ N 152), иных федеральных законах и подзаконных нормативных правовых актах, регулирующих вопросы обработки и защиты персональных данных.

1.4. В целях реализации положений Политики Оператором разрабатываются и могут быть разработаны локальные нормативные акты и иные документы, регламентирующие вопросы обработки персональных данных у Оператора. Оператор периодически актуализирует Политику и вправе в одностороннем порядке в любой момент времени изменять ее положения. Оператор рекомендует регулярно проверять содержание Политики на предмет ее возможных изменений.

1.5. Действующая редакция Политики, являющегося публичным документом, доступна на сайте Оператора. Уведомление о внесении изменений в Политику осуществляется путем размещения новой редакции Политики на сайте Оператора.

1.6. Субъект персональных данных имеет право на:

• получение информации, касающейся обработки его персональных данных, в том числе содержащей подтверждение факта обработки ПД Оператором; правовые основания и цели обработки персональных данных; применяемые Оператором способы обработки персональных данных; наименование и место нахождения Оператора; сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании закона ФЗ N 152; обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; сроки обработки персональных данных, в том числе сроки их хранения; порядок осуществления субъектом персональных данных прав, предусмотренных законом ФЗ N 152; информацию об осуществленной или о предполагаемой трансграничной передаче данных; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу; информацию о способах исполнения оператором обязанностей по принятию мер, направленных на обеспечение выполнения Оператором обязанностей, предусмотренных законом ФЗ N 152; иные сведения, предусмотренные законом ФЗ N 152 или другими федеральными законами;
• обращение к Оператору и направление ему запросов с целью уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• обжалование действий или бездействия Оператора;
• отзыв согласия на обработку персональных данных.

1.7. Оператор персональных данных обязан:

• при сборе персональных данных предоставить субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных;
• при отказе субъекта в предоставлении персональных данных разъяснить субъекту последствия такого отказа;
• принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
• при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации;
• опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему политику Оператора в отношении обработки персональных данных;
• давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных.

1.8. Оператор персональных данных персональных данных вправе:

• предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
• отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;
• использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством.

2. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.2. Цели обработки персональных данных происходят в том числе из анализа правовых актов, регламентирующих деятельность оператора, целей фактически осуществляемой оператором деятельности и конкретных бизнес-процессов оператора.

2.3. К целям обработки персональных данных оператора относятся:

• обеспечение законодательства РФ в сфере образования, в частности – прием заявок на обучение; прием заявок на участие в экзаменах; подготовку, заключение и исполнение договоров возмездного оказания услуг; выдачи документов об обучении, уровне владения иностранным языком, результатах участия в экзаменах, оплате образовательных услуг; обеспечение информационной открытости и доступности информации на сайте в информационно-телекоммуникационной сети Интернет;
• подготовка, заключение и исполнение гражданско-правовых договоров;
• ведение кадрового и бухгалтерского учета.

3. ПРАВОВЫЕ ОСНОВАНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Правовым основанием обработки персональных данных являются:

• совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных: Конституция Российской Федерации; Трудовой кодекс Российской Федерации; Гражданский кодекс Российской Федерации; Налоговый кодекс Российской Федерации; Федеральный закон от 29 декабря 2012 г. N 273-ФЗ «Об образовании в Российской Федерации»; нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора;
• договоры, заключаемые между Оператором и субъектом персональных данных;
• согласие субъекта на обработку персональных данных;
• соглашения поручения на проведение экзаменов;
• договоры с третьими лицами, являющимися обработчиками персональных данных.

3.2. Обработка персональных данных допускается в следующих случаях:

• обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
• обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти и исполнительных органов государственной власти субъектов Российской Федерации;
• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
• обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 ФЗ N 152, при условии обязательного обезличивания персональных данных;
• осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

4. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональных данных не должны быть избыточными по отношению к заявленным целям их обработки.

4.2. К категориям субъектов персональных данных относятся:

4.2.1. Обучающиеся и их законные представители.

В данной категории субъектов оператор обрабатывает персональные данные с целью подготовки, заключения и исполнения договоров возмездного оказания услуг, выдачи документов об обучении, уровне владения иностранным языком, оплате образовательных услуг.

В данной категории субъектов персональных данных осуществляется обработка следующих категорий персональных данных: фамилия, имя, отчество; год рождения, месяц рождения, дата рождения; место рождения; пол; гражданство; адрес места жительства; адрес регистрации; данные документа, удостоверяющего личность; данные, содержащиеся в свидетельстве о рождении (для несовершеннолетних обучющихся); номер телефона; адрес электронной почты; ИНН; номер расчетного счета; уровень владения иностранным языком.

Кроме того, в данной категории субъектов Оператор может с целью информирования неограниченного круга лиц о своих услугах на своем сайте, в группах Оператора в социальных сетях, указанных на его сайте, и печатных информационных материалах осуществлять использование и распространение следующих персональных данных субъектов персональных данных: портретное фото-видеоизображения, фамилия, имя, уровень владения иностранным языком. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

4.2.2. Клиенты, являющиеся заказчиками и потребителями услуг по проведению экзаменов.

В данной категории субъектов оператор обрабатывает персональные данные с целью подготовки, заключения и исполнения договоров возмездного оказания услуг, выдачи документов об уровне владения иностранным языком, результатах участия в экзаменах, осуществления контроля подлинности полученного по результатам сдачи экзамена документа (сертификата), подтверждения подлинности выданного документа (сертификата) по запросу от государственных или иных учреждений, которым документ был предоставлен как свидетельство об уровне владения немецким языком.

В данной категории субъектов персональных данных осуществляется обработка следующих категорий персональных данных: фамилия, имя, отчество; год рождения, месяц рождения, дата рождения; место рождения; пол; гражданство; адрес места жительства; адрес регистрации; данные документа, удостоверяющего личность; данные, содержащиеся в свидетельстве о рождении (для несовершеннолетних обучющихся); номер телефона; адрес электронной почты; номер расчетного счета; фотоизображение лица; информация о результатах сдачи экзамена; информация о документе (сертификате), полученном по результатам сдачи экзамена.

4.2.3. Посетители сайта, отправляющие заявки на обучение через форму обратной связи на сайте Оператора.

В данной категории субъектов оператор обрабатывает персональные данные с целью приема заявок на обучение.

В данной категории субъектов персональных данных осуществляется обработка следующих категорий персональных данных: фамилия, имя, номер телефона, адрес электронной почты, уровень владения иностранным языком.

4.2.4. Посетители сайта, отправляющие заявки на участие в экзамене через форму обратной связи на сайте Оператора.

В данной категории субъектов оператор обрабатывает персональные данные с целью приема заявок на участие в экзаменах и исполнения договоров возмездного оказания услуг.

В данной категории субъектов персональных данных осуществляется обработка следующих категорий персональных данных: фамилия, имя; год рождения, месяц рождения, дата рождения; место рождения; номер телефона; адрес электронной почты.

4.2.5. Субъекты персональных данных, предоставившие с целью получения документа о результатах экзамена согласие на трансграничную передачу персональных данных, и их законные представители.

В данной категории субъектов оператор обрабатывает персональные данные с целью исполнения договоров возмездного оказания услуг и выдачи документов о результатах участия в экзаменах.

В данной категории субъектов персональных данных осуществляется обработка следующих категорий персональных данных: фамилия, имя; год рождения, месяц рождения, дата рождения; место рождения; результаты экзаменов; информация о документе, полученном по результатам сдачи экзамена.

4.2.6. Работники Оператора, бывшие работники, кандидаты на замещение вакантных должностей.

В данной категории субъектов оператор обрабатывает персональные данные с целью ведения кадрового и бухгалтерского учета, перечисления заработной платы и исполнения договоров возмездного оказания услуг, заключаемыми с клиентами.

В данной категории субъектов персональных данных осуществляется обработка следующих категорий персональных данных:

а) фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования организации); сведения об аттестации, повышении квалификации и профессиональной переподготовке; сведения об использованных отпусках; сведения об имеющихся наградах, поощрениях, почетных званиях; отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; сведения о знании иностранных языков; семейное положение; состав семьи; сведения о социальных льготах; фото-видеоизображение лица;

б) специальные категории персональных данных – сведения о судимости; сведения о состоянии здоровья, необходимые работодателю для определения пригодности для выполнения поручаемой работы и предупреждения профессиональных заболеваний, предусмотренные действующим законодательством Российской Федерации.

4.2.7. Исполнители по договорам гражданско-правового характера, по которым Оператор выступает в качестве заказчика услуг.

В данной категории субъектов оператор обрабатывает персональных данных с целью подготовки, заключения и исполнения гражданско-правовых договоров, ведения бухгалтерского учета и исполнения договоров возмездного оказания услуг, заключаемых с клиентами.

В данной категории субъектов персональных данных осуществляется обработка следующих категорий персональных данных:

а) фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования организации); сведения об образовании; сведения об аттестации, повышении квалификации и профессиональной переподготовке; сведения о знании иностранных языков; фото-видео изображение лица;

б) специальные категории персональных данных – сведения о судимости.

4.2.8. Преподаватели, являющиеся работниками Оператора или исполнителями по договорам гражданско-правового характера.

Кроме целей обработки и категорий персональных данных, указанных в пунктах 4.2.5 и 4.2.6, в данной категории субъектов оператор осуществляет распространение (передачу, предоставление) персональных данных посредством веб-страницы https://deutsch-wolgograd.ru/ с целью соблюдения части 2 статьи 29 Федерального закона от 29 декабря 2012 г. № 273- ФЗ «Об образовании в Российской Федерации» и Приказа Федеральной службы по надзору в сфере образования и науки от 4 августа 2023 г. N 1493
«Об утверждении Требований к структуре официального сайта образовательной организации в информационно-телекоммуникационной сети «Интернет» и формату представления информации».

В данной категории субъектов персональных данных осуществляется обработка следующих категорий персональных данных: фамилия, имя, сведения о профессиональном образовании, ученая степень (при наличии), ученое звание (при наличии), сведения о повышении квалификации, сведения о профессиональной переподготовке (при наличии), сведения о продолжительности опыта работы в профессиональной сфере, соответствующей деятельности по реализации дополнительных общеобразовательных программ по иностранным языкам, занимаемая должность, фотоизображение лица.

Кроме того, в данной категории субъектов Оператор может с целью информирования неограниченного круга лиц о своих услугах на своем сайте, в группах Оператора в социальных сетях, указанных на его сайте, и печатных информационных материалах осуществлять использование и распространение следующих персональных данных субъектов персональных данных: портретное фото-видеоизображение, фамилия, имя, занимаемая должность, сведения о повышении квалификации. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных законом ФЗ N 152.

5.2. Обработка персональных данных субъекта персональных данных осуществляется с его согласия на обработку персональных данных, а также без такового, если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем или в иных случаях, предусмотренных законодательством Российской Федерации.

5.3. Оператор осуществляет обработку персональных данных следующими способами: неавтоматизированная обработка, автоматизированная обработка, с передачей по сети Интернет, без передачи по сети Интернет, смешанная обработка.

5.4. Обработка персональных данных Оператором ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки.

5.5. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

5.6. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

5.7. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

5.8. Оператор осуществляет обработку персональных данных в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных.

5.9. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения в соответствии с пунктами 4.2.1 и 4.2.7 настоящей Политики, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

5.10. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению.

5.11. Передача персональных данных третьему лицу осуществляется только с согласия субъекта персональных данных или в случаях, прямо предусмотренных законодательством Российской Федерации. Оператор раскрывает информацию третьим лицам только в случаях, предусмотренных Политикой или применимым законодательством Российской Федерации, и только в объёме, необходимом исходя из цели раскрытия.

5.12. Оператор вправе передавать персональные данные без согласия субъекта персональных данных:

• государственным органам, в том числе органам дознания и следствия, по основаниям, предусмотренным действующим законодательством Российской Федерации;
• в иных случаях, предусмотренных действующим законодательством Российской Федерации.

5.13. Оператор вправе поручить обработку персональных данных третьему лицу на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законом ФЗ N 152, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных законом ФЗ N 152.

5.14. Для каждого лица, осуществляющего обработку персональных данных по поручению Оператора, определены перечень обрабатываемых персональных данных, цели их обработки, перечень действий (операций), которые будут совершаться с персональными данными; обязанности лица, осуществляющего обработку персональных данных по поручению Оператора, по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке, а также перечень принимаемых мер по обеспечению защиты обрабатываемых им персональных данных, включая требование об уведомлении Оператора об инцидентах с персональными данными; обязанность по запросу Оператора в течение срока действия поручения на обработку персональных данных предоставлять Оператору документы и информацию, подтверждающую принятие мер и соблюдение в целях исполнения поручения Оператора требований, установленных ФЗ N 152.

5.15. Перечень третьих лиц, обрабатывающих персональные данные субъекта по поручению Оператора или получающих данные субъекта от Оператора, с указанием их местонахождения и выполняемых ими функций подлежит раскрытию в соответствующем согласии на обработку персональных данных.

5.16. К третьим лицам, обрабатывающим персональные данные субъекта по поручению Оператора или получающих данные субъекта от Оператора, для реализации целей, указанных в статье 2 настоящей Политики, относятся:

5.16.1. ООО «Мой класс» (ОГРН 1256600031830, ИНН 6670530460, адрес: 620062, Россия, г. Екатеринбург, ул. Первомайская, д. 76, пом. 135). Данное третье лицо обрабатывает следующие персональные данные следующих категорий субъектов персональных данных в следующих целях:

5.16.2. ООО «Яндекс.Облако» (ОГРН 1187746678580, ИНН 7704458262, адрес: 119021, г. Москва, ул. Льва Толстого, д. 16, пом. 528). Данное третье лицо обрабатывает следующие персональные данные следующих категорий субъектов персональных данных в следующих целях:

5.16.3. ООО «СДЭК-Глобал» (ОГРН 1157746448463, ИНН 7722327689, 630007, г. Новосибирск, ул. Кривощековская, д. 15, корп. 1, этаж 1,2). Данное третье лицо обрабатывает следующие персональные данные следующих категорий субъектов персональных данных в следующих целях:

5.16.4. ПАО Сбербанк (ОГРН 1027700132195, ИНН 7707083893, адрес: Россия, Москва, 117312, ул. Вавилова, д. 19). Данное третье лицо обрабатывает следующие персональные данные следующих категорий субъектов персональных данных в следующих целях:

5.16.5. ООО «Центр Облачных Технологий» (ОГРН 1217700214247, ИНН 9702032708, адрес: 300000, Тульская обл., г. Тула, ул. Жуковского, дом №58, пом. 602) в качестве администратора интернет-сайта https://1cfresh.com и его сервисов. Данное третье лицо обрабатывает следующие персональные данные следующих категорий субъектов персональных данных в следующих целях:

5.16.6. Немецкий культурный центр имени Гёте при Германском Посольстве в Москве (ИНН 9909056286, КПП 773860002, адрес: 125040, г. Москва, Ленинградский проспект, 15, стр. 1) и Центральное правление Гёте-Института в г. Мюнхене (Германия) (Goethe Institut e.V. Адрес: Zentrale München, Oskar-von-Miller-Ring 18, 80333 München). Данные третьи лица обрабатывают следующие персональные данные следующих категорий субъектов персональных данных в следующих целях:

5.17. При осуществлении хранения персональных данных Оператор персональных данных использует базы данных, находящиеся на территории Российской Федерации.

5.18. В случае трансграничной передачи персональных данных субъект персональных данных дает на это письменное согласие. Трансграничная передача персональных данных осуществляется Оператором в Центральное правление Гёте-Института в г. Мюнхене (Германия) (Goethe Institut e.V. Адрес: Zentrale München, Oskar-von-Miller-Ring 18, 80333 München). Оператор осуществляет трансграничную персональных данных в соответствии с требованиями действующего законодательства Российской Федерации. Оператор осуществляет трансграничную передачу следующих персональных данных: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; информация о результатах экзаменов; информация о документе, полученном по результатам сдачи экзамена.

6. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законом ФЗ N 152 и принятыми в соответствии с ним нормативными правовыми актами. Состав и перечень мер оператор определяет самостоятельно.

6.2. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

6.3. Меры по обеспечению безопасности персональных данных при их обработке включают:

• издание локальных актов Оператора по вопросам обработки персональных данных;
• назначение лица, ответственного за организацию обработки персональных данных
• осуществление обработки персональных данных уполномоченными работниками с обязательным принятием мер, исключающих возможность ознакомления с персональными данными посторонних лиц, в том числе работников Оператора, не уполномоченных на обработку персональных данных;
• ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных и документами, определяющими порядок обработки персональных данных у Оператора;
• определение возможных угроз безопасности персональных данных при их обработке и принятие мер по защите персональных данных от возможных угроз безопасности;
• учет машинных носителей персональных данных;
• хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ;
• установление индивидуальных паролей доступа к информационной системе персональных данных;
• применение антивирусного программного обеспечения с регулярно обновляемыми базами с целью обнаружения, предупреждения и ликвидации последствий компьютерных атак;
• обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
• внутренний контроль условий обработки персональных данных.

7. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

7.1. Оператор обязан сообщить в порядке, предусмотренном статьей 14 закона ФЗ N 152, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

7.2. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

7.3. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

7.4. Оператор обязан прекратить обработку персональных данных или обеспечить прекращение обработки персональных данных лицом, действующим по поручению оператора:

• в случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, в срок, не превышающий трех рабочих дней с даты этого выявления;
• в случае отзыва субъектом персональных данных согласия на обработку его персональных данных;
• в случае достижения цели обработки персональных данных и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

7.5. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

• в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
• в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

7.6. В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор в срок, не превышающий десяти рабочих дней с даты получения им соответствующего требования, обязан прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных законом ФЗ N Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

7.7. После истечения срока нормативного хранения документов, содержащих персональные данные субъекта, или при наступлении иных законных оснований документы подлежат уничтожению.

7.8. Оператор для этих целей создает экспертную комиссию и проводит экспертизу ценности документов.

7.9. По результатам экспертизы документы, содержащие персональные данные субъекта и подлежащие уничтожению:

• на бумажном носителе – уничтожаются путем измельчения в шредере;
• в электронном виде – стираются с информационных носителей либо физически уничтожаются сами носители, на которых хранится информация.

7.10. В случае если обработка персональных данных осуществлялась оператором без использования средств автоматизации, документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является акт об уничтожении персональных данных.

7.11. В случае если обработка персональных данных осуществлялась оператором с использованием средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных.