ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Автономной некоммерческой организации дополнительного образования «Учебный центр Стартап»


Действующая редакция, утверждена Президентом АНО ДО «Учебный центр Стартап» Хугаевой А.А.


1. НАЗНАЧЕНИЕ И ОБЛАСТЬ ДЕЙСТВИЯ

1.1. Настоящий документ (далее — Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных в Автономной некоммерческой организации дополнительного образования «Учебный центр Стартап» (далее — Стартап, Оператор). Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых лиц.
1.2. Сведения об Операторе:
— полное наименование: Автономная некоммерческая организация дополнительного образования «Учебный центр Стартап»;
— сокращённое наименование: СТАРТАП;
— ОГРН 1111500000699, ИНН 1513010260, КПП 151301001;
— юридический адрес: 362025, Республика Северная Осетия — Алания, г. Владикавказ, ул. Бородинская, д. 14;
— фактический адрес: 362040, Республика Северная Осетия — Алания, г. Владикавказ, ул. Никитина, д. 22, 2 этаж;
— телефоны: +7 (8672) 53-00-65, +7 (8672) 40-55-33, +7 (8672) 40-26-91;
— адрес электронной почты для обращений, в том числе по вопросам обработки персональных данных: my-startup@mail.ru.
1.3. Политика действует бессрочно после утверждения и до её замены новой версией.
1.4. В Политике используются термины и определения в соответствии с их значениями, как они определены в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон).
1.5. Политика распространяется на всех сотрудников Оператора (включая работников по трудовым договорам и физических лиц, выполняющих работы (оказывающих услуги) по гражданско-правовым договорам) и все структурные подразделения Стартап. Требования Политики также учитываются и предъявляются в отношении лиц при необходимости их участия в процессе обработки персональных данных Оператором, а также в случаях передачи им в установленном порядке персональных данных на основании соглашений, договоров, поручений на обработку.

2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Обработка персональных данных Оператором осуществляется на законной и справедливой основе.
2.2. Обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
2.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.5. Содержание и объём обрабатываемых персональных данных соответствует заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки.
2.6. При обработке персональных данных обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры по удалению или уточнению неполных и неточных данных.
2.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем это требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3. КАТЕГОРИИ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Оператор осуществляет обработку персональных данных пользователей сайта https://centerege.com/, обращающихся посредством форм обратной связи и записи на пробные занятия/консультации.
3.2. Категории обрабатываемых персональных данных: фамилия, имя, отчество; номер телефона; выбранные учебные предметы (направления подготовки).
3.3. Цели обработки: организация связи с пользователем, запись на пробное занятие/консультацию, заключение и исполнение договора об оказании образовательных услуг, информирование об услугах Оператора.
3.4. Обработка персональных данных, указанных в п. 3.2, осуществляется на основании согласия субъекта персональных данных (п. 1 ч. 1 ст. 6 Закона), предоставляемого при заполнении соответствующей формы на сайте, а также на основании п. 5 ч. 1 ст. 6 Закона — при заключении и исполнении договора об оказании образовательных услуг.
4. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ4.1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Федеральным законом. Обработка персональных данных допускается в следующих случаях:
— обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
— обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
— обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (в ред. Федерального закона от 21.12.2013 № 363-ФЗ).

5. ДЕЙСТВИЯ И СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка персональных данных включает следующие действия (операции): сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ) при наличии правовых оснований, обезличивание, блокирование, удаление, уничтожение персональных данных.
5.2. Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без использования таких средств, а также смешанным способом.

6. ИСПОЛЬЗОВАНИЕ МЕТРИЧЕСКИХ ПРОГРАММ И COOKIE-ФАЙЛОВ

6.1. Оператор использует на сайте https://centerege.com/ метрическую программу Яндекс Метрика в целях анализа посещаемости и поведения пользователей на сайте.
6.2. Обработка данных, собираемых посредством Яндекс Метрики, осуществляется на основании согласия пользователя, которое считается предоставленным при продолжении использования сайта, о чём пользователь информируется при первом посещении сайта.
6.3. Зарубежные метрические программы) на сайте Оператором не используются.

7. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Оператор не осуществляет трансграничную передачу персональных данных субъектов на территории иностранных государств.
7.2. В случае изменения используемых на сайте технических средств, влекущего возникновение трансграничной передачи персональных данных, Оператор обязуется уведомить уполномоченный орган по защите прав субъектов персональных данных в порядке, предусмотренном ч. 3 ст. 12 Закона, до начала осуществления такой передачи.

8. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Персональные данные, полученные посредством форм на сайте (п. 3.1), хранятся в течение 3 (трёх) лет с даты последнего обращения субъекта либо до отзыва согласия субъектом персональных данных, если иное не предусмотрено законодательством Российской Федерации.
8.2. По истечении срока хранения персональные данные подлежат уничтожению либо обезличиванию.

9. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, направив соответствующий запрос Оператору по адресу электронной почты my-startup@mail.ru или обратившись лично по адресу, указанному в п. 1.2 настоящей Политики.
9.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
9.2.1. Подтверждение факта обработки персональных данных Оператором;
9.2.2. Правовые основания и цели обработки персональных данных;
9.2.3. Цели и применяемые Оператором способы обработки персональных данных;
9.2.4. Наименование и местонахождение Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
9.2.5. Обрабатываемые персональные данные на основании договора с Оператором или на основании Федерального закона;
9.2.6. Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;
9.2.7. Сроки обработки персональных данных, в том числе сроки их хранения;
9.2.8. Порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
9.2.9. Информацию об осуществлённой или о предполагаемой трансграничной передаче данных;
9.2.10. Наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
9.2.11. Иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
9.3. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.4. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор) или в судебном порядке.
9.5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

10. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. Оператор по обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
10.2. Обеспечение безопасности персональных данных достигается, в частности:
10.2.1. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
10.2.2. Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защиты персональных данных;
10.2.3. Применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
10.2.4. Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных;
10.2.5. Учётом машинных носителей персональных данных;
10.2.6. Обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
10.2.7. Регистрацией событий безопасности в случаях, предусмотренных законодательством Российской Федерации и локальными актами Оператора, а также восстановлением персональных данных, обрабатываемых в информационной системе персональных данных;
10.2.8. Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищённости информационных систем персональных данных.