ПОЛОЖЕНИЕ О ЗАЩИТЕ ПРАВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ КРООДО «ЦЕНТР «ИНИЦИАТИВА»

1.Общие положения
1.1. Настоящее Положение о защите прав субъектов персональных данных КРООДО «Центр Инициатива» (далее — Положение) принято Карельской региональной общественной организацией дополнительного образования «Центр «Инициатива» (ИНН 1001047155, почтовый адрес: 185035, Республика Карелия, г. Петрозаводск, ул. Гоголя (Центр р-н), д. 7, далее — КРООДО «Центр «Инициатива», Оператор) в соответствии с положениями Конституции Российской Федерации, Трудового кодекса РФ, Федерального закона «Об информации, информационных технологиях и о защите информации» №149-ФЗ от 27.07.2006, Федерального закона «О персональных данных» №152-ФЗ от 27.07.2006 и иными применимыми нормативными правовыми актами.
1.2. Настоящий документ является общедоступным документом, определяющим политику Оператора в отношении обработки персональных данных, сведений о реализуемых Оператором требованиях к защите персональных данных, обрабатываемых Оператором.
1.3. Настоящее полложение распространяется на всех лиц, привлекаемых Оператором к обработке персональных данных, включая работников по трудовым договорам и иных лиц, привлекаемых Оператором на основании гражданско-правовых договоров.

2. Основные понятия, используемые в Положении.
2.1. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
2.2. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
2.3. веб-сайт — совокупности графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в информационно-телекоммуникационной сети «Интернет» по сетевому адресу: www.centrinit.ru
2.4. Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.5. Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных, такому как работник, обучающийся, пользователь веб-сайта, иное лицо, предоставившее Оператору персональные данные в целях, предусмотренных настоящим Положением;
2.6. Пользователь веб-сайта — человек, который посетил ресурс или совершил на нем какое-либо действие.
2.7. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
2.8. Работники — лица, заключившие трудовой договор с Оператором.
2.9. Распространение персональных данных – действия, направленные на раскрытие персональных данных субъектов персональных данных неопределенному кругу лиц;
2.10. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
2.11. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и/или в результате которых уничтожаются материальные носители персональных данных.

3. Обрабатываемые персональные данные и формируемый в связи с обработкой персональных данных документооборот:
3.1. Оператор обрабатывает следующие виды персональных данных работников:
3.1.1. Фамилия, имя, отчество;
3.1.2. ИНН;
3.1.3. Сведения о регистрации работника в системе индивидуального (персонифицированного) учета;
3.1.4. Адрес регистрации, фактический адрес;
3.1.5. Номер телефона;
3.1.6. Фотографическое изображение субъекта персональных данных;
3.1.7. Сведения об образовании и/или квалификации;
3.1.8. Сведения о трудовой деятельности: трудовом и общем стаже, о предыдущем месте работы;
3.1.9. Сведения о составе семьи (сведения о детях, месте их обучения, сведения о состоянии здоровья детей и др. родственников);
3.1.10. Сведения о паспортных данных или о данных иного документа, удостоверяющего личность работника;
3.1.11. Сведения о воинском учете;
3.1.12. Сведения о заработной плате сотрудника;
3.1.13. Сведения о социальных льготах;
3.1.14. Результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;
3.1.15. Сведения о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям;
3.1.16. Сведения о состоянии здоровья работника (инвалидности, беременности и пр.)
3.1.17. контактные данные, требуемые для установления соединения с помощью аудио/видеоплатформ Обучаемыми (в случае осуществения работ дистанционным способом).
3.1.18. Прочие сведения, которые могут идентифицировать человека.
3.2. Если иное не установлено Трудовым кодексом, другими федеральным законами, при заключении трудового договора лицо, поступающее на работу, предъявляет работодателю:
3.2.1. Паспорт или иной документ, удостоверяющий личность;
3.2.2. Трудовую книжку и (или) сведения о трудовой деятельности (СТД-Р или СТЖ-ПФР), за исключением случаев, когда трудовой договор заключается работником впервые;
3.2.3. Документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
3.2.4. Свидетельство ИНН (при его наличии у работника).
3.2.5. Документы воинского учета – для военнообязанных и лиц, подлежащих призыву на военную службу;
3.2.6 Документ об образовании и (или квалификации – при поступлении на работу, требующую специальных знаний или специальной подготовки;
3.2.7. Справку, выданную органами МВД России о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям;
3.2.8. Личная медицинская книжка;
3.2.9. Дополнительные документы – в отдельных случаях, предусмотренных Трудовым кодексом РФ, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ.
3.3. Оператором создаются и хранятся следующие группы документов, содержащие данные о работниках:
3.3.1. Документы, содержащие персональные данные работников:
3.3.1. комплекс документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;
3.3.2. подлинники и копии приказов по кадрам;
3.3.3. личные дела, трудовые книжки, сведения о трудовой деятельности работников (СТД-Р);
3.3.4. дела, содержащие материалы внутренних расследований;
3.3.5. справочно-информационный банк данных п персоналу (картотеки, журналы);
3.3.6. подлинники и копии отчетных, аналитических и справочных материалов, передаваемых
руководству Оператора;
3.3.7. копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, иные организации в случае, если предоставление таких сведений предусмотрено законодательством РФ, субъектов РФ;
3.3.8. иные документы, содержащие сведения о работнике, нахождение которых в личном деле работника необходимо для документального оформления трудовых отношений с работником.
3.4. Оператор обрабатывает следующие персональные данные обучающихся, их законных представителей:
3.4.1. фамилия, имя, отчество;
3.4.2. адрес регистрации, фактический адрес проживания;
3.4.3. адрес электронной почты;
3.4.4. номер телефона;
3.4.5. фотографическое изображение субъекта персональных данных;
3.4.6. контактные данные, требуемые для установления соединения посредством аудио/видеоплатформ с преподавателем (в случае получения услуг дистанционным способом).
3.5. Оператором создаются и хранятся следующие виды документов, содержащие персональные данные обучающихся и их законных представителей:
3.5.1. Договор на оказание услуг.
3.6. Оператор также обрабатывает следующие персональные данные посетителей ве
б-сайта:
3.6.1. фамилия, имя, отчество;
3.6.2 адрес электронной почты;
3.6.3. номер телефона;
3.6.4. обезличенные персональные данные о посетителях, в том числе файлы «Cookie» сбор и обработка которых производится с помощью сервисом интернет-статистики (ЯНДЕКС. Метрика Google Analytics и др.)
3.7. Оператор обрабатывает персональные данные пользователя только в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы, расположенные на веб-сайте, заполняя соответствующие формы и/или отправляя свои персональные данные Оператору, Пользователь выражает свое согласие с настоящим Положением.
Оператор обрабатывает обезличенные персональные данные о Пользователе только в случае, если это разрешено в настойках браузера Пользователя.

4.Цели обработки персональных данных:
4.1. Общие цели обработки персональных данных работников:
4.1.1. осуществление и исполнение, возложенных законодательством РФ на Оператора функций, полномочий и обязанностей на основании ст.ст. 23,24 Конституции РФ, Федеральным законом «О персональных данных» №152-ФЗ от 27.07.2006, Федерального закона «Об информации, информационных технологиях и о защите информации» №149-ФЗ от 27.07.2006, иными нормативными правовыми актами.
4.2. Цели обработки персональных данных работников:
4.2.1. осуществление и исполнение, возложенных законодательством РФ на Оператора функций, полномочий и обязанностей на основании Трудового кодекса, законодательства РФ в сфере труда и занятости;
4.2.2. содействия работникам в их трудоустройстве, обучении и продвижении по службе, предоставления доступа к осуществлению конкретных видов работ;
4.2.3. обеспечение личной безопасности работников;
4.2.4. обеспечение сохранности имущества Оператора;
4.2.5. контроль качества и количества выполняемой работником работы.
4.3. Цели обработки персональных данных обучающихся, их представителей и посетителей сайта:
4.3.1. установление с пользователем сайта, обучающимся, его представителем обратной связи, включая направление уведомлений, запросов, касающихся использования веб-сайта;
4.3.2. предоставления информации о статусе исполнения договора, осуществление e-mail-рассылки в рекламных целях с согласия пользователя, а также в целях;
4.3.3. обезличенные данные Пользователей веб-сайта, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях пользователей на сайте, улучшениях качества сайта и его содержания.
4.4. Оператор не имеет права получать и обрабатывать персональные данные субъектов персональных данных об их членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законом.
4.5. Оператор не имеет право получать, обрабатывать персональные данные субъектов персональных данных об их политических, религиозных и иных убеждениях, частной жизни без письменного согласия субъекта персональных данных, его представителя.

5. Правовые основания обработки персональных данных
5.1. Обработка персональных данных осуществляется Оператором на законной основе, основными основаниями обработки персональных данных являются:
— Конституция РФ;
— Гражданский кодекс РФ;
— Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
— Федеральным законом №152-ФЗ от 27.07.2006 «О персональных данных»;
— Договоры и соглашения Оператора;
— согласия субъектов персональных данных на их обработку.

6. Основные условия проведения обработки персональных данных.
6.1. Обработка персональных данных осуществляется с согласия субъектов персональных данных на их обработку, а также без такового в случаях, предусмотренных законодательством РФ;
6.2. Оператор осуществляет как автоматизированную, так и не автоматизированную обработку персональных данных.
6.3. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящем Положением, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке.
Оператор обязан предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
Оператора вправе разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
Оператор не вправе запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
6.4. Лицо, осуществляющее обработку персональных данных, руководствуется в своей деятельности Федеральным законом «О персональных данных» №152-ФЗ от 27.07.2006, другими требованиями законодательства РФ в области обработки и защиты персональных данных и настоящем Положением.
6.5. Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам, не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законом.
6.6. Оператор обрабатывает обезличенные персональные данные о пользователей веб-сайта в случае если это разрешено в настройках браузера Пользователя (включая сохранение файлов «cookie» и использование технологии JavaScript).

7. Сбор, получение персональных данных
7.1. Все персональные данные совершеннолетнего субъекта персональных данных следует получать у него самого. Если персональные данные возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
7.2. Оператор должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение.
7.3. Все персональные данные несовершеннолетнего обучающегося в возрасте до 14 лет (малолетнего) предоставляются его родителями (законными представителями). Если персональные данные обучающегося возможно получить только у третьей стороны, то родители (законные представители) обучающегося должны быть уведомлены об этом заранее. От них должно быть получено письменное согласие на получение персональных данных от третьей стороны. Родители (законные представители) обучающегося должны быть проинформированы о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.
7.4. Персональные данные несовершеннолетнего обучающегося в возрасте старше 14 лет предоставляются самим обучающимся с письменного согласия своих законных представителей — родителей, усыновителей или попечителя. Если персональные данные обучающегося возможно получить только у третьей стороны, то обучающийся, должен быть уведомлен об этом заранее. От него и его родителей (законных представителей) должно быть получено письменное согласие на получение персональных данных от третьей стороны. Обучающийся и его родители (законные представители) должны быть проинформированы о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.
7.5. Работник представляет Оператору достоверные сведения о себе. Оператор проверяет достоверность сведений, сверяя данные, представленные работником, с имеющимися у работника документами. Представление работником подложных документов или ложных сведений при поступлении на работу является основанием для расторжения трудового договора.
7.6. Письменное согласие работника на обработку своих персональных данных должно включать в себя:
— фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
— наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
— цель обработки персональных данных;
— перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
— перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
— срок, в течение которого действует согласие, а также порядок его отзыва.

8. Хранение персональных данных
8.1. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных
данных, если срок их хранения не установлен федеральных законом, договором или согласием на обработку персональных данных.
8.2. Персональные данные работников хранятся и обрабатываются лицом/ лицами , осуществляющим кадровое делопроизводство.
8.3. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде – локальной компьютерной сети и компьютерной программе «1С: Зарплата и кадры» или ее аналоге.
8.4. Хранение персональным данных осуществляется в условиях, исключающих доступ к ним лиц, не указанных в приказе, которым закреплен перечень лиц, имеющих право доступа к конкретным видам персональных данных.

9. Передача персональных данных
9.1. Оператор вправе передавать персональные данные субъектов персональных данных третьим лицам в следующих случаях:
9.1.1. субъект персональных данных выразил свое согласие на такие действия;
9.1.2. передача персональных данных предусмотрена действующим законодательством РФ.
9.2. Передача персональных данных субъекта персональных данных его представителям может быть осуществлена только в том объеме, который необходим для выполнения указанными представителями их функций.
9.3. На основании заключенного с Обучающимся договора оператор вправе осуществлять трансграничную передачу данных. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в ом, что иностранным государством, на территорию которого предполагается осуществить передачу персональных данных, обеспечивается надежная защита прав субъектов персональных данных.
9.4. Трансграничная передача персональных данных на территории иностранных государств, не отвечающих требованиям пункта 9.3. может осуществляться только в случае наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является субъект персональных данных.

10. Распространение персональных данных
10.1.Письменное согласие субъекта персональных данных, разрешенных для распространения, оформляется отдельно от других согласий на обработку его персональных данных.
10.2. Письменное согласие на обработку персональных данных, разрешенных для распространения, работник предоставляет работодателю лично либо в форме электронного документа, подписанного электронной подписью с использованием информационной системы Роскомнадзора.

11. Защита персональных данных.
11.1. Оператор принимает необходимые правовые, организационные и технические меры ждя защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
— определяет угрозы безопасности персональных данных при их обработке;
— принимает локальные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
— назначает лицо, ответственное за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
— создает необходимые условия для работы с персональными данными;
— организует учет документов, содержащих персональные данные;
— организует работу с информационными системами, в которых обрабатываются персональные данные;
— хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
— принимает приказ с конкретным перечнем лиц, которые имеют доступ к персональным данным,
обрабатываемым Оператором.
11.2. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение, извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации, а исключением случаев, указанных в Федеральном законе №152-ФЗ от 27.07.2006 «О персональных данных».
11.3. Защита персональных данных субъектов персональных данных от неправомерного их использования или утраты обеспечивается работодателем за счет его средств в порядке, установленном федеральным законом.

12. Права и обязанности субъектов персональных данных.
12.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
— подтверждение факта обработки персональных данных Оператором;
— правовые основания и цели обработки персональных данных;
— цели и применяемые Оператором способы обработки персональных данных;
— наименование и местонахождение Оператора, сведения наименовании и местонахождении лиц (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании законодательства.
— обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок предоставления таких данных не предусмотрен законодательством;
сроки обработки персональных данных, в том числе сроки их хранения;
— порядок осуществления субъектов персональных данных прав, предусмотренных Федеральным законом «О персональных данных» №152-ФЗ от 27.07.2006, настоящим Положением;
— информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;
— иные сведения, предусмотренные федеральными законами.
12.2.Субъект персональных данных имеет право:
— требовать от Оператора свободного бесплатного доступа к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных законом. Получение указанной информации возможно при личном обращении (для малолетнего несовершеннолетнего – его родителей, законных представителей) к лицу, ответственному за организацию и осуществление хранения персональных данных работников.
— требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
— отозвать свое согласие на обработку персональных данных в любой момент;
— требовать устранения неправомерных действий Оператора в отношении его персональных данных
— требовать извещения Оператором всем лиц, которым ранее были сообщения неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
— требовать прекратить в любое время передачу (распространение, предоставление, доступ) персональных данных, разрешенных для распространения. Требование оформляется в письменном виде. Оно должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес), а также перечень персональных данных, обработка которых подлежит прекращению.
— обжаловать в суд или Федеральную службу по наздору в сфере связи, информационных технологий и массовых коммуникаций любые неправомерные действия или бездействия Оператора по обработке и защите его персональных данных.
12.3. В случаях выявления неточностей в персональных данных, субъект персональных данных может актуализировать их самостоятельно, путем направления Оператору уведомления на адрес электронной почта Оператора: pr@centrinit.ru с пометкой «актуализация персональных данных», а также путем письменного обращения как лично, так и с помощью почтовой связи по адресу: 185035, Республика Карелия, г. Петрозаводск, ул. Гоголя (Центр р-н), д. 7.
12.4 .Права и обязанности работника как субъекта персональных данных
12.4.1. Передавать работодателю или его представителю комплекс достоверных документированных персональных данных, перечень которых установлен Трудовым кодексом Российской Федерации.
12.4.2. Своевременно в разумный срок, не превышающий 5 дней, сообщать Оператору об изменении своих персональных данных (фамилии, имени, отчестве, месте жительства, паспортных данных, сведений об образовании, состоянии здоровья (вследствие выявления в соответствии с медицинским заключением противопоказаний для выполнения работником его должностных обязанностей).

13. Доступ к персональных данным.
13.1. Внутренний доступ (доступ внутри организации Оператора) к персональным данным имеют:
— руководитель Оператора;
— работники отдела кадров/ сотрудник, в должностные обязанности которого входит кадровая работа;
— сотрудники бухгалтерии — к тем данным, которые необходимы для выполнения конкретных функций;
— работник, отвечающий за заключение договора с обучающимися ;
— работник, отвечающий за отправку корреспонденции (в части информации о фактическом месте проживания – при отправке соответствующей корреспонденции).
— преподаватель в части фамилии, имени, отчества и контактных данных обучающегося (его законных представителей).
13.2. Внешний доступ.
Персональные данные вне организации могут представляться в государственные и негосударственные органы, организации, лицам:
— налоговые инспекции;
— правоохранительные органы;
— органы статистики;
— страховые агентства;
— военкоматы;
— органы социального страхования;
— пенсионные фонды;
— контрагенты Оператора в случае передачи им по договору функций сотрудников Оператора, указанных в пункте 13.1 настоящего Положения.
— иные органы и организации, доступ и передача персональных данных которым предусмотрена действующим законодательством.

14. Ответственность за нарушения о области обработки персональных данных
14.1. За нарушение порядка обработки персональных данных Оператор, его должностные лица несут ответственность в соответствии с действующим законодательством.

15 .Заключительные положениям
15.1. Субъект персональных данных, его представитель может получить любые разъяснения, касающиеся обработки его персональных данных, обратившись к Оператору по адресу: 185035, Республика Карелия, г. Петрозаводск, ул. Гоголя (Центр р-н), д. 7.
15.2. Настоящее Положение вступает в силу с момента его утверждения директором Организации.
15.3. Все изменения в Положение вносятся приказом.