1. Введение.

1.1. Настоящий документ определяет политику ООО «Институт социальной психологии Александра Шахова» (далее – Институт) в отношении обработки персональных данных (далее – Политика).

1.2. Институт является оператором персональных данных в соответствии с законодательством Российской Федерации о персональных данных.

1.3. Настоящая Политика разработана в соответствии с действующим законодательством Российской Федерации о персональных данных, а именно:
- Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных), устанавливающий основные принципы и условия обработки персональных данных, права, обязанности и ответственность участников отношений, связанных с обработкой персональных данных
- Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных»
- Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

1.4. Действие настоящей Политики распространяется на любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.5. Настоящая Политика подлежит пересмотру и, при необходимости, актуализации в случае изменений в законодательстве Российской Федерации о персональных данных.

1.6. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Институт осуществляет обработку персональных данных, в том числе:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации ;
- Федеральный закон от 08.02.1998 N 14-ФЗ «Об обществах с ограниченной ответственностью»;
- Федеральный закон от 06.12.2011 N 402-ФЗ «О бухгалтерском учете»;
- Федеральный закон от 15.12.2001 N 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
- Федеральный закон от 29.12.2012 г. № 273-ФЗ «Об образовании» и принятые на его основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью образовательных организаций как операторов персональных данных;
- устав Института;
- договоры, заключаемые между Институтом и субъектом персональных данных, в том числе путем присоединения к Оферте, размещенной на сайте Института https://ippshahov.com/public/offer ;
- согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Института).

1.7. В соответствии с ч. 1 ст. 22 Закона о персональных данных оператор персональных данных до начала обработки персональных данных обязаны уведомить уполномоченный орган по защите прав субъектов персональных данных об осуществлении обработку персональных данных.

2. Основные понятия, используемые в Политике:

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту) персональных данных, включая:

● фамилия, имя, отчество;
● место, дата рождения;
● место постоянной или временной регистрации;
● паспортные данные;
● СНИЛС, ИНН;
● адрес регистрации и фактического проживания (регион, город, улица, дом, квартира)
● информация о владении иностранными языками и языками народов Российской Федерации
● данные заграничного паспорта
● данные об образовании, когда и какие образовательные учреждения закончил(а), номера дипломов (свидетельств) квалификация по диплому (свидетельству) (год окончания, серия и номер диплома (свидетельству), дата выдачи) данные о послевузовском профессиональном образовании (об ординатуре, об интернатуре), наименование образовательного или научного учреждения, год окончания данные об ученой степени, ученом звании (когда присвоены, номера дипломов, аттестатов), о квалификационной категории (удостоверение или выписка из приказа и дата и номер приказа) данные о сертификате специалиста (серия, дата и номер сертификата), об удостоверение о повышении квалификации и/или профессиональной переподготовке (серия и номер);
● сведения о выполняемой работе с начала трудовой деятельности (включая военную службу, работу по совместительству, предпринимательскую деятельность и другие);
● место работы;
● о научно-педагогическом стаже, о страховом стаже, сведения о научных публикациях, учебно-методических пособиях, иные данные, характеризующие научную деятельность;
● сведения об отношении к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу);
● оценка навыков, личностных качеств;
● семейное положение (при необходимости);
● личные фотографии (при необходимости);
● состояние здоровья (при необходимости);
● номер телефона, адрес электронной почты, иные идентификаторы в соц. сетях или мессенджерах;
● банковские реквизиты (номер счета и/или номер банковской карты);
● файлы cookie (куки) при пользовании сайтом Института;
● иные персональные данные, сообщаемые пользователями в заявке, подтверждающей принятие оферты или в резюме на соискание должностей или в резюме при определении кандидатов для заключения гражданско-правового договора.

Точный перечень персональных данных, обрабатываемых Институтом, в отношении конкретного лица определяется документом, который является основанием для обработки персональных данных субъекта (гражданско-правовым договором договором, заключенным путем присоединения к оферте на сайте Института и/или ином виде трудовым договором, и/или согласием лица на обработку персональных данных).

оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

В целях настоящей Политики оператором персональных данных является Институт;

обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:

• сбор;
• запись;
• систематизацию;
• накопление;
• хранение ;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передачу (распространение, предоставление, доступ);
• обезличивание;
• блокирование;
• удаление;
• уничтожение.

субъект персональных данных - физическое лицо, являющееся пользователем сайта, соискателем, работником, обучающимся либо контрагентом Института, которое предоставляет Институту свои персональные данные в связи с пользованием сайтом, заключением либо исполнением гражданско-правового договора, либо трудового договора;

соискатель — претендент на заключение гражданско-правового договора с Институтом на оказание услуг, а также претендент на замещение вакантных должностей в Институте в рамках правоотношений, урегулированных Трудовым кодексом Российской Федерации.

обучающийся — физическое лицо, потребитель услуг Института.

контрагент — физическое лицо, представитель юридического лица и индивидуального предпринимателя (физическое лицо), вступившие в договорные отношения с Институтом, в том числе преподаватели, заключившие гражданско-правовой договор с Институтом;

посетитель сайта Института — физическое лицо, использующее сайт Института и/или оставившее заявку на сайте Института;

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Трансграничная передача ПЕРСОНАЛЬНЫХ ДАННЫХ Институтом не производится.

Файлы cookie - небольшой файл, в котором содержатся наборы символов и который позволяет идентифицировать браузер.

IP-адрес – это уникальный адрес, идентифицирующий устройство в интернете или локальной сети, позволяющий передавать информацию между устройствами в сети: он содержит информацию о местоположении устройства и обеспечивает его доступность для связи.

Адрес страницы в сети Интернет с опубликованной Политикой обработки ПЕРСОНАЛЬНЫХ ДАННЫХ: https://ippshahov.com/public/privacy.

Электронная почта для связи с Институтом: mail@ashahov.ru

3. Субъекты персональных данных.

3.1.Субъектами персональных данных (далее также – субъекты персональных данных) Института являются:

3.1.1. лица, являющиеся посетителями сайта Института (пользователи), лица, заполняющие на сайте Института форму заявки на присоединение к условиям Оферты, размещенной на сайте https://ippshahov.com/public/offer Института, которые сообщают свои личные данные для заключения договора или обработки заявки (потенциальные обучающиеся);
3.1.2. обучающиеся, заключившие договор на оказание образовательных услуг, путем присоединения к условиям Оферты или заключившие договор на оказание образовательных услуг на индивидуальных условиях или их представители;
3.1.3. работники Института, заключившие трудовой договор с Институтом;
3.1.4. контрагенты (в том числе преподаватели) по договорам гражданско-правового характера; 3.1.5. иные лица, сообщающие Институту свои имя, отчество и фамилию.

3.2. Институт не осуществляем обработку персональных данных несовершеннолетних лиц. Ответственность за действия несовершеннолетних, включая приобретение ими услуг на сайте Института, лежит на законных представителях несовершеннолетних. Все посетители, младше 18 лет, обязаны получить разрешение своих законных представителей прежде, чем предоставлять какую-либо персональную информацию о себе. В случае получения Институтом персональных данных несовершеннолетнего лице без согласия законных представителей, такая информация удаляется незамедлительно.

4. Лица, имеющие доступ к персональным данным.

Доступ к персональным данным имеют:

● генеральный директор - доступ к данным всех категорий субъектов персональных данных;
● бухгалтер (в том числе оказывающий услуги по гражданско-правовому договору. И осуществляющий обязанности по обработке персональных данных по поручению Института) доступ к данным субъектов персональных данных, указанных в п.3.1.1, 3.1.2, 3.1.3, 3.1.4 настоящей Политики);
● ответственный за работу сайта – IT- специалист (в том числе осуществляющий услуги по гражданско-правовому договору и осуществляющий обязанности по обработке персональных данных по поручению Института) – доступ к персональным данным субъектов персональных данных, указанных в п.3.1.1, 3.1.2, 3.1.4 настоящей Политики;
● лицо, осуществляющее обработку заявок от посетителей сайта Института и подающих заявку на принятие условий Оферты, расположенной на сайте https://ippshahov.com/public/offer (администратор, менеджер), осуществляющий услуги по гражданско-правовому договору и осуществляющий обязанности по обработке персональных данных по поручению Института) - доступ к персональным данным субъектам персональных данных, указанных в п.3.1.1, 3.1.2, 3.1.4 настоящей Политики;
● юрист Института – доступ к персональным данным субъектов, указанных в п.3.1 настоящей Политики.

Передача персональных данных третьим лицам Институтом в рамках договорных отношений осуществляется с согласия субъекта персональных данных.

5. Цели обработки персональных данных.

5.1. Целями обработки персональных данных субъектов персональных данных являются:

● осуществление деятельности в соответствии с Уставом Института – применяется к субъектам персональных данных, указанным в п. 3.1.1 3.1.2 настоящей Политики;
● связь с субъектом персональных данных, в том числе направление уведомлений, запросов и информации, касающихся исполнения гражданско-правовых договоров и трудовых договоров, а также обработки заявок и запросов субъекта персональных данных, в том числе рассылка материалов рекламного характера - применяется к субъектам персональных данных, указанным в п. 3.1.1 3.1.2 3.1.3 3.1.4 настоящей Политики;
● предоставления возможности взаимодействовать с сайтом Института, в том числе посредством общения в социальных сетях в аккаунте Института – применяется к субъектам персональных данных, указанным в п.3.1.1 3.1.2 настоящей Политики (в том числе, если субъект персональных данных оставляет отзыв об Институте на сайте или в социальных сетях подписывается на рассылку новостей и акций Института, заполняет форму обратной связи и иным способом взаимодействует с Институтом через сайт и социальные сети Института);
● информирование субъекта персональных данных посредством отправки электронных писем – применяется к субъектам персональных данных, указанным в п.3.1.1 3.1.2 3.1.4 настоящей Политики;
● получение образовательной услуги - применяется к субъектам персональных данных, указанным в п. 3.1.2 настоящей Политики;
● привлечение и отбор контрагентов на оказание услуг Институту и на заключение гражданско-правовых договоров, в том числе на оказание услуг преподавателей – применяется к субъектам персональных данных, указанных в п. 3.1.4, 3.1.5;
● регистрации и предоставления пользователям (обучающимся) доступа к учебным материалам Института - применяется к субъектам персональных данных , указанным в п. 3.1.1, 3.1.2 настоящей Политики;
● предоставления обучающимся возможности участия в мероприятиях, выездах, в том числе получения приглашений на мероприятия, оформления пропусков и т.п. применяется к субъектам персональных данных, указанным в п. 3.1.1, 3.1.2 настоящей Политики;
● подачи сведений в банк для осуществления платежей (принятие денежных средств, а также возврат), применяется к субъектам персональных данных, указанным в п. 3.1.1, 3.1.2, 3.1.4 настоящей Политики;
● анализ социальной активности пользователей - применяется к субъектам персональных данных, указанным в п. 3.1.1, 3.1.2 настоящей Политики;
● исполнения обязанностей Института как исполнителя по гражданско-правовому договору на оказание образовательных услуг (заключение, исполнение, прекращение договоров, заключенных путем присоединения к Оферте), в том числе выплата вознаграждений по договору и осуществление иных платежей, предусмотренных договорами - применяется к субъектам персональных данных, указанным в п. 3.1.1, 3.1.2 настоящей Политики;
● исполнение иных гражданско-правовых договорных отношений, применяется к субъектам персональных данных, указанным в п. 3.1.4 настоящей Политики;
● привлечение и отбор кандидатов на заключение гражданско-правовых договоров с Институтом - применяется к субъектам персональных данных, указанным в п. 3.1.4;
● оформление трудовых отношений с работниками Института (кадровое делопроизводство), применяется к субъектам персональных данных, указанным в п. 3.1.3 настоящей Политики;
● содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества (в соответствии со ст. 86 рудового кодекса РФ), применяется к субъектам персональных данных, указанным в п. 3.1.3 настоящей Политики;
● организация постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования - применяется к субъектам персональных данных, указанным в п. 3.1.3 настоящей Политики;
● заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности - применяется к субъектам персональных данных, указанным в п. 3.1.3 настоящей Политики;
● начисление заработной платы - применяется к субъектам персональных данных, указанным в п. 3.1.3 настоящей Политики;
● исчисление и уплата налоговых платежей, предусмотренных законодательством Российской Федерации - применяется к субъектам персональных данных, указанным в п. 3.1.3 настоящей Политики;
● представление законодательно установленной отчетности в отношении физических лиц в ИФНС и внебюджетные фонды - применяется к субъектам персональных данных, указанным в п. 3.1.3 настоящей Политики;
● подача сведений в банк для оформления банковской карты и последующего перечисления на нее заработной платы - применяется к субъектам персональных данных, указанным в п. 3.1.3 настоящей Политики;
● предоставление налоговых вычетов (в случаях, когда налоговый вычет предоставляется лицу в соответствии с законодательством Российской Федерации) - применяется к субъектам персональных данных, указанным в п. 3.1.3 настоящей Политики;
● ведение бухгалтерского учета - применяется к субъектам персональных данных, указанным в п. 3. настоящей Политики;
● разрешение возможных конфликтных ситуаций, ведение переговоров, оформления юридических документов – применятся к субъектам персональных данных, указанным в п. 3.1 настоящей Политики;
● предоставление доступа на платформу Института для возможности проводить и посещать лекции и семинары онлайн - применяется к субъектам персональных данных, указанным в п. 3.1.2 3.1.4 настоящей Политики;
● выдача пропуска лицу, для фиксирования и разрешения прохода на территорию Института - применяется к субъектам персональных данных, указанным в п. 3.1.2, 3.1.3 3.1.4, 3.1.5. настоящей Политики;
● повышение качества, содержания и возможностей сайта Института путём сохранения пользовательских настроек и отслеживания тенденций при использовании файлов cookie (подсчет количества пользователей), применяется к субъектам, указанным в п. 3.1.1, 3.1.2 настоящей Политики;
● повышение качества рекламы (при использовании данных IP-адресов (п.10.3 настоящей Политики), применяется к субъектам персональных данных, указанным в п.3.1.1, 3.1.2. настоящей Политики.

5.2 Источником информации обо всех персональных данных субъекта является непосредственно сам субъект персональных данных.

6. Принципы обработки персональных данных.

Обработка персональных данных Институтом осуществляется на основе следующих принципов:

● законности и справедливости;
● ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
● недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
● недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
● соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
● обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
● хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом или договором;
● уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Институтом допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом.
7. Сроки обработки и хранения персональных данных.

7.1.Обработка персональных данных с использованием средств автоматизации начинается с момента поступления персональных данных в информационные системы персональных данных, а обработка персональных данных без использования средств автоматизации начинается с момента получения данных от субъекта персональных данных.

7.2. Институт осуществляет обработку персональных данных ограничиваясь следующими сроками:

● до окончания срока договора на оказание образовательных услуг с субъектами персональных данных, указанными в п.3.1.2 настоящей Политики;
● до окончания срока гражданско-правового договора, стороной которого является субъект персональных данных;
● до прекращения трудового договора с сотрудниками Института;
● до даты получения отзыва согласия на обработку персональных данных субъектом персональных данных.

Институтом не ведется обработка персональных данных на бумажных носителях информации о субъектах персональных данных указанных в п. 3.1.1 3.1.2 настоящей Политики.

7.3.Институт осуществляет хранение персональных данных, ограничиваясь следующими сроками:

● данные пользователей сайта, а именно субъекты, указанные в п. 3.1.1 настоящей Политики, определены условиями Пользовательского соглашения, размещенного на сайте Института по адресу: https://course.ashahov.ru/cms/system/legal вводятся в действие с момента принятия (акцепта) Пользователем Пользовательского соглашения на Сайте и действуют до тех пор, пока Пользователь не заявит о своем желании удалить свои персональные данные с Сайта, в случае их размещения на нем;
● данные, содержащиеся в трудовых договорах – в течение 50 лет с момента прекращения трудового договора (на основании Приказа Федерального архивного агентства от 20 декабря 2019 г. N 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»);
● данные, содержащиеся в договорах на оказание образовательных услуг, заключенными с субъектами персональных данных, указанными в п. 3.1.2 настоящей Политики – 3 (три) года с момента окончания срока договора на оказание образовательных услуг;
● данные, содержащиеся в договорах гражданско-правового характера, стороной которых является субъект персональных данных (за исключением договоров на оказание образовательных услуг) – в течение 3 (трех) лет с момента окончания действия указанных договоров.

7.4. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Институт прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающим 30 (тридцати) рабочих дней с момента поступления указанного отзыва. Об уничтожении персональных данных Институт уведомляет субъекта персональных данных.

8. Условия хранения персональных данных.

8.1. Персональные данные хранятся на бумажных и электронных носителях, в специально предназначенных для этого помещениях, а также в информационных системах. В процессе хранения персональных данных должны обеспечиваться:

● требования нормативных документов, устанавливающих правила хранения конфиденциальных сведений;
● сохранность имеющихся данных, ограничение доступа к ним, в соответствии с законодательством Российской Федерации и настоящей Политикой, исключающее их утрату или неправомерное использование;
● контроль за достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений;
● контроль за деятельностью лиц, осуществляющих обработку и хранение персональных данных;
● соблюдение требований к защите персональных данных при их обработке в информационных системах персональных данных;
● требования пожарной безопасности в помещениях, в которых располагаются технические средства информационных систем персональных данных или хранятся носители персональных данных;
● в помещениях, где расположено оборудование информационных систем персональных данных - сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

9. Условия обработки персональных данных.

9.1. Институт производит обработку персональных данных при наличии хотя бы одного из следующих условий:

● обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
● обработка персональных данных необходима в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
● обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому, является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
● обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
● обработка персональных данных необходима для осуществления прав и законных интересов Института или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
● осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
● осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
● обработка персональных данных осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;
● осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом, в частности, с нормами информационной открытости образовательной организации согласно Федеральному закону от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации», в частности п.2 пп. з) ст.29.

9.2 Институт может включать персональные данные субъектов в общедоступные источники персональных данных, при этом Институт получает письменное согласие субъекта на обработку его персональных данных.

9.3. Институт может осуществлять обработку данных о состоянии здоровья субъекта персональных данных в следующих случаях:
1) в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;
2) при наличии в штате образовательной организации лица, профессионально занимающегося медицинской деятельностью и обязанного в соответствии с законодательством Российской Федерации сохранять врачебную тайну в медикопрофилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг;
3) для защиты жизни, здоровья или иных жизненно важных интересов работника и обучающегося, либо для защиты жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
4) для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
5) в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.

9.4. Проставляя галочку о согласии с условиями Политики обработки персональных данных субъекты персональных данных, указанные в п. 3.1.1, 3.1.2 дают свое согласие на обработку его персональных данных, указанных в Политике и на соблюдение условий Политики обработки персональных данных.

9.5. В Институте по общему правилу не обрабатываются биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных). Однако, в случае необходимости обработки биометрических персональных данных, персональные данные могут обрабатываться Институтом только при наличии согласия в письменной форме субъекта персональных данных.

9.6. Институт не осуществляет трансграничную передачу персональных данных.

9.7. Принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, в Институте не осуществляется.

9.8. При отсутствии необходимости письменного согласия субъекта на обработку его персональных данных, согласие субъекта может быть дано субъектом персональных данных или его законным представителем в любой позволяющей подтвердить факт его получения форме.

9.9. Институт вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Законом о персональных данных, на основании заключаемого с этим лицом договора (далее – поручение оператора). При этом Институт в поручении оператора обязует лицо, осуществляющее обработку персональных данных по поручению Института, соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных.
Институт поручает сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, передачу, обезличивание, блокирование, удаление, уничтожение – лицам, заключившим гражданско-правовой договор на оказание услуг с Институтом, обработка персональных данных производится на основании договора поручения.

9.10. В поручении Института должны быть определены перечень действии (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст.19 Закона О персональных данных. Лицо, которому поручена обработка персональных данных по поручению Института, имеет право получать только те персональные данные, которые необходимы на выполнение конкретных целей обработки персональных данных, указанных в поручении.

9.11. В случае, если Институт поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Институт. Лицо, осуществляющее обработку персональных данных по поручению Института, несет ответственность перед Институтом. Лицо, осуществляющее обработку персональных данных по поручению Компании, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

9.12. Институт обязуется и обязует иные лица, получившие доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

9.13. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Институт обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе О персональных данных.

9.14. Персональные данные, представленные работником Института и/или контрагентом ( в том числе преподавателями, оказывающими услуги по гражданско-правовому договору), а также обучающимся или его представителем, обрабатываются автоматизированным и без использования средств автоматизации способами. Институт не принимает, не снимает и не хранит копии личных документов субъектов персональных данных, указанных в п. 3.1.1, 3.1.2, 3.1.4, 3.1.5 настоящей Политики.

9.15. Обработка персональных данных посетителей сайта Института, допустима только после получения согласия на обработку персональных данных посетителя сайта.

9.16. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Институт обеспечивает субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

9.17. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, он вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Институтом неограниченному кругу лиц, а так е запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.

9.18. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по его требованию. Указанные в данном требовании персональные данные могут обрабатываться только Институтом.

10. Файлы Куки (Cookie). Протоколирование (IP).

10.1 При посещении сайта Института субъектом персональных данных на компьютер субъекта персональных данных отправляются один или несколько файлов cookie. Институт использует файлы cookie, чтобы повысить качество своих услуг путём сохранения пользовательских настроек и отслеживания тенденций в действиях субъектов персональных данных -пользователей.

10.2. Субъект персональных данных -пользователь можете полностью запретить использование файлов cookie или настроить показ уведомлений об их отправке. Однако без файлов cookie некоторые функции сайта могут работать неправильно.

10.3. При каждом посещении сайта серверы Института автоматически записывают информацию, которую браузер субъекта персональных данных - пользователя передаёт при посещении веб-страниц (сайта Института) (протоколирование). Как правило, эта информация включает запрашиваемую веб-страницу, IP-адрес компьютера, тип браузера, языковые настройки браузера, дату и время запроса, а также один или несколько файлов cookie, которые позволяют точно идентифицировать браузер субъекта персональных данных - пользователя. На этом сайте ссылки могут быть в таком формате, который позволяет отслеживать, пользуются ли ими посетители сайта. Информация используется для повышения качества рекламы Института.
11. Обязанности образовательной организации (Института).

В соответствии с требованиями Закона о персональных данных образовательная организация обязана:
1) предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ в течение 10 (десяти) рабочих дней с даты получения запроса субъекта персональных данных или его представителя;
2) по требованию субъекта персональных данных уточнять, блокировать или удалять обрабатываемые персональные данные, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, в срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих эти факты (подробнее см. п.п. 8), 9), 10) настоящего пункта);
3) вести журнал учета обращений субъектов персональных данных, в котором должны фиксироваться запросы субъектов персональных данных на получение персональных данных, а также факты предоставления персональных данных по этим запросам. Журнал учета ведется Институтом в электронном виде;
4) уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных. Исключение составляют следующие случаи:
- субъект персональных данных уведомлен об осуществлении обработки образовательной организацией его персональных данных;
- персональные данные получены образовательной организацией в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, или на основании федерального закона;
- персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
- образовательная организация осуществляет обработку персональных данных для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта персональных данных;
- предоставление субъекту персональных данных сведений, содержащихся в уведомлении об обработке персональных данных, нарушает права и законные интересы третьих лиц;
5) в случае достижения цели обработки персональных данных прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, установленный п. 7.3. настоящей Политики;
6) в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между образовательной организацией и субъектом персональных данных. Об уничтожении персональных данных образовательная организация обязана уведомить субъекта персональных данных;
7) в случае поступления требования субъекта персональных данных о прекращении обработки персональных данных, полученных в целях продвижения товаров, работ, услуг на рынке, прекратить обработку персональных данных в течение 10 (десяти) рабочих дней;
8) в случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя Институт обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Института) с момента такого обращения или получения указанного запроса на период проверки;
9) в случае подтверждения факта неточности персональных данных Институт на основании сведений, представленных субъектом персональных данных или его представителем или иных необходимых документов, обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Института) в течение 7 (семи) рабочих дней со дня представления таких сведений и снять блокирование персональных данных;
10) в случае выявления неправомерной обработки персональных данных, осуществляемой Институтом или лицом, действующим по поручению Института, Институт в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Института. В случае, если обеспечить правомерность обработки персональных данных невозможно, Институт в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Института уведомляет субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

12. Меры по обеспечению безопасности персональных данных при их обработке. Конфиденциальность персональных данных.

12.1. При обработке персональных данных Институт применяет необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

12.2. Обеспечение безопасности персональных данных достигается, в частности:
● назначение ответственного за организацию обработки персональных данных;
● назначение ответственных за обеспечение мер по сохранности персональных данных и исключению несанкционированный к ним доступа и за обеспечение безопасности персональных данных в информационных системах;
● ограничение состава лиц, допущенных к обработке персональных данных;
● организация учета, хранения и обращения носителей, содержащих информацию с персональными данными;
● определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных, формирование на их основе моделей угроз;
● применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
● проверка готовности и эффективности использования средств защиты информации ● разграничение доступа пользователей к информационным ресурсам и программно–аппаратным средствам обработки информации;
● регистрация и учет действий пользователей информационных систем персональных данных;
● использование антивирусных средств и средств восстановления системы защиты персональных данных;
● применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации;
● организация пропускного режима на территорию Института, охраны помещений с техническими средствами обработки персональных данных;
● обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
● восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
● контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

12.3. Институт и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

13. Права субъекта персональных данных.

В соответствии с Законом о персональных данных субъект персональных данных имеет право:

1) получить сведения, а именно:

● подтверждение факта обработки персональных Институтом;
● правовые основания и цели обработки персональных данных;
● цели и применяемые Институтом способы обработки персональных данных;
● наименование и место нахождения Института, сведения о лицах (за исключением работников Института), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Институтом или на основании федерального закона;
● об обрабатываемых персональных данных, относящихся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
● о сроках обработки персональных данных, в том числе сроках их хранения;
● порядке осуществления субъектом персональных данных прав, предусмотренных Законом О персональных данных;
● информацию об осуществленной или о предполагаемой трансграничной передаче данных (в случае ее передачи). Институтом трансграничная передача данных не осуществляется;
● наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
● информацию о способах исполнения Институтом мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом О персональных данных (установленных статьей 18.1 Закона О персональных данных);
● иные сведения, предусмотренные Законом О персональных данных или другими федеральными законами.

2) потребовать от Института уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

3) отозвать согласие на обработку персональных данных в предусмотренных Законом О персональных данных случаях.

14. Порядок осуществления прав.

14.1. Обращение субъекта персональных данных к Институту в целях реализации его прав, установленных Законом «О персональных данных», осуществляется в письменном виде по установленной форме в соответствии с ч. 3 ст.14 Закона «О персональных данных» при личном визите в Институт субъекта персональных данных или его представителя (полномочия которого установлены в установленном порядке) Законом о персональных данных либо иным законом Российской Федерации).

14.2. Форма обращения выдается субъекту персональных данных или его представителю ответственным за обработку персональных данных лицом и заполняется субъектом персональных данных или его представителем с проставлением собственноручной подписи в присутствии ответственного лица.

14.3. Ответственное за обработку персональных данных лицо, получив обращение по установленной форме, сверяет указанные в нем сведения об основном документе, удостоверяющем личность субъекта персональных данных, основания, по которым лицо выступает в качестве представителя субъекта персональных данных, и представленные при обращении оригиналы данного документа.

14.4. Субъект персональных данных может направить запрос в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации в случае, если личный визит в Институт невозможен.

14.5. Ответ на обращение отправляется субъекту персональных данных в письменном виде по почте на адрес, указанный в обращении.

14.6. Срок формирования ответа и передачи в почтовое отделение для отправки не может превышать 10 (десяти) дней с даты получения Институтом обращения.

14.7. Срок внесения необходимых изменений в персональные данные, являющиеся неполными, неточными или неактуальными, не может превышать 7 (семи) рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными.

14.8. Срок уничтожения персональных данных, являющихся незаконно полученными или не являющихся необходимыми для заявленной цели обработки, не может превышать 10 (десяти) рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки.

15. Ограничения прав субъектов персональных данных.

15.1. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если предоставление персональных данных нарушает права и законные интересы других лиц.

15.2. В случае если сведения, касающиеся обработки персональных данных, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе направить повторный запрос в целях получения сведений, касающихся обработки персональных данных, и ознакомления с такими персональными данными не ранее чем через 30 (тридцать) дней после направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

15.3. Субъект персональных данных вправе направить Институту повторный запрос в целях получения сведений, касающихся обработки персональных данных, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 15.2. в случае, если такие сведения и/или обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального запроса. Повторный запрос дол ен содержать обоснование направления повторного запроса.

15.4. Институт вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 15.2. и 15.3. Политики.

16. Порядок уничтожения персональных данных.

16.1. После истечения срока нормативного хранения документов, которые содержат персональные данные работника, документы подлежат уничтожению. Для этого Институт создает комиссию и проводит экспертизу ценности документов. В ходе проведения экспертизы комиссия отбирает дела с истекшими сроками хранения и по итогам отбора составляет акт о выделении к уничтожению дел и договоров, не подлежащих хранению. После чего документы измельчаются в шредере.

16.2. Персональные данные работников и лиц, заключивших гражданско-правовые договоры в электронном виде, стираются с информационных носителей, либо физически уничтожаются сами носители, на которых хранится информация.

16.3. При наступлении любого из событий, повлекших, необходимость уничтожения персональных данных, уполномоченное лицо обязано:

● определить технические (материальные, программные и иные) средства, посредством которых будет произведено уничтожение персональных данных;
● произвести уничтожение документов и засвидетельствовать данное действие;
● оформить соответствующий Акт об уничтожении персональных данных (и/или материальных носителей персональных данных);
● в случае необходимости уведомить об уничтожении персональных данных субъекта данных и/или уполномоченный орган.

17. Взаимодействие с Роскомнадзором.

17.1. По запросу Роскомнадзора ответственное за обработку персональных даннх лицо организует предоставление локальных нормативных актов в отношении обработки персональных данных и документов, подтверждающих принятие мер по выполнению требований Закона «О персональных данных», в течение 30 дней с момента поступления запроса.

17.2. По требованию Роскомнадзора ответственное лицо организует уточнение, блокирование или уничтожение недостоверных или полученных незаконным путём персональных данных в течение 30 дней с даты получения требования.

17.3. В случаях, предусмотренных ст.22 Законом «О персональных данных», ответственное лицо направляет в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных.

17.4. Ответственное лицо обязано вести журнал по учёту государственных проверок государственными органами.

17.5. В случае необходимости ответственное лицо направляет в Роскомнадзор обращения по вопросам обработки персональных данных, осуществляемых Институтом.

18. Заключительные положения.

18.1. Настоящая Политика является общедоступным документом Института.

18.2. Действия настоящей Политики распространяются на всех посетителей сайта, соискателей, работников, обучающихся, контрагентов Института.

18.3. Настоящее положение вступает в силу с момента его утверждения приказом Генерального директора, а для посетителей сайта, обучающихся и контрагентов с момента размещения на сайте Института. Настоящее положение доводится до сведения всех работников Института персонально под роспись.

18.4. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее размещения, если иное не предусмотрено новой редакцией Политики. Действующая редакция всегда находится на странице по адресу: https://ippshahov.com/public/privacy.

18.5. Контроль исполнения требований настоящей Политики осуществляется ответственным лицом за обеспечение безопасности персональных данных, а именно генеральным директором Института.


18.6. Ответственность работников Института, имеющих доступ к персональным данным, а также лиц, осуществляющих обработку персональных данных по поручению, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации.