ПОЛИТИКА

экзаменационного и языкового центра, партнёра Немецкого культурного центра им. Гёте

в городе Сергиев Посад – АНО ДО «Центр иностранных языков и международного сотрудничества «Партнер», 

ИНН 5042077117, ОГРН 1045008356535) (АНО ДО „Центр «Партнер») 

 

в отношении обработки персональных данных и 

сведения о реализуемых требованиях к защите 

их персональных данных

 

 

 

 

 

 

025

Общие положения.

 

1.  Политика в отношении обработки персональных данных экзаменационного и языкового центра, партнёра Немецкого культурного центра им. Гёте (далее — “Политика”) в городе Сергиев Посад – АНО ДО «Центр иностранных языков и международного сотрудничества «Партнер», ИНН 5042077117, ОГРН 1045008356535) (АНО ДО „Центр «Партнер») определяет основные цели, принципы и условия обработки персональных данных, обязанности экзаменационного и языкового центра (далее — Оператор, Организация, Центр) при обработке персональных данных, права субъектов персональных данных, а также применяемые у Оператора меры по защите персональных данных. Политика определяет порядок обработки и защиты информации о физических лицах, пользующихся формами обратной связи на сайте Оператора, а также о физических лицах заключающих договор с Оператором на получение образовательных услуг (языковые курсы), в том числе в целях оформления необходимых документов для прохождения обучения по программам дополнительного образования (языковые курсы), в том числе в целях проведения расчетов с Оператором, а также для последующего получения документов об обучении (на языковых курсах) и уровне владения иностранным языком, получения документов о результатах участия в экзаменах,  а также о физических лицах являющихся соискателем, работником Оператора, иным субъектом, контрагентом.

 

1.  Политика разработана в соответствии с требованиями законодательства в области обработки и защиты персональных данных, основанного на Конституции РФ и состоящего из Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - ФЗ № 152), иных федеральных законах и подзаконных нормативных правовых актах, регулирующих вопросы обработки и защиты персональных данных.

 

1. Политика регулирует отношения между Оператором и: 

 

1) физическим лицом (соискателем, работником Оператора, иным субъектом, контрагентом) по обработке и защите персональных данных;

 

2) физическим лицом (пользующимся формами обратной связи на сайте  Оператора, по обработке и защите персональных данных, получаемых и обрабатываемых с использованием сайта  экзаменационного и языкового центра. А также заключающим договор с экзаменационным и языковым центром на получение образовательных услуг (языковые курсы), в том числе в целях оформления необходимых документов для прохождения обучения по программам дополнительного образования (языковые курсы), в том числе в целях проведения расчетов с исполнителем услуг  (экзаменационным и языковым центром), а также для последующего получения документов об обучении (на языковых курсах) и уровне владения иностранным языком, получения документов о результатах участия в экзаменах).

 

1. В целях реализации положений Политики Оператором разрабатываются и могут быть разработаны локальные нормативные акты и иные документы, регламентирующие вопросы обработки персональных данных у Оператора. Оператор периодически актуализирует Политику и вправе в одностороннем порядке в любой момент времени изменять ее положения. Оператор рекомендует регулярно проверять содержание Политики на предмет ее возможных изменений.

 

1.  Действующая редакция Политики, являющегося публичным документом, доступна на сайте Оператора. Уведомление Пользователей при внесении изменений в Политику осуществляется путем размещения новой редакции Политики на сайте  Оператора.

 

1. Пользуясь формами обратной связи на сайте Оператора, пользователь выражает свое согласие с условиями настоящей Политики. В случае несогласия Пользователя с условиями настоящей Политики Пользователь не заполняет формы обратной связи на сайтах  экзаменационных и языковых центров.

 

1.  Основные понятия, используемые в настоящей Политике:

 

Сайт – один из сайтов экзаменационных и языковых центров, партнёров Немецкого культурного центра им. Гёте в Москве, расположенный в сети Интернет. Владельцем Сайта является конкретный экзаменационный и языковой центр — самостоятельный Оператор.

 

Пользователь – лицо, использующее Сайт, субъект персональных данных. Физическое лицо, пользующееся формами обратной связи  на сайте  Оператора, в том числе  Физическое лицо, указанное в пункте 1.3. настоящей Политики.

 

Персональные данные — персональные данные Пользователя, которые Пользователь предоставляет в процессе заполнения форм обратной связи на Сайте, а также любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). В том числе персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном ФЗ № 152 (Персональные данные, разрешенные субъектом персональных данных для распространения). 

 

Формы обратной связи на Сайте – формы «Запись на экзамен», «Задать вопрос» на сайтах  экзаменационных и языковых центров. 

 

Субъекты персональных данных – пользователи Сайта, чьи персональные данные стали известны при заполнении форм обратной связи на Сайте, в том числе  Физическое лицо, указанное в пункте 1.3. настоящей Политики.

 

Оператор -  экзаменационный и языковой центр, партнёр Немецкого культурного центра им. Гёте в Москве, организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. 

 

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

 

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

 

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

 

Конфиденциальность персональных данных - Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

 

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

 

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

 

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

 

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

 

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

 

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

 

 

• Цели обработки персональных данных, категории субъектов персональных данных.

 

 

1.  Целью обработки персональных данных является предоставление Оператором и получение субъектом персональных данных (пользователем) услуг по определению языкового уровня (владение немецким языком), в том числе для заключения и исполнения договора возмездного оказания услуг по проведению Оператором (экзаменационным и языковым центром) экзаменов, с последующей выдачей субъекту персональных данных сертификата о прохождении экзамена и подтвержденном уровне владения немецким языком. 

 

Целью обработки персональных данных является предоставление Оператором и получение субъектом персональных данных (пользователем, получателем услуг) образовательных услуг (языковые курсы), а также заключение и исполнение договора на предоставление Оператором образовательных услуг (языковые курсы), в том числе оформление необходимых документов для получения  субъектом персональных данных (пользователем, получателем услуг) образовательных услуг по обучению по программам дополнительного образования (языковые курсы). Целью обработки персональных данных также является оформление и выдача  субъекту персональных данных (пользователю, получателю услуг) документов об обучении (на языковых курсах) и уровне владения иностранным языком, документов о результатах участия в экзаменах, а также проведение расчетов между Оператором и  субъектом персональных данных (пользователем, получателем услуг). 

 

Положения настоящей политики ставят субъекта персональных данных (пользователя) в известность о том, что, выпуск сертификата о прохождении экзамена (с целью подтверждении уровня владения немецким языком), как и дальнейшая возможность его восстановления при утере (в форме справки о прохождении экзамена) происходит только путем передачи Оператором персональных данных  субъекта персональных данных (пользователя) третьим лицам (в том числе Оператор осуществляет трансграничную передачу персональных данных). Для этих целей Оператор осуществляет передачу персональных данных следующим обработчикам (третьим лицам): 

 

• Немецкий культурный центр имени Гёте при Германском Посольстве в Москве (ИНН 9909056286, КПП 773860002, адрес: 125040, г. Москва, Ленинградский проспект, 15, стр. 1).

 

• Центральное правление Гёте - Института в г. Мюнхене (Германия) (Goethe Institut e.V. Адрес: Zentrale München, Oskar-von-Miller-Ring 18, 80333 München). Осуществляя передачу персональных данных указанному третьему лицу, Оператор осуществляет трансграничную передачу персональных данных в соответствии с требованиями действующего законодательства Российской Федерации. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с требованиями действующего законодательства Российской Федерации.

 

1.  Персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных.

 

1. При сборе персональных данных, в том числе посредством сети Интернет, обеспечивается запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ.

 

1. Оператор осуществляет трансграничную передачу персональных данных в соответствии с требованиями действующего законодательства Российской Федерации. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с требованиями действующего законодательства Российской Федерации.

 

 

• Правовые основания обработки персональных данных.

 

 

1.  Правовое основание обработки персональных данных предусмотрено ч. 1 ст. 6 ФЗ № 152, где содержится закрытый перечень оснований для обработки персональных данных. К обрабатываемым Оператором персональным данным применяется основание - обработка с согласия субъекта  персональных данных. К основаниям обработки персональных данных также относятся:

 

• Соглашения поручения на проведение экзаменов;
• Договоры, заключаемые между Оператором и субъектом персональных данных;
• Согласие на обработку персональных данных;
• Договоры поручения на обработку персональных данных с третьими лицами (в том числе для экзаменаторов, в случае необходимости).

 

 

• Объем обрабатываемых персональных данных.

 

 

1.  Оператор обрабатывает следующие персональные данные: фамилия, имя, отчество, пол, дата и место рождения, адрес проживания, гражданство, школа, адрес электронной почты, номер телефона (в том числе мобильный), информация об уровне знания немецкого языка, отметка о наличии ограниченных возможностей здоровья, дополнительная информация, предоставленная Пользователем по собственной инициативе при заполнении форм обратной связи на Сайте.  Оператор с целью предоставления услуг дополнительного образования (языковые курсы) в том числе обрабатывает следующие персональные данные: образование, профессия, данные документа, удостоверяющего личность, ИНН, данные документов, удостоверяющих участие в языковых курсах и уровень владения иностранным языком, фотоизображение лица, информация о документе, полученном по результатам сдачи экзамена, информация о банковских реквизитах, иная информация, необходимая Оператору в целях оказания услуг. Запрашиваемый перечень персональных данных является необходимым и достаточным по отношению к заявленным целям их обработки. В случае обращения субъекта персональных данных с запросом о необходимости пояснить причину, по которой запрашиваются такие персональные данные, дать соответствующие разъяснения.

 

 

• Основные права субъекта персональных данных и обязанности Оператора.

 

 

1.  Основные права субъекта персональных данных.

 

Субъект имеет право на доступ к его персональным данным и следующим сведениям:

 

• подтверждение факта обработки персональных данных Оператором;
• правовые основания и цели обработки персональных данных;
• цели и применяемые Оператором способы обработки персональных данных;
• наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании Федерального закона «О персональных данных»;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
• наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
• обращение к Оператору и направление ему запросов;
• обжалование действий или бездействия Оператора.

 

1.  Обязанности Оператора.

 

Оператор обязан:

 

• при сборе персональных данных предоставить информацию об обработке персональных данных;
• в случаях если персональные данные были получены не от субъекта персональных данных, уведомить субъекта;
• при отказе в предоставлении персональных данных субъекту разъясняются последствия такого отказа;
• опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
• принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
• давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных.

 

• Порядок и условия обработки персональных данных.

 

 

1. Оператор осуществляет различные виды обработки персональных данных. Обработка персональных данных осуществляется с применением: автоматизированной обработки персональных данных с передачей по сети Интернет или без таковой; неавтоматизированной обработки персональных данных; смешанных способов обработки.

 

1. Обработка персональных данных субъекта персональных данных осуществляется с его согласия на обработку персональных данных, а также без такового, если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем или в иных случаях, предусмотренных законодательством Российской Федерации.

 

1. В отношении персональных данных сохраняется их конфиденциальность, кроме случаев, когда указанные данные являются общедоступными.

 

1.  Оператор хранит персональные на серверах на территории Российской Федерации. В случае трансграничной передачи персональных данных субъект персональных данных дает на это письменное согласие. Трансграничная передача персональных данных осуществляется Оператором в Центральное правление Гёте - Института в г. Мюнхене (Германия) (Goethe Institut e.V. Адрес: Zentrale München, Oskar-von-Miller-Ring 18, 80333 München). Оператор осуществляет трансграничную передачу персональных данных в Центральное правление Гёте - Института в г. Мюнхене (Германия) (Goethe Institut e.V. Адрес: Zentrale München, Oskar-von-Miller-Ring 18, 80333 München) в соответствии с требованиями действующего законодательства Российской Федерации. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с требованиями действующего законодательства Российской Федерации.  Оператор осуществляет трансграничную передачу следующих персональных данных:

 

• фамилия, имя, отчество; 
• дата и место рождения; 
• адрес электронной почты; 
• участие в экзамене с целью переезда для воссоединения с супругом (-ой) (если указано)
• участие в экзамене в рамках инициативы "Школы: партнёры будущего" (ПАШ) (если указано)
• информация о результатах сдачи экзамена; 
• информация о документе (сертификате), полученном по результатам сдачи экзамена. 

 

1. Оператор вправе осуществлять обработку персональных данных в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных.

 

1.  Оператор имеет право передавать персональные данные без согласия Пользователя (субъекта персональных данных) следующим лицам:

• государственным органам, в том числе органам дознания и следствия, и органам местного самоуправления по их мотивированному запросу; 
• в иных случаях, прямо предусмотренных действующим законодательством Российской Федерации. Передача персональных данных третьему лицу осуществляется только с согласия субъекта персональных данных или в случаях, прямо предусмотренных законодательством Российской Федерации. Оператор раскрывает информацию третьим лицам только в случаях, предусмотренных Политикой или применимым законодательством Российской Федерации, и только в объёме, необходимом исходя из цели раскрытия.

 

1.  Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных» ФЗ № 152. 

 

1. Оператор вправе поручить обработку персональных данных другому лицу и (или) осуществлять обработку персональных данных по поручению другого лица в порядке и на условиях, предусмотренных требованиями ч. 3−6 ст. 6 ФЗ № 152.

 

1. Лицам, получающим доступ к персональным данным по поручению, а равно третьим лицам, которым Оператор предоставляет доступ по иным законным основаниям, передаётся строго ограниченный набор данных, необходимый для исполнения их функций.

 

1. Оператор принимает все зависящие от него меры, чтобы обеспечить конфиденциальность персональных данных. Обработчики и третьи лица обязуются соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ № 152, иными законами и подзаконными актами. Для каждого обработчика определены: перечень обрабатываемых персональных данных; цели их обработки; перечень действий (операций), которые будут совершаться с персональными данными обработчиком; обязанности обработчика по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке, а также перечень принимаемых обработчиком мер по обеспечению защиты обрабатываемых им персональных данных, включая требование об уведомлении Оператора об инцидентах с персональными данными; обязанность по запросу Оператора в течение срока действия поручения на обработку персональных данных (если таковое подписано между Оператором и Обработчиком) предоставлять Оператору документы и информацию, подтверждающую принятие мер и соблюдение в целях исполнения поручения Оператора требований, установленных ФЗ № 152.

 

1. Информация об обработчиках, их местонахождении и выполняемых функциях, которые Оператором были переданы. Перечень лиц, обрабатывающих персональные данные субъекта по поручению Оператора или получающих данные субъекта от Оператора подлежит раскрытию в соответствующем согласии на обработку персональных данных. К таким обработчикам (третьим лицам), для реализации целей, указанных в пункте 2.1. настоящей Политики относятся:

 

• Немецкий культурный центр имени Гёте при Германском Посольстве в Москве (ИНН 9909056286, КПП 773860002, адрес: 125040, г. Москва, Ленинградский проспект, 15, стр. 1).
• Центральное правление Гёте-Института в г. Мюнхене (Германия) (Goethe Institut e.V. Адрес: Zentrale München, Oskar-von-Miller-Ring 18, 80333 München).

 

• Сведения о реализуемых требованиях к защите персональных данных

 

 

1.  Для обеспечения безопасности персональных данных при их обработке Оператор принимает меры по защите от несанкционированного или случайного неправомерного доступа, уничтожения, изменения, блокирования, копирования и иных действий, которые могут нарушить установленные для персональных данных характеристики безопасности, к которым относятся:

 

• конфиденциальность (требование не передавать информацию третьим лицам без согласия ее обладателя, обязательное для выполнения лицом, получившим доступ к информации);
• целостность (состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право);
• доступность (состояние информации, при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно).

 

1.  К предпринимаемым мерам защиты персональных данных относятся:

 

• организационные и технические меры по обеспечению безопасности персональных данных при их обработке Оператором, необходимые для выполнения законодательных требований и регулирующих органов Российской Федерации к защите персональных данных;
• определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• учет машинных носителей персональных данных;
• обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

 

1. Организационные и (или) технические меры защиты для информационной системы, обрабатывающей персональные данные, определяются с учетом уровней защищенности персональных данных, актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационной системе Оператора.

 

1. Уровень защищенности информационной системы, обрабатывающей персональные данные, определяется в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и в соответствии с Приказом ФСТЭК от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

 

1. Обработка персональных данных осуществляется уполномоченными работниками с обязательным принятием мер, исключающих возможность ознакомления с персональными данными посторонних лиц, в том числе работников Оператора, не уполномоченных на обработку персональных данных, таких как:

 

1) экран монитора размещается таким образом, чтобы исключить возможность просмотра информации посторонними лицами (в том числе другими работниками, не уполномоченными на обработку персональных данных);

2) уполномоченные работники используют для доступа к информационной системе, обрабатывающей персональные данные, индивидуальные пароли, отвечающие установленным Оператором требованиям;

3) средства вычислительной техники блокируются с помощью защищенной паролем экранной заставки во время перерывов в работе;

4) в информационной системе, обрабатывающей персональные данные, и (или) на отдельных автоматизированных рабочих местах, предназначенных для работы с персональными данными, в обязательном порядке используются средства антивирусной защиты.

 

1. При работе с персональными данными уполномоченным работникам запрещается:

 

1) работать под чужими или общими учетными записями в информационных системах, обрабатывающих персональные данные, и передавать кому-либо индивидуальные пароли;

2) допускать использование своего автоматизированного рабочего места другими работниками Оператора и посторонними лицами;

3) использовать (загружать, запускать и т.п.) для обработки персональных данных программные средства, не разрешенные для применения в информационных системах Оператора;

4) сообщать ставшие им известными в связи с исполнением своих должностных обязанностей персональные данные лицам, не имеющим права доступа к этим данным.

 

1. Работник Оператора немедленно ставит в известность руководителя экзаменационного и языкового центра:

 

1) о факте разглашения или неправомерной обработки персональных данных;

2) о ставших известными ему фактах или возможностях несанкционированного доступа к информационным системам, обрабатывающим персональные данные.

 

7.8. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации, договором, стороной которого является субъект персональных данных, либо согласием на обработку персональных данных. Хранение персональных данных осуществляется с учетом обеспечения режима их конфиденциальности. Оператор обеспечивает сбор персональных данных и их обработку с использованием баз данных, находящихся на территории Российской Федерации

 

7.9. В случае необходимости персональные данные могут быть переданы на архивное хранение. Персональные данные передаются на архивное хранение в соответствии с законодательством Российской Федерации об архивном деле, уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации, договором, стороной которого является субъект персональных данных, либо согласием на обработку персональных данных.

 

7.10. Оператор принимает необходимые правовые, организационные и технические меры, позволяющие обеспечить безопасность персональных данных, а также соблюдение прав субъектов персональных данных, требований законодательства Российской Федерации и локальных актов Общества в области обработки и защиты персональных данных.

7.11. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных:

• издание локальных актов Оператора по вопросам обработки персональных данных;
• назначение лица, ответственного за организацию обработки персональных данных;
• определение лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных у Оператора и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных; 
• определение порядка доступа работников Оператора в помещения, в которых ведется обработка персональных данных;
• ознакомление работников Оператора непосредственно осуществляющих обработку персональных данных под роспись до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими порядок обработки персональных данных у Оператора;
• получение персональных данных лично у субъекта персональных данных, в случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных, в случае возникновения необходимости получения персональных данных у третьей стороны Оператор извещает об этом субъекта персональных данных заранее, получает его письменное согласие и сообщает ему о целях, предполагаемых источниках и способах получения персональных данных;
• определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
• опубликование на официальных сайтах экзаменационных и языковых центров Политики; 
• осуществление внутреннего контроля соответствия обработки персональных данных ФЗ № 152, Политике и локальным нормативным актам Организации, регламентирующих порядок обработки персональных данных;
• оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ № 152;
• применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• учет машинных носителей персональных данных;
• обнаружение фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них; 
• установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных; 
• контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
• организация рассмотрения запросов субъектов персональных данных или их представителей и ответов на такие запросы; 
• блокирование, внесение изменений и уничтожение персональных данных в предусмотренных действующим законодательством случаях.

 

7.12. Процедуры, направленные на устранение последствий нарушений законодательства Российской Федерации в сфере персональных данных:

• прекращение неправомерной обработки персональных данных или обеспечение прекращения неправомерной обработки персональных данных лицом, действующим по поручению Оператора;
• если обеспечить правомерность обработки персональных данных невозможно, Оператор уничтожает такие персональные данные или обеспечивает их уничтожение, в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных;
• уведомление субъекта персональных данных или его представителя об устранении допущенных нарушений;
• в случае отсутствия возможности уничтожения персональных данных в течение установленного срока, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Организации) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен действующим законодательством Российской Федерации;
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним, если это возможно;
• уведомление уполномоченного органа по защите прав субъектов персональных данных в случае установления оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных: 1. в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом; 2. в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии). 

 

• Изменение, блокирование, уничтожение персональных данных

 

 

1.  Субъект персональных данных вправе изменять предоставляемые им персональные данные, повторно заполняя формы обратной связи на Сайте. Оператор не несет ответственность за полноту и достоверность сведений, предоставленных субъектом персональных данных.

 

1.  Блокирование персональных данных осуществляется на основании письменного заявления от субъекта персональных данных. 

 

1.  Уничтожение персональных данных осуществляется путем стирания информации с использованием сертифицированного программного обеспечения с гарантированным уничтожением (в соответствии с заданными характеристиками для установленного программного обеспечения с гарантированным уничтожением). 

 

1.  Персональные данные подлежат уничтожению в следующих случаях и в указанные сроки:

1) по достижению целей обработки - в срок не более чем десять лет;

2) в случае утраты необходимости достижения целей обработки - в срок не более чем шесть месяцев;

3) в случае отзыва субъектом персональных данных согласия на обработку персональных данных - в 30-дневный срок, если иной не предусмотрен федеральными законами, договором или соглашением между Оператором и субъектом персональных данных. 

4) при выявлении неправомерной обработки персональных данных - в срок, не превышающий 10 рабочих дней с даты выявления.

 

• Ответы на запросы субъектов на доступ к персональным данным

 

 

1.  Субъекты персональных данных имеют право получать информацию, касающуюся обработки их персональных данных, в соответствии с частями 1 - 7 статьи 14 Федерального закона «О персональных данных».

 

1.  При получении обращения (запроса) от субъекта персональных данных ему (или его представителю) предоставляются сведения, касающиеся обработки его персональных данных, в срок, не превышающий 30 дней с даты обращения.

 

1. Сведения предоставляются в доступной форме, в них не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

 

1.  Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Федерального закона «О персональных данных» все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ в срок, не превышающий 30 дней с даты обращения.

 

1.  Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона «О персональных данных» в том случае, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

 

1. Если иной порядок взаимодействия Оператора и субъекта персональных данных не предусмотрен соответствующим документом (например, договором или текстом согласия на обработку персональных данных), для реализации указанных прав субъекту персональных данных необходимо направить в адрес Общества требование: в письменной форме и подписанное собственноручной подписью — по адресу: (указать адрес); в форме электронного документа — на электронную почту: (указать почту). Заявление лица должно содержать описание требований, а также информацию, способную его идентифицировать как субъекта персональных данных, чьи данные обрабатывает Оператор.

 

 

• Заключительные положения

 

 

10.1 Иные права и обязанности Оператора как оператора персональных данных определяются законодательством Российской Федерации в области персональных данных. Оператор, его должностные лица и работники несут гражданско-правовую, административную и иную ответственность за несоблюдение принципов и условий обработки персональных данных, а также за разглашение или незаконное использование персональных данных.

 

ПРИЛОЖЕНИЕ № 1 - Реестр процессов обработки персональных данных.

 

 

 

 

 

 

 

 

 

 

 

 

 

Реестр процессов обработки персональных данных

2025 год

Цели:

 

• Подбор персонала (соискателей) на вакантные должности оператора
• Управление трудовыми ресурсами (кадровый учет, воинский учет, оформление внутренней кадровой документации).
• Осуществление начислений и отчислений в соответствии с трудовым законодательством РФ, а также предоставление информации в уполномоченные органы.
• Осуществление бухгалтерского учета, включая осуществление финансовых расчетов с работниками, и подготовка отчетности.
• Обеспечение служебных поездок.
• Подготовка, заключение и исполнение гражданско-правового договора.
• Запись на экзамен.
• Обеспечение безопасности работников и посетителей офиса Оператора, а также обеспечение сохранности имущества.

 

Сокращения:

• ПДн - персональные данные;
• НПА - нормативный правовой акт;
• ИСПДн - информационная система персональных данных;
• ФЗ № 152 - Федеральный закон от 27.07.2006 № 152-ФЗ “О персональных данных”;
• ФЗ № 402 - Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете".

Подбор персонала (соискателей) на вакантные должности оператора

Категория субъектов ПДн	Соискатель на замещение вакантной должности.
Правовые основания для обработки	п. 1 ч. 1 ст. 6 ФЗ № 152 - согласие на обработку ПДн.
Источник получения ПДн	Соискатель на замещение вакантной должности.
Категория ПДн	Общие ПДн.
Перечень обрабатываемых ПДн	Фамилия, имя и отчество; пол; дата рождения; семейное положение; фотография; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущий момент); сведения об образовании (в том числе сведения о полученных навыках и знаниях, дипломов ВУЗов, других учебных заведений и курсах повышения квалификации); телефонный номер; электронная почта.
Перечень действий с ПДн	Сбор, хранение, уточнение (обновление, изменение), использование, удаление, уничтожение, запись, систематизация, блокирование.
Способы обработки ПДн	С использованием средств автоматизации, без использования средств автоматизации, смешанная.
Место хранения ПДн	Помещение, арендуемое оператором. Адрес: Сервер, арендуемый оператором.
Срок обработки и хранения ПДн	1 год после завершения собеседования.
Порядок уничтожения	Использование технических средств при уничтожении из ИСПДн. Измельчение в шредере.
Трансграничная передача ПДн	Не осуществляется.

Управление трудовыми ресурсами (кадровый учет, воинский учет, оформление внутренней кадровой документации)

Категория субъектов ПДн	Работники (в том числе по договорам ГПХ), родственники работников, уволенные работники.
Правовые основания для обработки	п. 1 ч. 1 ст. 6 ФЗ № 152 - письменное согласие на обработку ПДн в случае передачи ПДн третьим лицам. п. 2 ч. 1 ст. 6 ФЗ № 152: Трудовой кодекс РФ; Федеральный закон от 28.03.1998 № 53-ФЗ “О воинской обязанности и военной службе”; Постановление Правительства РФ от 27.11.2006 № 719 “Об утверждении Положения о воинском учете”; Рекомендации по ведению воинского учета в организации, разработанных Генеральным штабом ВС РФ от 11.07.2017; иные НПА.
Источник получения ПДн	Работники и уволенные работники.
Категория ПДн	Общие ПДн и специальные ПДн.
Перечень обрабатываемых ПДн	Работники и уволенные работники: фамилия, имя и отчество; пол; данные документа, удостоверяющего личность; дата рождения; место рождения; номер страхового свидетельства государственного пенсионного страхования; ИНН; сведения о гражданстве; адрес регистрации; адрес фактического проживания; телефонный номер; электронная почта; реквизиты банковской карты; сведения о выплатах и премиях; сведения об удержаниях из заработной плате; сведения о трудовой деятельности, трудовом стаже; сведения о социальном положении (сведения о социальных льготах); сведения о состоянии здоровья (сведения о беременности, инвалидности с целью предоставления налоговых вычетов, различных льгот и расчета листов нетрудоспособности); отношение к воинской обязанности и сведения о воинском учете; должность; сведения об образовании, ученых степенях, званиях и наградах; семейное положение и сведения о семье. Родственник работников: степень родства; фамилия, имя и отчество; дата рождения.
Перечень действий с ПДн	Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление и уничтожение.
Способы обработки ПДн	С использованием средств автоматизации, без использования средств автоматизации, смешанная.
Место хранения ПДн	Помещение, арендуемое оператором. Адрес: Архив. Адрес: Сервер, арендуемый оператором. Адрес:
Срок обработки и хранения ПДн	при трудоустройстве - на срок трудоустройства; 10 лет после расторжения трудового договора; 75 лет при переносе ПДн в архив (архивное хранение).
Порядок уничтожения	Использование технических средств при уничтожении из ИСПДн. Измельчение в шредере.
Трансграничная передача ПДн	Не осуществляется.

Осуществление начислений и отчислений в соответствии с трудовым законодательством РФ,
а также предоставление информации в уполномоченные органы

Категория субъектов ПДн	Работники.
Правовые основания для обработки	п. 1 ч. 1 ст. 6 ФЗ № 152 - письменное согласие на обработку ПДн в случае передачи ПДн третьим лицам. п. 2 ч. 1 ст. 6 ФЗ № 152: Трудовой кодекс РФ; иные НПА.
Источник получения ПДн	Работники.
Категория ПДн	Общие ПДн.
Перечень обрабатываемых ПДн	Фамилия, имя и отчество; размер заработной платы.
Перечень действий с ПДн	Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление и уничтожение.
Способы обработки ПДн	С использованием средств автоматизации, без использования средств автоматизации, смешанная.
Место хранения ПДн	Помещение, арендуемое оператором. Адрес: Архив. Адрес:  помещение. Сервер, арендуемый оператором. Адрес:
Срок обработки и хранения ПДн	при трудоустройстве - на срок трудоустройства; 10 лет после расторжения трудового договора; 75 лет при переносе ПДн в архив (архивное хранение).
Порядок уничтожения	Использование технических средств при уничтожении из ИСПДн. Измельчение в шредере.
Трансграничная передача ПДн	Не осуществляется

Осуществление бухгалтерского учета, включая осуществление финансовых расчетов с работниками, и подготовка отчетности

Категория субъектов ПДн	Работники.
Правовые основания для обработки	п. 1 ч. 1 ст. 6 ФЗ № 152 - письменное согласие на обработку ПДн в случае передачи ПДн третьим лицам. п. 2 ч. 1 ст. 6 ФЗ № 152: Трудовой кодекс РФ; иные НПА.
Источник получения ПДн	Работники.
Категория ПДн	Общие ПДн.
Перечень обрабатываемых ПДн	Фамилия, имя и отчество; данные документа, удостоверяющего личность; размер заработной платы; реквизиты банковской карты; номер лицевого счета.
Перечень действий с ПДн	Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление и уничтожение.
Способы обработки ПДн	С использованием средств автоматизации, без использования средств автоматизации, смешанная.
Место хранения ПДн	Помещение, арендуемое оператором. Адрес: Архив. Адрес: Сервер, арендуемый оператором. Адрес:
Срок обработки и хранения ПДн	при трудоустройстве - на срок трудоустройства; 10 лет после расторжения трудового договора; 75 лет при переносе ПДн в архив (архивное хранение).
Порядок уничтожения	Использование технических средств при уничтожении из ИСПДн. Измельчение в шредере.
Трансграничная передача ПДн	Не осуществляется

 

Обеспечение служебных поездок

Категория субъектов ПДн	Работники.
Правовые основания для обработки	п. 1 ч. 1 ст. 6 ФЗ № 152 - письменное согласие на обработку ПДн в случае передачи ПДн третьим лицам. п. 2 ч. 1 ст. 6 ФЗ № 152: Трудовой кодекс РФ; иные НПА.
Источник получения ПДн	Работники.
Категория ПДн	Общие ПДн.
Перечень обрабатываемых ПДн	Фамилия, имя и отчество; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами РФ; сведения полиса медицинской страховки; гражданство; сведения о ранее выданных визах; сведения о трудовой деятельности; должность; сведения о доходах; электронная почта; адрес места жительства; телефонный номер.
Перечень действий с ПДн	Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление и уничтожение.
Способы обработки ПДн	С использованием средств автоматизации, без использования средств автоматизации, смешанная.
Место хранения ПДн	Помещение, арендуемое оператором. Адрес: Архив. Адрес: Сервер, арендуемый оператором. Адрес:
Срок обработки и хранения ПДн	при трудоустройстве - на срок трудоустройства; 10 лет после расторжения трудового договора; 5 лет при переносе ПДн в архив (архивное хранение).
Порядок уничтожения	Использование технических средств при уничтожении из ИСПДн. Измельчение в шредере.
Трансграничная передача ПДн	Не осуществляется.

Подготовка, заключение и исполнение гражданско-правового договора

Категория субъектов ПДн	Клиент, представитель клиента, выгодоприобретатель.
Правовые основания для обработки	п. 1 ч. 1 ст. 6 ФЗ № 152: с письменного согласия в случае привлечения третьего лица к обработке ПДн или в случае обработки специальной категории ПДн; с устного согласия в случае проведения телефонного разговора с клиентом. п. 2 ч. 1 ст. 6 ФЗ № 152: ч. 1 и 2 ст. 29 ФЗ № 402; пп. 8 п. 1 ст. 23 Налогового кодекса РФ. п. 5 ч. 1 ст. 6 ФЗ № 152 - обработка персональных данных необходима для исполнения договора, по которому субъект ПДн является стороной, выгодоприобретателем или поручителем. п. 7 ч. 1 ст. 6 ФЗ № 152 - обработка персональных данных необходима для осуществления прав и законных интересов оператора.
Источник получения ПДн	Клиент, представитель клиента, выгодоприобретатель.
Категория ПДн	Общие ПДн и специальные ПДн.
Перечень обрабатываемых ПДн	Клиент: фамилия, имя и отчество; дата и место рождения; телефонный номер; электронная почта; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами РФ; реквизиты банковской карты; номер лицевого счета; пол; возраст; гражданство; адрес регистрации; адрес фактического проживания; специальные ПДн (касающиеся состояния здоровья, ограничений здоровья); и иные ПДн, которые требуются для полного и надлежащего исполнения обязательств по гражданско-правовому договору. Представитель клиента:  фамилия, имя и отчество; дата рождения; данные документа, удостоверяющего личность; адрес регистрации; телефонный номер; электронная почта; и иные ПДн, необходимые для установления полномочий представителя. Выгодоприобретатель: фамилия, имя и отчество; дата и место рождения; телефонный номер; электронная почта; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами РФ; реквизиты банковской карты; номер лицевого счета; пол; возраст; гражданство; адрес регистрации; адрес фактического проживания; специальные ПДн (касающиеся состояния здоровья); и иные ПДн, которые требуются для полного и надлежащего исполнения обязательств по гражданско-правовому договору.
Перечень действий с ПДн	Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление и уничтожение.
Способы обработки ПДн	С использованием средств автоматизации, без использования средств автоматизации, смешанная.
Место хранения ПДн	Помещение, арендуемое оператором. Адрес: Архив. Адрес: Сервер, арендуемый оператором. Адрес:
Срок обработки и хранения ПДн	На срок действия договора; 10 лет после исполнения обязательств по договору или расторжения договора; 75 лет после переноса ПДн в архив (архивное хранение).
Порядок уничтожения	Использование технических средств при уничтожении из ИСПДн. Измельчение в шредере.
Трансграничная передача ПДн	Не осуществляется.

Запись на экзамен

Категория субъектов ПДн	Посетитель сайта.
Правовые основания для обработки	п. 1 ч. 1 ст. 6 ФЗ № 152 - согласие на обработку ПДн.
Источник получения ПДн	Посетитель сайта.
Категория ПДн	Общие ПДн.
Перечень обрабатываемых ПДн	фамилия, имя, пол, дата рождения, место рождения, информация о гражданстве; электронная почта, телефон; отметка о наличии ограниченных возможностей здоровья;
Перечень действий с ПДн	Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление и уничтожение.
Способы обработки ПДн	С использованием средств автоматизации.
Место хранения ПДн
Срок обработки и хранения ПДн	В течение 12 месяцев со дня направления данных Оператору. До отзыва согласия.
Порядок уничтожения	Использование технических средств при уничтожении из ИСПДн.
Трансграничная передача ПДн	осуществляется*

* Оператор хранит персональные на серверах на территории Российской Федерации. В случае трансграничной передачи персональных данных субъект персональных данных дает на это письменное согласие. Трансграничная передача персональных данных осуществляется Оператором в Центральное правление Гёте - Института в г. Мюнхене (Германия) (Goethe Institut e.V. Адрес: Zentrale München, Oskar-von-Miller-Ring 18, 80333 München). Оператор осуществляет трансграничную передачу персональных данных в Центральное правление Гёте - Института в г. Мюнхене (Германия) (Goethe Institut e.V. Адрес: Zentrale München, Oskar-von-Miller-Ring 18, 80333 München) в соответствии с требованиями действующего законодательства Российской Федерации. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с требованиями действующего законодательства Российской Федерации.

Обеспечение безопасности работников и посетителей офиса (помещения) Оператора, а также обеспечение сохранности имущества

Категория субъектов ПДн	Работники и посетители офиса.
Правовые основания для обработки	п. 7 ч. 1 ст. 6 ФЗ № 152 - обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц.
Источник получения ПДн	Работники и посетители офиса.
Категория ПДн	Общие ПДн.
Перечень обрабатываемых ПДн	Видеоизображение.
Перечень действий с ПДн	Сбор, запись, систематизация, накопление, хранение, извлечение, использование, передача (предоставление, доступ), блокирование, удаление и уничтожение.
Способы обработки ПДн	С использованием средств автоматизации.
Место хранения ПДн
Срок обработки и хранения ПДн	7 дней после записи видеоизображения.
Порядок уничтожения	Использование технических средств при уничтожении из ИСПДн.
Трансграничная передача ПДн	Не осуществляется.