Политика
Муниципального бюджетного учреждения дополнительного образования
«Спортивная школа «Старый соболь» (МБУ ДО «СШ «Старый соболь»)
в отношении обработки персональных данных (ПД)
1. Общие положения
1.1. Настоящая Политика Муниципального бюджетного учреждения дополнительного образования «Спортивная школа «Старый соболь» (МБУ ДО «СШ «Старый соболь» в отношении обработки персональных данных (далее – Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее - Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных (далее - ПД), в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Политика действует в отношении всех ПД, которые обрабатывает Муниципальное бюджетное учреждение дополнительного образования «Спортивная школа «Старый соболь» (далее – Оператор, МБУ ДО «СШ «Старый соболь»)
1.3. Политика распространяется на отношения в области обработки ПД, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.4. Во исполнение требований ч. 2 ст. 18.1 Закона о ПД настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора, включая информацию о сборе и обработке cookie-файлов.
1.5. Основные понятия, используемые в Политике:
ПД – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор ПД (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка ПД – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передачу (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение.
автоматизированная обработка ПД – обработка персональных данных с помощью средств вычислительной техники;
распространение ПД – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление ПД – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование ПД – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение ПД – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание ПД – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система ПД – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
сбор cookie-файлов – создание во время посещения сайта небольших фрагментов данных, которые сохраняются на устройстве субъекта персональных данных и собирают информацию о его действиях на конкретной странице.
1.6. Основные права и обязанности Оператора.
1.6.1. Оператор имеет право:
- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о ПД и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о ПД или другими федеральными законами;
- поручить обработку ПД другому лицу с согласия субъекта ПД, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку ПД по поручению Оператора, обязано соблюдать принципы и правила обработки ПД, предусмотренные Законом о ПД, соблюдать конфиденциальность ПД, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о ПД;
- в случае отзыва субъектом персональных данных согласия на обработку ПД Оператор вправе продолжить обработку ПД без согласия субъекта ПД при наличии оснований, указанных в Законе о ПД.
1.6.2. Оператор обязан:
- организовывать обработку ПД в соответствии с требованиями Закона о ПД;
- отвечать на обращения и запросы субъектов ПД и их законных представителей в соответствии с требованиями Закона о ПД;
- сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;
- в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) ПД.
1.7. Основные права субъекта ПД. Субъект ПД имеет право:
- получать информацию, касающуюся обработки его ПД, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту ПД Оператором в доступной форме, и в них не должны содержаться ПД, относящиеся к другим субъектам ПД, за исключением случаев, когда имеются законные основания для раскрытия таких ПД. Перечень информации и порядок ее получения установлен Законом о ПД;
- требовать от оператора уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- дать предварительное согласие на обработку ПД в целях продвижения на рынке товаров, работ и услуг;
- обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке его ПД.
1.8. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки ПД у Оператора.
1.9. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов Оператора в сфере обработки и защиты ПД определяется в соответствии с законодательством Российской Федерации.
2. Цели обработки ПД
2.1. Обработка ПД ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПД, несовместимая с целями сбора ПД.
2.2. Обработке подлежат только ПД, которые отвечают целям их обработки.
2.3. Обработка Оператором ПД осуществляется в следующих целях:
2.3.1. Ведение кадрового и бухгалтерского учета, в том числе обработка ПД физических лиц по гражданско-правовым договорам.
2.3.2. Обеспечение соблюдения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, в том числе: содействие работникам, уволенным работникам, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, ведение кадрового и бухучета, заполнение и передача в уполномоченные органы требуемых форм отчетности, организация постановки на индивидуальный (персонифицированный) учет работников в системах обязательного пенсионного страхования и обязательного социального страхования.
2.3.3. Обеспечение исполнения работодателем обязательств перед работником, защита прав и законных интересов сторон, исполнение норм трудового и семейного законодательства Российской Федерации (родственники работников).
2.3.4. Подбор персонала, соискателей на вакантные должности оператора (соискатели, кандидаты на замещение вакантных должностей).
2.3.5. Обеспечение соблюдения положений Федерального закона от 29.12.2012 N 273-ФЗ «Об образовании в Российской Федерации», осуществления образовательного процесса в МБУ ДО «СШ «Старый соболь» (далее – Учреждение) и участия в учебно-тренировочных занятиях, физкультурных, спортивных соревнованиях и иных мероприятиях, проводимых Учреждением, в том числе реализация прав участников учебно-тренировочного процесса обучающихся.
2.3.6. Организация образовательного процесса, взаимодействие с родителями, информирование о спортивных мероприятиях и достижениях детей, выполнение обязательных требований российского законодательства, обеспечение безопасности и охрана здоровья несовершеннолетних спортсменов (родители/законные представители обучающихся).
2.3.7. Участие субъекта персональных данных в качестве игрока в физкультурных и спортивных соревнованиях (спортсмены (игроки)).
2.3.8. Участие субъекта персональных данных в качестве тренера, сопровождающего лица команды, арбитра в физкультурных и спортивных соревнованиях.
2.3.9. Заключение и исполнение договоров с контрагентами, представителями контрагентов.
2.3.10. Обеспечение пропускного режима (физические лица по гражданско-правовым договорам; работников/уволенных работников; родственников работников; соискателей/ кандидатов на замещение вакантных должностей; обучающихся; родителей (законных представителей) обучающихся; спортсменов (игроков); тренеров, сопровождающих лица команд, арбитров; контрагентов/представителей контрагентов).
2.4. Использование cookie-файлов для работы отдельных разделов сайта, повышения удобства навигации, улучшения взаимодействия сайта и субъектов ПД.
2.5. Обработка персональных данных субъектов может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.
3. Меры, по обеспечению безопасности ПД при их обработке
При обработке ПД для их защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий Оператор обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие, а именно:
- назначать ответственного за организацию обработки ПД;
- издавать документы, определяющие политику оператора в отношении обработки ПД, локальных актов по вопросам обработки ПД – принято Положение о защите, хранении, обработке и передаче ПД работников, соискателей, обучающихся и их родителей (законных представителей) и иных субъектов ПД от 14 марта 2025 года;
- определять угрозы безопасности ПД при их обработке в информационных системах ПД (далее – информационная система);
- применять правовые, организационные и технические меры по обеспечению безопасности ПД, а также при их обработке в информационных системах, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПД;
- осуществлять внутренний контроль соответствия обработки ПД настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПД, политике оператора в отношении обработки ПД, локальным актам оператора;
- осуществлять контроль за принимаемыми мерами по обеспечению безопасности ПД и уровнем защищенности информационных систем.
- оценивать вред в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПД, который может быть причинен субъектам ПД, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей;
- проводить оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы;
- применять средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия;
- применять для уничтожения ПД средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия, в составе которых реализована функция уничтожения информации;
- вести учет машинных носителей ПД;
- обеспечивать обнаружение фактов несанкционированного доступа к ПД и принимать меры, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы и по реагированию на компьютерные инциденты в них;
- обеспечивать восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установить правила доступа к ПД, обрабатываемым в информационной системе, а также обеспечить регистрацию и учет всех действий, совершаемых с ПД в информационной системе;
- ознакомить работников оператора, непосредственно осуществляющих обработку ПД, с положениями законодательства Российской Федерации о ПД, в том числе требованиями к защите ПД, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки ПД.
4. Правовые основания обработки персональных данных
4.1. Правовым основанием обработки ПД является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку ПД, в том числе:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 04.12.2007 № 329-ФЗ «О физической культуре и спорте в Российской Федерации»;
- Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»;
- иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
4.2. Правовым основанием обработки ПД также являются:
- устав МБУ ДО «СШ «Старый соболь»;
- договоры, заключаемые между Оператором и субъектами ПД;
- согласие субъектов ПД на обработку их ПД.
5. Объем и категории обрабатываемых ПД, категории субъектов ПД
5.1. Содержание и объем обрабатываемых ПД должны соответствовать заявленным целям обработки, предусмотренным в разд. 2 настоящей Политики. Обрабатываемые ПД не должны быть избыточными по отношению к заявленным целям их обработки.
5.2. Оператор может обрабатывать ПД следующих категорий субъектов ПД:
- физические лица по гражданско-правовым договорам;
- работников/уволенных работников;
- родственников работников;
- соискателей/ кандидатов на замещение вакантных должностей;
- обучающихся;
- родителей (законных представителей) обучающихся;
- спортсменов (игроков);
- тренеров, сопровождающих лица команд, арбитров;
- контрагентов/представителей контрагентов;
5.2.1. Физические лица по гражданско-правовым договорам – для целей ведения кадрового и бухгалтерского учета, в том числе обработка ПД:
- фамилия, имя, отчество;
- пол;
- гражданство;
- год рождения, месяц рождения, дата рождения и место рождения;
- данные документа, удостоверяющего личность;
- адрес электронной почты, номер телефона;
- индивидуальный номер налогоплательщика;
- страховой номер индивидуального лицевого счета (СНИЛС);
- сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
- реквизиты банковской карты, номер лицевого счета;
- иные ПД, предоставляемые физическими лицами по гражданско-правовым договорам в соответствии с требованиями трудового законодательства (сведения об удержании алиментов);
5.2.2. Работники, уволенные работники Оператора – для целей обеспечения соблюдения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений:
- фамилия, имя, отчество;
- пол;
- гражданство;
- год рождения, месяц рождения, дата рождения и место рождения;
- изображение (фотография, видео);
- данные документа, удостоверяющего личность;
- адрес регистрации по месту жительства;
- адрес фактического проживания;
- адрес электронной почты, номер телефона;
- социальное положение;
- индивидуальный номер налогоплательщика;
- страховой номер индивидуального лицевого счета (СНИЛС);
- сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
- семейное положение, наличие детей, родственные связи;
- сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
- данные о регистрации брака;
- сведения о судимости
- сведения о воинском учете;
- сведения о доходе с предыдущего места работы;
- фото-видео изображение лица;
- реквизиты банковской карты, номер лицевого счета;
- иные ПД, предоставляемые работниками в соответствии с требованиями трудового законодательства (сведения об инвалидности; сведения об удержании алиментов).
5.2.3. Родственники работников Оператора – для целей обеспечения исполнения работодателем обязательств перед работником, защиты прав и законных интересов сторон, исполнения норм трудового и семейного законодательства Российской Федерации:
- фамилия, имя, отчество;
- реквизиты документа, удостоверяющего личность родителя (законного представителя);
- год рождения, месяц рождения, дата рождения;
- реквизиты банковской карты;
- иные ПД, предоставляемые работниками в соответствии с требованиями трудового законодательства (сведения из документов, подтверждающих родство с работником).
