Утверждено
ИП Гаджиева Меседу Хаджи Омаровна
16.07.2024г.
Политика оператора
в отношении обработки персональных данных
клиентов, с которыми заключен договор-оферта
на оказание образовательных услуг
2024г.
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика разработана в соответствии с положениями Конституции Российской Федерации, Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных).
1.2. В настоящей Политике используются следующие понятия:
- оператор – ИП Гаджиева Меседу Хаджи Омаровна, ИНН 772075301926, ОГРНИП 319774600269606;
- пользователь - физическое лицо, пользователь услуг оператора, субъект персональных данных, добровольно заполнивший анкету, зарегистрировавшийся и предоставивший необходимые персональные данные при регистрации;
- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.3. Настоящая Политика устанавливает порядок получения, защиты, хранения, обработки и передачи персональных данных пользователей, действует в отношении всей информации, которую оператор может получить о пользователях в результате их регистрации путем заполнения специальной формы.
1.4. Все персональные данные о пользователях оператор может получить только от них самих.
Персональные данные пользователей являются конфиденциальной информацией и не могут быть использованы оператором или любым иным лицом в личных целях.
1.5. Цели обработки персональных данных пользователей: исполнение обязательств по договору-оферте на оказание образовательных услуг, а также осуществление рассылок информационного и рекламного характера.
1.6. Оператор обеспечивает пользователям свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных законодательством.
1.7. Оператор разрабатывает меры защиты персональных данных пользователей. Электронная почта оператора для обращений: bm.besideme@gmail.com.
2. ОБРАБОТКА, ХРАНЕНИЕ И ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ПОЛЬЗОВАТЕЛЕЙ
2.1. Обработка персональных данных пользователей осуществляется исключительно в целях, указанных в п. 1.5. настоящей Политики.
2.2. Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без использования таких средств.
2.3. К категориям субъектов персональных данных относятся:
2.3.1. Пользователи.
В данной категории субъектов оператором обрабатываются следующие персональные данные:
а) Общие персональные данные
Перечень персональных данных:
- Фамилия
- Имя
- Отчество
- Электронная почта
- Номер телефона
Способ обработки:
Смешанный
Срок обработки:
До момента отзыва согласия субъекта на обработку персональных данных
Срок хранения:
До момента отзыва согласия субъекта на обработку персональных данных
В случае добровольного предоставления данных пользователем в личном кабинете платформы GetCourse и иными способами:
Перечень персональных данных:
- Страна
- Город
- Пол
- Дата рождения
- Фотоизображение субъекта персональных данных
- Профессия
- Образование
Способ обработки:
Смешанный
Срок обработки:
До момента отзыва согласия субъекта на обработку персональных данных
Срок хранения:
До момента отзыва согласия субъекта на обработку персональных данных
2.4. Персональные данные пользователей хранятся в электронном виде в информационной системе персональных данных оператора и платформы GetCourse, а также в архивных копиях баз данных оператора и платформы Get Course.
При хранении персональных данных пользователей соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним.
К обработке персональных данных пользователей могут иметь доступ только специалисты оператора, допущенные к работе с персональными данными пользователей и подписавшие соглашение о неразглашении персональных данных пользователей.
2.5. Оператор может передавать персональные данные пользователей третьим лицам, только если это необходимо в целях предупреждения угрозы их жизни и здоровью, а также в случаях, установленных законодательством.
2.6. При передаче персональных данных пользователей оператор предупреждает лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требует от этих лиц письменное подтверждение соблюдения этого условия.
2.7. Согласие на обработку персональных данных, разрешенных пользователем для распространения, оформляется отдельно от иных согласий пользователя на обработку его персональных данных. Оператор обеспечивает пользователю возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных им для распространения.
2.8. В согласии на обработку персональных данных, разрешенных пользователем для распространения, он вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.
2.9. Передача (распространение, предоставление, доступ) персональных данных, разрешенных пользователем для распространения, должна быть прекращена в любое время по его требованию. Указанные в данном требовании персональные данные могут обрабатываться только оператором.
2.10. В целях повышения качества сервиса и обеспечения возможности правовой защиты оператор вправе хранить лог-файлы о действиях, совершенных пользователями в рамках заполнения формы регистрации и использования платформы GetCourse.
3. ТРЕБОВАНИЯ К ОБОРУДОВАНИЮ И ПОМЕЩЕНИЯМ, В КОТОРЫХ ПРОИЗВОДИТСЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Размещение оборудования информационных систем персональных данных, специального оборудования и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
4. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА
4.1. Оператор вправе устанавливать требования к составу персональных данных пользователей, которые должны обязательно предоставляться при заполнении формы регистрации и использовании платформы GetCourse, при этом оператор руководствуется настоящей Политикой, Конституцией Российской Федерации, иными федеральными законами.
4.2. Оператор не осуществляет проверку достоверности предоставляемых пользователями персональных данных, полагая, что они действуют добросовестно и поддерживают информацию о своих персональных данных в актуальном состоянии.
4.3. Оператор не несет ответственности за добровольную передачу пользователями своих контактных данных, пароля или логина от личного кабинета платформы GetCourse третьим лицам.
4.4. Оператор не вправе получать и обрабатывать персональные данные пользователей о их политических, религиозных и иных убеждениях.
4.5. Оператор за свой счет обеспечивает защиту персональных данных пользователей от неправомерного использования или утраты в порядке, установленном законодательством Российской Федерации.
4.6. Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам, в частности, относятся:
- назначение ответственного за организацию обработки персональных данных;
- издание документов, определяющих политику в отношении обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы не могут содержать положения, ограничивающие права пользователей, а также возлагающие на оператора не предусмотренные законодательством Российской Федерации полномочия и обязанности;
- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике в отношении обработки персональных данных;
- оценка вреда, который может быть причинен пользователям в случае нарушения Закона о персональных данных, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
- ознакомление специалистов, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, и (или) обучение указанных специалистов.
5. ПРАВА ПОЛЬЗОВАТЕЛЕЙ НА ЗАЩИТУ СВОИХ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Пользователи в целях обеспечения защиты своих персональных данных имеют право:
- получать полную информацию о своих персональных данных, их обработке, хранении и передаче;
- определять своих представителей для защиты своих персональных данных;
- требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушениями настоящей Политики и законодательства Российской Федерации;
- требовать от оператора извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные пользователей, обо всех произведенных в них исключениях, исправлениях или дополнениях.
При отказе оператора исключить или исправить персональные данные пользователей пользователи вправе заявить оператору в письменном виде о своем несогласии с соответствующим обоснованием.
5.2. Если пользователи считают, что обработка их персональных данных осуществляется с нарушением требований Закона о персональных данных или иным образом нарушает их права и свободы, они вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
5.3. Пользователи вправе в любой момент самостоятельно отредактировать в своем личном кабинете платформы GetCourse предоставленные ими при регистрации персональные данные.
6. ПОРЯДОК УНИЧТОЖЕНИЯ, БЛОКИРОВАНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. В случае выявления неправомерной обработки персональных данных при обращении пользователя оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому пользователю, с момента такого обращения на период проверки.
6.2. В случае выявления неточных персональных данных при обращении пользователя оператор осуществляет блокирование персональных данных, относящихся к этому пользователю, с момента такого обращения на период проверки, если блокирование персональных данных не нарушает права и законные интересы пользователя или третьих лиц.
6.3. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных пользователем, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
6.4. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных.
6.5. В случае если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные.
6.6. Об устранении допущенных нарушений или об уничтожении персональных данных администрация сайта уведомляет пользователя.
6.7. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав пользователя, оператор с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомляет уполномоченный орган по защите прав субъектов персональных данных:
- в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав пользователей, и предполагаемом вреде, нанесенном правам пользователя, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставляет сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
- в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставляет сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
6.8. В случае достижения цели обработки персональных данных оператор прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных.
6.9. В случае отзыва пользователем согласия на обработку его персональных данных оператор прекращает их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва.
6.10. В случае обращения пользователя к оператору с требованием о прекращении обработки персональных данных оператор в срок, не превышающий десяти рабочих дней с даты получения ей соответствующего требования, прекращает их обработку, за исключением случаев, предусмотренных Законом о персональных данных.
Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес пользователя мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
6.11. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 6.4-6.10 настоящей Политики, оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
7. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОЛЬЗОВАТЕЛЕЙ САЙТА
7.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных пользователей сайта, привлекаются к ответственности в порядке, установленном действующим законодательством Российской Федерации.
8. ИЗМЕНЕНИЕ ПОЛИТИКИ
8.1. Настоящая Политика может быть изменена оператором в одностороннем порядке без предварительного уведомления пользователя. Новая редакция Политики вступает в силу с момента ее размещения, если иное не предусмотрено новой редакцией Политики.