Войти
Подключить ОО

Политика конфиденциальности Дневник.ру

Введение

Общество с ограниченной ответственностью «Дневник.ру» (далее – Компания), являясь поставщиком цифровых продуктов в сфере образования Российской Федерации, объединяющих в себе электронный журнал и дневник, инструменты сетевого взаимодействия для обучающихся, учителей и родителей, а также реализующих иные связанные функции, осознает свою ответственность перед пользователями за сохранность их персональных данных.

Важнейшим условием реализации целей деятельности и одной из приоритетных задач Компании является обеспечение необходимого и достаточного уровня информационной безопасности и технологических процессов обработки персональных данных.

Обработка персональных данных осуществляется Компанией в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных). Компания обеспечивает защиту персональных данных согласно требованиям нормативно-правовых актов Российской Федерации в сфере информационной безопасности, включая акты Федеральной службы безопасности Российской Федерации (ФСБ России), Федеральной службы по техническому и экспортному контролю (ФСТЭК России), а также Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Настоящая Политика определяет принципы, порядок и условия обработки персональных данных с целью обеспечения защиты прав субъектов персональных данных.

Субъекты и состав персональных данных

Перечень данных, подлежащих защите в Компании, устанавливается в соответствии Законом о персональных данных. Сведениями, составляющими персональные данные, является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработке подлежат только общие категории персональных данных, а именно: сведения, позволяющие идентифицировать субъекта персональных данных, но при этом не отнесенные законом к специальным категориям. К общим категориям персональных данных могут быть отнесены фамилия, имя, отчество, дата, место рождения, пол, адрес, гражданство, СНИЛС и др.

В зависимости от субъекта персональных данных Компания обрабатывает:

  • Персональные данные работников и контрагентов Компании, составляющие информацию, необходимую в рамках трудовых или гражданско-правовых отношений с указанными лицами.

    К общим категориям персональных данных указанных субъектов может относиться, помимо сведений, указанных выше в настоящем разделе, также информация об образовании, квалификации, стаже и др. Конкретный перечень подлежащих обработке персональных данных определяется согласием на обработку персональных данных.

  • Персональные данные обучающихся, их законных представителей, сотрудников образовательных организаций, составляющие информацию, получаемую Компанией от образовательных организаций, а также персональные данные сотрудников органов управления образованием, необходимые для достижения целей, связанных с предоставлением доступа к цифровым образовательным платформам и их использованием указанными лицами.

    К общим категориям персональных данных указанных субъектов может относиться, помимо сведений, указанных выше в настоящем разделе, также информация об образовании, включая данные об успеваемости, аттестации и др. Конкретный состав персональных данных определяется целями обработки, установленными соглашением между образовательной организацией и Компанией, исходя из целей, содержащихся в соответствующих согласиях на обработку персональных данных указанных субъектов.

Способы обработки персональных данных

Компания осуществляет обработку персональных данных с использованием средств автоматизации, а также без использования таких средств, следующими способами:

сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Компания может осуществлять обезличивание только в отношении тех персональных данных, непосредственным оператором которых является (персональные данные работников и контрагентов Компании) и только с соблюдением порядка и требований, предъявляемых законодательством Российской Федерации.

Компания, действуя как лицо, уполномоченное оператором на обработку, не осуществляет самостоятельное обезличивание персональных данных, получаемых от образовательных организаций.

Цели обработки персональных данных

Компания осуществляет обработку персональных данных в следующих целях:

  • Организация кадрового учета в Компании, заключение и исполнение трудовых и гражданско-правовых договоров, ведение кадрового делопроизводства, обучение персонала, предоставление льгот, исполнение требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц и иных применимых налогов и сборов, исполнение требований пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование, заполнение первичной статистической документации в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, иными нормативно-правовыми актами, в частности Федеральным законом «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
  • Обеспечение процесса ведения электронного журнала и дневника, предоставление обучающемуся и его законным представителям информации о текущей успеваемости в электронном формате, обеспечение учета обучающихся в организациях образования, организация учебного процесса и процесса мониторинга качества образовательных услуг, обеспечение взаимодействия законных представителей, обучающихся и преподавателей в электронном виде, а также информирование о новостях и возможностях цифровых образовательных платформ.

Сроки обработки персональных данных

Если иное не установлено обязательными требованиями законодательства Российской Федерации, сроки обработки персональных данных ограничены достижением целей обработки, определяемым:

  • Для обучающихся и их родителей/законных представителей – сроками обучения в образовательной организации;
  • Для сотрудников образовательных организаций – сроками работы в образовательной организации;
  • Для сотрудников органов управления образованием – сроками работы в соответствующем органе управления образованием;
  • Для сотрудников и контрагентов Компании – сроками соответствующих трудовых или гражданско-правовых договоров.

Для всех вышеперечисленных категорий субъектов срок прекращения обработки может определяться моментом отзыва согласия на обработку персональных данных, если такой отзыв происходит ранее окончания указанных выше сроков.

Специальные требования по хранению документов, содержащих персональные данные, за пределами описанных сроков могут быть установлены отельными законодательными актами Российской Федерации, в частности Федеральным законом от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации».

Сроки обязательного хранения документов определяются нормативно-правовыми актами в сфере архивного хранения и иными нормативными актами Российской Федерации.

Права и обязанности

Компания и субъекты персональных данных обладают правами и исполняют обязанности, возложенные на них законодательством Российской Федерации в сфере персональных данных.

Компания, действуя как оператор персональных данных или лицо, уполномоченное оператором на обработку персональных данных (в зависимости от того, что применимо) вправе, в том числе:

  • отстаивать свои интересы в суде;
  • предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
  • отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;
  • не собирать отдельные согласия на обработку персональных данных, если обработка таких данных осуществляется по поручению непосредственного оператора персональных данных на основании полученных оператором согласий (часть 3, часть 4 статьи 6 Закона о персональных данных).

Компания обязуется соблюдать все применимые к ней требования, установленные Законом о персональных данных и иными нормативно-правовыми актами, а также исполнять соответствующие обязанности, включая обязанность по обеспечению конфиденциальности и защиты данных, локализации персональных данных, своевременному предоставлению сведений субъектам персональных данных и др.

Субъект персональных данных имеет право, включая, но не ограничиваясь:

  • требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
  • требовать перечень своих персональных данных, обрабатываемых Компанией и источник их получения;
  • получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
  • требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
  • обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
  • на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
  • требовать соблюдения иных прав, предусмотренных Законом о персональных данных.

Принципы и условия обработки персональных данных

Обработка персональных данных осуществляется Компанией на основе принципов, установленных статьей 5 Закона о персональных данных, включая, но не ограничиваясь принципы законности, справедливости, конфиденциальности и целевой обработки персональных данных.

Компания обрабатывает персональные данные с учетом условий, установленных статьей 6 Закона о персональных данных, а также иных требований, предъявляемых законодательством Российской Федерации.

Порядок уничтожения персональных данных

Персональные данные обучающихся, их родителей/законных представителей и сотрудников образовательных организаций уничтожаются Компанией на основании официального запроса образовательной организации как непосредственного оператора персональных данных указанных субъектов.

Для уничтожения персональных данных обучающихся, их родителей/законных представителей и сотрудников образовательных организаций, содержащихся в цифровых образовательных платформах, администрируемых Компанией, необходимо обратиться в образовательную организацию с запросом на удаление персональных данных. Образовательная организация направляет соответствующее поручение Компании для осуществления технического удаления персональных данных из системы. Компания осуществляет уничтожение персональных данных в сроки, установленные Законом о персональных данных.

Персональные данные сотрудников и контрагентов Компании уничтожаются после достижения целей обработки и истечения сроков архивного хранения, установленных законодательными актами Российской Федерации, или по запросу субъекта персональных данных.

Обеспечение безопасности персональных данных

Компания предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

1. Организационные меры:

  • Назначены лица, ответственные за обработку и безопасность персональных данных.
  • Внедрены соответствующие внутренние регламенты и политики.
  • Персонал Компании обучается и обязуется соблюдать конфиденциальность данных.

2. Защита доступа и учетных записей:

  • Используются уникальные учетные записи и сложные пароли.
  • Доступ предоставляется строго в рамках должностных обязанностей («принцип минимальных привилегий»).
  • Права доступа регулярно пересматриваются и аннулируются при увольнении.

3. Техническая защита:

  • Применяются средства защиты информации, прошедшие сертификацию ФСТЭК РФ, в том числе антивирусные средства, межсетевые экраны, производится регулярное обновление программного обеспечения.
  • Осуществляется резервное копирование данных и тестирование их восстановления.
  • Все технические средства, обрабатывающие персональные данные, размещаются на территории РФ.
  • Используется шифрование (СКЗИ) для защиты данных при передаче.
  • Трансграничная передача персональных данных не осуществляется.

4. Физическая защита:

  • Обеспечен контроль доступа в помещения, где обрабатываются персональные данные.
  • Материальные носители персональных данных учитываются и подлежат защищенному уничтожению.

5. Мониторинг и реагирование на инциденты:

  • Ведется мониторинг и аудит действий с персональными данными для выявления угроз.
  • Действует процедура реагирования на инциденты безопасности, включая уведомление регулятора и субъектов персональных данных при необходимости.

6. Оценка и контроль:

  • Регулярно проводятся внутренние проверки и оценка эффективности мер защиты.
  • Компания соблюдает требования законодательства Российской Федерации, включая Закон о персональных данных, и уведомляет Роскомнадзор об обработке персональных данных.

7. Права субъектов ПДн:

  • Обеспечивается возможность реализации прав субъектов персональных данных, установленных Законом о персональных данных, включая доступ, уточнение, блокирование, отзыв согласия на обработку персональных данных.

В целях координации действий по обеспечению безопасности персональных данных в Компании назначены сотрудники, ответственные за обеспечение безопасности персональных данных.

Заключительные положения

Настоящая Политика является общедоступной и размещена на постоянной основе на официальном сайте Компании.

Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных. Компания осуществляет ежегодный мониторинг актуальности Политики и предпринимает необходимые усилия для поддержания ее соответствия действующему законодательству Российской Федерации.

Контроль исполнения требований настоящей Политики осуществляется сотрудниками, ответственными за обеспечение безопасности персональных данных в Компании.