Положение по обработке и защите персональных данных
Общие положения
1.1. Настоящее Положение по обработке и защите персональных данных (далее – «Положение») совместно с Положением по обработке файлов cookie определяют порядок и условия обработки Автономной Некоммерческой организации по Развитию Информационных Технологий и Цифровых Компетенций «Астра Академия» (ИНН: 9715514040, адрес: 127254, г Москва, проезд Огородный, 16/1 / стр 5, пом 203, далее — АНО «Астра Академия» , Организация), являющейся Оператором, персональных данных физических лиц (далее – субъект персональных данных/ПДн) в рамках микроцелей по обработке персональных данных, указанных в п. 2.1 настоящего Положения, а также сайта astra-academy.ru и ресурсов, указанных в Приложении №4 настоящего Положения.
1.2. Положение разработано в соответствии с Федеральным законом от 27 июля 2006 № 152-ФЗ «О персональных данных», Федеральным законом от 27 июля 2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также «Политикой обработки персональных данных в АНО «Астра Академия» утвержденной приказом Генерального директора №80-2025-02-пдн от 01.12.2025 «Об утверждении и введении в действие Политики обработки персональных данных в АНО «Астра Академия»».
Правовые основания, объем и категории обрабатываемых персональных данных, категории субъектов персональных данных, цели и способы обработки
2.1. Содержание и объем обрабатываемых персональных данных соответствуют указанным ниже целям и основаниям обработки:
Цели обработки ПДн | Правовые основания обработки ПДн | |
Макро цели | Микро цели | |
Подготовка, заключение и исполнение гражданско-правового договора | Информационное обеспечение по вопросам использования сайтов, информационных ресурсов, деятельности Организации, продуктов Группы Астра и курсов пользователя продуктами Группы Астра | - Согласие субъекта персональных данных на обработку персональных данных; - Достижение целей, предусмотренных международным договором Российской Федерации или законом, осуществление и выполнение возложенных на Организацию законодательством Российской Федерации функций, полномочий и обязанностей; - Поручение на обработку персональных данных, договор, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также договор, заключенный по инициативе субъекта персональных данных или договор, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем; – Осуществление прав и законных интересов Организации или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных; – Обеспечение и (или) осуществление защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно. |
Установление предварительных договорных отношений по сотрудничеству и партнерству, согласование условий по передаче конфиденциальной информации, участие в партнерской программе (заключение оферты, сетевого договора, соглашения о неразглашении) | ||
Продвижение товаров и услуг на рынке | Направление информации и приглашений о проводимых Оператором обучающих мероприятий | |
Направлении информации об услугах Организации | ||
Маркетинговые и рекламные рассылки | ||
Рассмотрение обращений граждан | Рассмотрение обращений по порядку обработки Организаций персональных данных субъектов ПДн | |
Направление общих (в том числе потребительских) запросов и обращений | ||
Обеспечение соблюдения законодательства РФ в сфере образования
| Организация прохождения курсов, оставление запросов на прохождение курсов по использованию и администрированию программных продуктов Организации/ Группы Астра | |
Верификация сертификатов обучения на astra-academy.ru | ||
Анализ сведений о посетителях Интернет-ресурсов и их поведения при посещении сайтов Оператора | ||
2.2. Категории обрабатываемых персональных данных, перечень действий и способы обработки:
Цели обработки ПДн | Категории ПДн | Категории субъектов ПДн | Перечень действий | Способ обработки |
Подготовка, заключение и исполнение гражданско-правового договора | ФИО; адрес электронной почты; номер телефона; сведения в анкете и заявке на авторизацию учебного центра, серия и номер сертификата/свидетельства, информация файлов куки (Cookie) в соответствии с Положением по обработке данных файлов cookie IP-адреса устройств субъекта персональных данных; информация о программе, с помощью которой субъект персональных данных осуществляет доступ к сайту; время доступа субъекта персональных данных к сайту; история действий субъекта персональных данных на сайте | Категории субъектов определены в Приложении № 1 к Политике обработки персональных данных в АНО «Астра Академия» | Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ). блокирование, удаление и уничтожение персональных данных Для обозначенных в настоящем Положении целей обработки, персональные данные передаются контрагентам Организации и компаниям Группы Астра, указанным в Приложении № 2 и Приложении № 3 настоящего Положения. | Данные, собранные с информационных ресурсов обрабатываются автоматически с передачей по внутренней сети Организации и с передачей по сети интернет |
Обеспечение соблюдения законодательства РФ в сфере образования | ||||
Рассмотрение обращений граждан | ФИО; номер телефона; адрес личной электронной почты (e-mail); информация файлов куки (Cookies) в соответствии с Положением по обработке данных файлов cookie IP-адреса устройств субъекта персональных данных; информация о программе, с помощью которой субъект персональных данных осуществляет доступ к сайту; время доступа субъекта персональных данных к сайту; история действий субъекта персональных данных на к сайте | |||
Продвижение товаров и услуг на рынке | ||||
Анализ сведений о посетителях Интернет-ресурсов и их поведения при посещении сайтов Оператора | информация файлов куки (Cookies) в соответствии с Положением по обработке данных файлов cookie IP-адреса устройств субъекта персональных данных; информация о программе, с помощью которой субъект персональных данных осуществляет доступ к сайту; время доступа субъекта персональных данных к сайту; история действий субъекта персональных данных на к сайте |
Порядок и условия обработки персональных данных
3.1. Обработка персональных данных Организацией осуществляется с соблюдением следующих принципов и правил:
- обработка осуществляется на законной и справедливой основе;
- обработка ограничивается достижением конкретных, заранее определенных и законных целей;
- обработке подлежат персональные данные, отвечающие целям обработки, при обязательном соответствии их объема и содержания заявленным целям обработки;
- при обработке обеспечиваются точность и достаточность персональных данных и, при необходимости, актуальность по отношению к целям обработки с принятием мер по удалению или уточнению неполных, или неточных данных либо обеспечением принятия таких мер;
- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
- обрабатываемые персональные данные уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации;
- при обработке персональных данных Организация обеспечивает их конфиденциальность и безопасность.
3.2. Обработка Персональных данных Организацией осуществляется следующими способами:
автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой.
3.3. Перечень действий, совершаемых Организацией с персональными данными:
сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (в случае принятия участия в конференциях и мероприятиях, проводимых Организацией совместно с другими организаторами/подрядчиками), блокирование, удаление и уничтожение персональных данных.
3.4. Обработка персональных данных, включая передачу ПДн осуществляется Организацией на основе правовых оснований, указанных в п. 2.1 настоящего Положения. Распространение ПДн осуществляется Организацией на основании согласия субъекта персональных данных на их распространение.
3.5. В случае, если основанием обработки ПДн является согласие, то такое согласие дается в любой форме, позволяющей подтвердить факт его получения от конкретного субъекта ПДн, в том числе посредством технических возможностей, предоставляемых Организацией на сайте. Акцептом (предоставлением согласия) считается в том числе проставление отметки в соответствующем чек-боксе, свидетельствующей о том, что субъект ПДн ознакомился с настоящим Положением и выражает безусловное согласие с обработкой и передачей Организацией персональных данных субъекта на установленных в Положении условиях.
3.6. Субъект ПДн уведомлен об осуществлении обработки и передачи Организацией его ПДн на указанных в Положении правовых основаниях. Субъект ПДн подтверждает, что самостоятельно принимает решение о предоставлении его персональных данных посредством осуществления действий, направленных на использование ресурсов сайта, заключение договора, направление заявления и анкеты или предоставление иной информации, равно как и направление иных запросов на получение обратной связи от Организации и компаний Группы Астра; участие в опросах и прохождение обучения по программным продуктам Группы Астра. Если правовым основанием обработки ПДн является согласие на обработку, то такое согласие является конкретным, информированным и сознательным, отвечающим пунктам настоящего Положения. Согласие на обработку персональных данных в соответствии с настоящим Положением дается Субъектом на срок до реализации целей, изложенных в настоящем Положении.
3.7. Во исполнение требований действующего законодательства, в рамках целей обработки персональных данных, указанных в п.2.1 и 2.2 настоящего Положения, предусмотрено отдельное, выделенное согласен на маркетинговые и рекламные рассылки. Согласие предоставляется как через проставление галочки в чек-боксе форм обратной связи сайта, так и через предоставление акцепта в ответном письме Оператору (при направлении электронных писем на адрес электронной почты субъекта). Такое Согласие даётся на осуществление Оператором следующих действий посредством сетей электросвязи:
- рассылка информационных и (или) рекламных сообщений на адрес электронной почты.
- совершение звонков информационного характера по указанному номеру телефона.
Форма согласия на маркетинговые и рекламные рассылки закреплена в Приложении № 1 настоящего Положения и доступна в тексте Положения при прожатии акцепта в формах обратной связи на ресурсах Оператора и сторонних ресурсах по обучению.
3.8. Обработка персональных данных, разрешенных субъектом персональных данных для распространения осуществляется с соблюдением запретов и условий, установленных статьей 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
3.9. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных.
3.10. Все ПДн следует получать у самого субъекта ПДн или через поручение на сбор ПДн третьей стороне. Если ПДн возможно получить только у третьей стороны, то субъект ПДн должен быть уведомлён об обстоятельствах и основаниях начала обработки ПДн с получением соответствующего подтверждения/согласия.
3.11. В случае отзыва субъектом ПДн согласия на обработку согласно ч. 2 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», продолжение обработки ПДн субъекта без его согласия возможно при наличии оснований, перечисленных п. п. 2 - 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в том числе если обработка ПДн:
- необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
- осуществляется для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
- осуществляется для статистических или иных научных целей при условии обязательного обезличивания ПДн.
3.12. Организация осуществляет блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента обращения или запроса субъекта персональных данных, его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных на период проверки в случае выявления недостоверных персональных данных или неправомерных действий.
3.13. При утрате или разглашении персональных данных Организация информирует субъекта персональных данных об утрате или разглашении его персональных данных.
3.14. Сбор персональных данных и общий доступ к такой информации в приложениях и на сайтах социальных сетей и иных сторонних ресурсах, ссылки на которые содержит сайт, регулируется политиками конфиденциальности и принципами защиты персональных данных администратора конкретной социальной сети или иного стороннего ресурса.
Основные права и обязанности субъекта персональных данных
4.1. Субъект персональных данных имеет право на получение у Организации информации, касающейся обработки его персональных данных.
4.2. Субъект персональных данных вправе требовать от Организации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
4.3. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных.
Основные обязанности Организации
5.1. Предоставлять по запросу субъекта персональных данных информацию об обработке персональных данных или направить соответствующий обоснованный отказ.
5.2. Принимать меры, необходимые и достаточные для выполнения обязанностей, предусмотренных законодательством Российской Федерации.
5.3. По требованию субъекта персональных данных уточнять обрабатываемые персональные данные, блокировать или удалять их, если они являются неполными, устаревшими, неточными, незаконно полученными или ненужными для заявленной цели обработки.
5.4. Обеспечить правомерность обработки персональных данных.
5.5. В случае отзыва субъектом персональных данных согласия на обработку персональных данных прекратить их обработку и уничтожить их. Исключения составляют случаи, когда обработка может быть продолжена в соответствии с законодательством Российской Федерации.
Основания для прекращения обработки данных
6.1. Условиями прекращения обработки персональных данных могут являться достижение или отсутствие необходимости в достижении целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъектом персональных данных, а также выявление неправомерной обработки персональных данных.
6.2. Согласие (в том числе согласие на маркетинговые рассылки) может быть отозвано субъектом ПДн путем письменного уведомления, направленного на адрес электронной почты: edu@astra-academy.ru или через формы обратной связи сайта. Уведомление должно содержать понятное требование и обязательные реквизиты для идентификации лица, в отношении ПДн которого оно составлено.
6.3. Организация обязуется прекратить обработку персональных данных с момента получения от субъекта персональных данных заявления (отзыва) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить их в срок и на условиях, установленных законодательством Российской Федерации.
6.4 Порядок и способы уничтожения персональных данных в АНО «Астра Академия» определяются в соответствии с требованиями законодательства Российской Федерации и локальными нормативными актами АНО «Астра Академия».
Сроки обработки и хранения персональных данных
7.1. Персональные данные субъектов персональных данных хранятся на территории Российской Федерации.
7.2. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных в рамках настоящего Положения, а именно:
- персональные данные хранятся в течение периода использования сайта, иных информационных ресурсов Оператора, а при рассмотрении отдельных запросов – периода выполнения запроса;
- персональные данные контрагентов (сторона договора, студент, слушатель) в течение срока исполнения обязательств по договору.
- персональные данные потенциальных контрагентов, партнёров и инвесторов хранятся в течение срока ведения переговоров, а в случае установления договорных отношений – в течение срока, установленного договором.
- персональные данные подписчиков сайта – в течение периода подписки на получение новостей Организации.
- персональные данные посетителей офиса (мероприятий) – период проведения посещения офиса, если визит не сопряжен с иными целями обработки.
Актуализация и исправление, удаление и уничтожение персональных данных
8.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат актуализации Организацией, иначе их обработка должна быть прекращена.
8.2. Факт неточности персональных данных или неправомерности их обработки может быть установлен либо субъектом персональных данных, либо компетентными государственными органами Российской Федерации.
8.3. При достижении или отсутствии необходимости в достижении целей обработки персональных данных персональные данные подлежат уничтожению.
Передача персональных данных третьим лицам
9.1. Передача персональных данных третьим лицам, в том числе с целью поручения Организацией обработки персональных данных третьим лицам допускается в рамках правовых оснований, указанных в п. 2.1 Положения в соответствии с обозначенными целями (микроцелями) обработки персональных данных, с согласия субъектов персональных данных, предоставленном в порядке, установленном настоящим Положением.
9.2. Для указанных в п. 2.1 Положения целей Оператор может передавать персональные данные субъектов ПДн компаниям Группы Астра, указанным в Приложении №2 и контрагентам, указанным в Приложении №3.
9.3. В соглашениях между Организацией и компаниями Группы Астра предусмотрена обязанность третьего лица по обеспечению конфиденциальности полученной от Организации информации, в том числе и персональных данных рамках соответствующих поручений на обработку персональных данных.
Ответственность сторон
10.1. Организация несёт ответственность за умышленное разглашение персональных данных субъектов персональных данных в соответствии с действующим законодательством Российской Федерации, за исключением случаев, предусмотренных настоящим Положением.
10.2. В случае утраты или разглашения персональных данных Организация не несёт ответственности, если данная информация:
- стала публичным достоянием до её утраты или разглашения;
- была разглашена с согласия субъекта персональных данных;
- была получена третьими лицами путём несанкционированного доступа к файлам Сайта, если со стороны Организации были приняты необходимые организационные и технические меры для защиты данных субъектов персональных данных.
10.3. Субъект персональных данных несёт ответственность за правомерность, корректность и правдивость предоставленных данных в соответствии с законодательством Российской Федерации.
Обращения субъектов персональных данных
11.1. Организация рассматривает обращения, связанные с настоящим Положением, включая запросы субъектов персональных данных относительно использования их данных, полученные по почтовому или электронному адресу Организации edu@astra-academy.ru.
11.2. Запрос должен содержать сведения, указанные в ч.3 ст.14 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».
11.3. Сроки ответов на поступившие обращения субъектов персональных данных определяются в соответствии с законодательством Российской Федерации.
Меры, направленные на обеспечение безопасности данных при обработке
12.1. Порядок обеспечения безопасности персональных данных и меры установлен и раскрыт в п.6 Политики обработки персональных данных в АНО «Астра Академия».
Заключительные положения
13.1. К настоящему Положению и отношениям между субъектом персональных данных и Организацией применяется законодательство Российской Федерации и Политика обработки персональных данных в АНО «Астра Академия».
13.2. Организация вправе в любой момент изменить Положение, опубликовав соответствующие изменения. Новая редакция Положения вступает в силу с момента её размещения на Сайте.
Сведения о Организации
АНО «Астра Академия» (ИНН: 9715514040)
127254, г Москва, проезд Огородный, 16/1 / стр 5, пом 203117105
Email: edu@astra-academy.ru.
Приложения
СОГЛАСИЕ субъекта персональных данных на обработку персональных данных
Перечень компаний Группы Астра
Перечень контрагентов Организации
Перечень ресурсов, используемых Организацией