4. СОДЕРЖАНИЕ И ОБЪЕМ ОБРАБАТЫВАЕМЫХ ДАННЫХ

4.1. Содержание и объем обрабатываемых Оператором персональных данных определяется в соответствии с целями обработки, установленными в разделе 3 настоящей Политики.

4.2. Оператор может собирать и обрабатывать следующие персональные данные зарегистрированного пользователя (в зависимости от целей):

• Основные идентификационные данные:
  • фамилия, имя, отчество;
  • дата рождения;
  • гражданство;
  • место рождения.
• Контактная информация:
  • адрес электронной почты;
  • номер мобильного телефона;
  • ник в Telegram;
  • город и адрес проживания;
  • иные способы связи.
• Документы, удостоверяющие личность:
  • серия и номер документа (паспорт, водительское удостоверение и т.п.);
  • дата выдачи документа;
  • место выдачи документа;
  • наименование органа, выдавшего документ.
• Сведения об образовании:
  • наименование учебного заведения;
  • направление подготовки/специальность;
  • курс обучения;
  • статус (школьник, студент, аспирант и т.п.);
  • реквизиты документа, подтверждающего статус.
• Информация о трудовой деятельности:
  • наименование организации;
  • занимаемая должность;
  • контактные данные организации (сайт, телефон, адрес).
• Биометрические персональные данные (при необходимости):
  • цветное цифровое фотографическое изображение;
  • видеоизображение;
  • иные биометрические характеристики, необходимые для идентификации на мероприятии.
• Пол и прочая информация:
  • пол;
  • иные персональные данные, необходимые для достижения целей, предусмотренных разделом 3 Политики.

4.3. Источниками получения персональных данных, обрабатываемых Оператором, являются:

4.3.1. Непосредственно субъекты персональных данных, предоставившие информацию путем:

• заполнения форм запроса на сайтах, указанных в п. 1.6;
• отправки информации на официальные адреса электронной почты Оператора;
• предоставления скан-копий документов.

4.3.2. Система Leader-ID, посредством которой происходит регистрация участников мероприятий Школы ИНЖИР (с согласия на передачу данных из этой системы).

4.3.3. Третьи лица (партнеры, спонсоры мероприятия) исключительно при наличии письменного согласия субъекта персональных данных.

4.4. Объем собираемых персональных данных зарегистрированного пользователя зависит от конкретного мероприятия и целей его проведения. Оператор собирает исключительно необходимый набор данных для конкретного события.

5. ПОРЯДОК СБОРА, ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Сбор и обработка персональных данных осуществляются исключительно с добровольного, явно выраженного согласия субъекта персональных данных. Субъект персональных данных дает согласие на обработку персональных данных путем проставления чек-бокса согласия с политикой обработки персональных данных и с обработкой персональных данных в формах на сайте edu-energynet.ru, а также при регистрации в системе Leader-ID, посредством которой осуществляется регистрация на мероприятия Школы ИНЖИР.
5.2. Предоставляя свои персональные данные Оператору и соглашаясь на обработку своих персональных данных в целях, определенных настоящей Политикой, субъект персональных данных подтверждает, что понимает правовые последствия такого согласия.
5.3. Оператор осуществляет автоматизированную и неавтоматизированную обработку персональных данных субъекта персональных данных. При обработке персональных данных Оператор:

• обеспечивает точность персональных данных по отношению к целям обработки;
• проверяет полноту информации, необходимой для достижения целей;
• проводит проверку актуальности данных на регулярной основе;
• принимает все необходимые меры для исправления, уточнения (обновления, изменения) неточных, неполных или устаревших данных;
• удаляет данные, если они очевидно неадекватны по отношению к целям обработки или получены незаконно;
• предоставляет субъекту персональных данных право самостоятельно уточнять, обновлять и исправлять свои данные;
• сохраняет конфиденциальность персональных данных, кроме случаев получения от субъекта добровольного согласия на признание данных неконфедециальными для предоставления общего доступа неограниченному кругу лиц.

5.4. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

5.5. Типовые сроки хранения:

• для целей участия в мероприятии: в течение периода проведения мероприятия плюс 10 лет для завершения всех процедур;
• для целей маркетинга и информирования: в течение периода действия согласия, но не более 10 лет с момента последнего обращения субъекта персональных данных;
• для целей безопасности и учета: в соответствии с требованиями законодательства, но не более сроков, установленных законом;
• для биометрических данных: сроки устанавливаются с учетом специальных требований закона о биометрических данных;
• после отзыва согласия: персональные данные подлежат удалению или обезличиванию в течение 30 дней.

5.6. Обрабатываемые персональные данные (в том числе учетная запись субъекта персональных данных на сайте edu-energynet.ru) подлежат немедленному уничтожению без возможности восстановления либо обезличиванию в следующих случаях:

• при утрате необходимости в достижении целей;
• при отзыве согласия на обработку персональных данных;
• при истечении сроков хранения, установленных в настоящем разделе;
• по требованию субъекта персональных данных;
• при выявлении несоответствия данных целям обработки.

5.7. Процедура уничтожения документируется и субъекту персональных данных направляется подтверждение об уничтожении по его требованию.

5.8. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для защиты персональных данных от:

• неправомерного или случайного доступа;
• незаконного уничтожения, изменения, блокирования, копирования;
• передачи или распространения без согласия;
• иных неправомерных действий.

5.9. Безопасность персональных данных обеспечивается путем:

• утверждения настоящей Политики;
• организации доступа сотрудников Оператора к персональным данным субъектов персональных данных в соответствии с их должностными (функциональными) обязанностями.

6. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА

6.1. Оператор имеет право:
6.1.1. Получать от субъекта персональных данных достоверную информацию, содержащую персональные данные;
6.1.2. В случае направления субъектом персональных данных обращения с требованием о прекращении обработки персональных данных продолжить обработку без согласия субъекта персональных данных только при наличии оснований, указанных в Законе о персональных данных (например, для выполнения обязательств, установленных законом);
6.1.3. Передавать персональные данные третьим лицам, участвующим в обработке персональных данных, исключительно в целях, определенных в разделе 3 настоящей Политики, и исключительно при наличии письменного договора о защите персональных данных;
6.1.4. Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных.
6.2. Оператор обязан:
6.2.1. Организовывать обработку персональных данных в порядке, установленном действующим законодательством РФ;
6.2.2. Отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями закона о персональных данных в течение 30 дней с момента получения обращения;
6.2.3. Сообщать в уполномоченный орган (Роскомнадзор) по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 10 дней с даты получения запроса;
6.2.4. Публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике в отношении обработки персональных данных;
6.2.5. Принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных;
6.2.6. При утрате или разглашении персональных данных (инцидент безопасности):

• немедленно информировать Роскомнадзор об инциденте;
• незамедлительно информировать субъекта персональных данных об утрате или разглашении с указанием характера инцидента и предпринимаемых мер;
• документировать инцидент и проводить расследование;
• предпринимать меры для минимизации вреда от инцидента.

6.2.7. Прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных законодательством;

6.2.8. Исполнять иные обязанности, предусмотренные Законом о персональных данных, а также нормативными правовыми актами, издаваемыми на основании этого закона.

6.2.9. Проводить регулярные аудиты соответствия обработки персональных данных требованиям законодательства и Политики.

7. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Субъекты персональных данных имеют право:

7.1.1. Получать информацию, касающуюся обработки их персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются Оператором в доступной форме в течение 30 дней и должны содержать:

• цели обработки;
• правовые основания обработки;
• перечень обрабатываемых персональных данных;
• категории лиц, имеющих доступ;
• сроки хранения;
• способы защиты данных;
• информацию о правах субъекта персональных данных.

7.1.2. Требовать от Оператора уточнения, блокирования или уничтожения персональных данных в случае, если:

• персональные данные неполные, устаревшие, неточные;
• персональные данные получены незаконно;
• персональные данные не являются необходимыми для заявленной цели обработки;
• нарушены требования Политики или законодательства;
• иные основания, предусмотренные законом.

7.1.3. Выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения на рынке товаров, работ и услуг;

7.1.4. На отзыв согласия на обработку персональных данных, а также на направление требования о прекращении обработки персональных данных в любой момент времени (отзыв согласия не влияет на законность обработки, совершенной до отзыва);

7.1.5. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Оператора при обработке персональных данных.

7.1.6. На осуществление иных прав, предусмотренных законодательством РФ, в частности:

• на судебную защиту;
• на возмещение убытков, вызванных незаконной обработкой;
• на защиту от дискриминации;
• на коррекцию данных.

7.2. Субъекты персональных данных обязаны:

7.2.1. Предоставлять Оператору достоверные данные о себе и нести ответственность за достоверность предоставляемой информации.

7.2.2. Сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных в течение 10 дней с момента изменения информации.

7.3. Лица, передавшие Оператору недостоверные сведения о себе либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ, включая:

• административную ответственность (штрафы);
• гражданскую ответственность (возмещение убытков);
• уголовную ответственность (при наличии признаков преступления).

8. СПЕЦИАЛЬНЫЕ КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ И БИОМЕТРИЧЕСКИЕ ДАННЫЕ

8.1. Участие субъекта персональных данных в очных мероприятиях Школы ИНЖИР возможно только при предоставлении Оператору отдельного согласия на признание следующих его персональных данных персональными данными, разрешенными им для распространения (неконфиденциальными):

• фамилия, имя, отчество;
• наименование учебного заведения, направление подготовки, курс обучения;
• адрес электронной почты;
• цифровое фотографическое изображение, видеоизображение.

8.2. Участие субъекта персональных данных в мероприятиях Школы ИНЖИР предполагает возможность запечатления его визуального и звукового образа техническими средствами, при этом:

• Оператор может фотографировать и осуществлять видеозапись участников мероприятия;
• любой участник мероприятия может фотографировать или осуществлять видеозапись происходящего;
• Оператор может использовать фото и видеоматериалы для освещения события в открытом публичном медийном пространстве (публикации, фото, видеорепортажи, трансляция конференции, в том числе через интернет-платформы);
• ограничение: Оператор не имеет права использовать материалы в формах, унижающих человеческое достоинство в общепринятом для российского общества понимании.

8.3. Если Субъект персональных данных не согласен с использованием своего изображения, он должен направить письменное уведомление Оператору до начала мероприятия.

8.4. Выражая согласие на свое публичное выступление (заявка на доклад, выступление, выступление), субъект персональных данных предоставляет Оператору право дальнейшего использования всех использованных в ходе выступления материалов, включая:

• аудиозапись выступления;
• видеозапись выступления;
• слайды и вспомогательные материалы;
• цитирование и пересказ содержания выступления.

Такое использование может осуществляться в открытом публичном пространстве (опубликование на сайте, в социальных сетях, видеоплатформах и т.п.).

Требование субъекта персональных данных ограничить последующий доступ к своему планируемому публичному выступлению (например, запрос на удаление видеозаписи) является основанием, позволяющим Оператору отказать ему в предоставлении возможности выступления на будущих мероприятиях.

8.5. Отказ в регистрации на мероприятие по деловой репутации, соответствии требованиям безопасности или иной обоснованной причине является правом Оператора и не может являться основанием для оспаривания в судебном порядке, если решение принято на основании объективных критериев и в соответствии с действующим законодательством.

9. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Трансграничная передача персональных данных допускается только в исключительных случаях в соответствии с требованиями Закона о персональных данных и требует:

• обязательного уведомления Роскомнадзора о намерении осуществлять трансграничную передачу;
• явного согласия субъекта персональных данных;
• соответствия уровня защиты в принимающей стране российским требованиям или указания на его ограничения.

9.2. Оператор до начала осуществления деятельности по трансграничной передаче персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных. Такое уведомление направляется отдельно от уведомления о намерении осуществлять обработку персональных данных.

9.3. Оператор до подачи вышеуказанного уведомления обязан получить от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача персональных данных, соответствующие сведения о уровне защиты персональных данных в их юрисдикции.

10. УПРАВЛЕНИЕ ИНЦИДЕНТАМИ БЕЗОПАСНОСТИ И УТЕЧКАМИ ДАННЫХ

10.1. При выявлении инцидента безопасности Оператор обязан:

10.1.1. Немедленно прекратить несанкционированный доступ и изолировать затронутые системы;

10.1.2. Провести расследование инцидента в течение 24 часов для определения:

• характера инцидента;
• перечня затронутых персональных данных;
• категорий субъектов персональных данных, чьи данные затронуты;
• возможных причин инцидента;
• предпринимаемых мер по ликвидации последствий.

10.1.3. Уведомить Роскомнадзор о инциденте незамедлительно, но не позднее 24 часов с момента выявления инцидента.

10.1.4. Уведомить затронутых субъектов персональных данных о инциденте в течение 72 часов с момента его выявления (если риск тяжких последствий для их прав велик). Уведомление должно быть ясным, доступным и содержать:

• описание инцидента;
• перечень затронутых данных;
• возможные риски для субъекта персональных данных;
• рекомендации по защите;
• контактная информация Оператора.

10.1.5. Предпринять меры по восстановлению системы и предотвращению повторения инцидента;

10.1.6. Документировать весь процесс реагирования на инцидент и хранить записи в течение 3 лет.

10.2. В случае причинения вреда субъекту персональных данных в результате нарушения требований настоящей Политики или Закона о защите персональных данных Оператор обязан возместить убытки в полном объеме в соответствии с законодательством РФ.