Политика обработки персональных данных
Действует на сервисе priem.sch-int.ru — сервисе публикации результатов вступительных испытаний школы «Интеллектуал». Редакция от .
1. Общие положения
Настоящая Политика разработана во исполнение Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных, осуществляемой Оператором на сервисе priem.sch-int.ru.
Используя сервис, посетитель подтверждает, что ознакомлен с настоящей Политикой и условиями обработки персональных данных, указанными в ней.
2. Оператор
3. Категории субъектов и обрабатываемых ПДн
Оператор обрабатывает персональные данные следующих категорий субъектов:
3.1. Абитуриенты — несовершеннолетние
Источник данных — заявления родителей (законных представителей) на участие в приёмной кампании и результаты, сформированные школой по итогам испытаний. Состав:
- фамилия, имя, отчество;
- класс поступления;
- внешний идентификатор абитуриента (ID), выданный школой;
- результаты вступительных испытаний (баллы по предметам, итоговый балл);
- результаты пробной учёбы (для класса, где она применима);
- учётные данные доступа в Google Classroom — логин и пароль (выдаются школой);
- ссылки на сканы экзаменационных работ (Google Drive).
Обработка ПДн несовершеннолетних осуществляется с письменного согласия родителя (законного представителя), полученного Оператором при подаче заявления о приёме (вне сервиса).
3.2. Посетители сервиса (родители абитуриентов)
При обращении к сервису обрабатываются:
- IP-адрес;
- заголовок User-Agent браузера;
- введённые в форму поиска: ID абитуриента, фамилия, класс;
- факт и время запроса.
3.3. Сотрудники, использующие административную панель
Для сотрудников приёмной комиссии (логин, пароль — хеш-функцией bcrypt, статус активности, роль) обрабатываются реквизиты учётной записи в порядке исполнения трудовых функций.
Биометрические и специальные категории персональных данных (раса, политические взгляды, состояние здоровья и т. п.) не обрабатываются.
4. Цели обработки
- Оказание услуги «получение результатов вступительных испытаний» (показ результатов абитуриенту и его родителям).
- Обеспечение функционирования и защиты сервиса (статистика запросов, защита от автоматизированных атак, противодействие несанкционированному перебору).
- Контроль действий администраторов сервиса в части обработки ПДн (внутренний контроль во исполнение ст. 18.1 ч. 1 152-ФЗ).
- Исполнение возложенных на школу функций в сфере общего образования.
5. Правовые основания обработки
Оператор обрабатывает персональные данные в следующих случаях, предусмотренных ст. 6 и ст. 9 152-ФЗ:
- обработка необходима для выполнения функций, возложенных на Оператора законодательством Российской Федерации в сфере образования (ст. 6 ч. 1 п. 2, п. 4);
- обработка осуществляется в связи с участием субъекта в конкурсе на поступление в образовательное учреждение (ст. 6 ч. 1 п. 5);
- обработка персональных данных абитуриентов-несовершеннолетних ведётся с согласия родителя (законного представителя) (ст. 9 ч. 6).
6. Способы и сроки обработки
Обработка ПДн осуществляется как с использованием средств автоматизации, так и без таковых. Передача ПДн третьим лицам без правового основания не допускается.
Сроки хранения
- Анкетные данные абитуриентов и результаты испытаний — до окончания календарного года, следующего за годом приёмной кампании, после чего обезличиваются или уничтожаются.
- Журнал запросов к сервису (IP, фамилия, ID, класс, время) — не более 30 дней. Удаление производится автоматически.
- Журнал действий администраторов — не менее 1 года, для целей внутреннего контроля и реагирования на инциденты.
- Учётные записи сотрудников — на период исполнения трудовых функций; деактивируются по окончании трудовых отношений.
7. Передача и трансграничная передача
Оператор не передаёт персональные данные третьим лицам, за исключением случаев, прямо предусмотренных законодательством Российской Федерации (по запросам уполномоченных органов). Трансграничная передача персональных данных не осуществляется. Все серверы, на которых хранятся персональные данные, расположены на территории Российской Федерации.
8. Меры защиты
- передача данных по защищённому соединению HTTPS (TLS);
- хранение паролей администраторов в виде хеш-функции bcrypt;
- разграничение прав доступа к административной панели;
- журналирование действий администраторов;
- ограничение частоты запросов к сервису для противодействия автоматизированному перебору;
- регулярное автоматическое удаление устаревших журналов запросов;
- организационные меры, предусмотренные внутренними регламентами Оператора.
9. Файлы cookie
Сервис использует строго необходимые технические файлы cookie для работы административной панели (идентификатор сессии, токен защиты от CSRF). Аналитические и рекламные файлы cookie не устанавливаются.
10. Права субъекта персональных данных
В соответствии со ст. 14 152-ФЗ субъект персональных данных имеет право:
- получать сведения о наличии у Оператора своих персональных данных;
- требовать уточнения, блокирования или уничтожения своих персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- отозвать ранее данное согласие на обработку персональных данных (если обработка ведётся на основании согласия);
- обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.
Запрос направляется в письменном виде на адрес электронной почты priem@sch-int.ru с указанием фамилии, имени, отчества субъекта, реквизитов документа, удостоверяющего личность, либо документа, подтверждающего полномочия представителя, и существа запроса. Срок рассмотрения — в соответствии со ст. 21 152-ФЗ.
11. Изменения политики
Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция размещается по адресу priem.sch-int.ru/privacy. Дата актуальной редакции указана в начале документа.