CONFIDENTIALITY, PRIVACY AND DATA PROTECTION

Version effective as of 1 June, 2022

1. General provisions

This Privacy Policy (the “Policy”) is adopted and effective in the Autonomous non-commercial general educational institution  “Anglo American School of Moscow” (the “School” or “we”).

1.1. Policy objective

This Policy establishes how we process and protect the personal data of our students, staff, guests and other individuals.

1.2. Key terms used in the Procedures

Personal data” means any information related directly or indirectly to a specific or identifiable individual.

Personal data may include, specifically, information that allows identifying an individual (e.g., first name, last name, passport data, and photographs) and additional information (e.g., postal address, email address, phone number, place of employment, job title, and marital status).

Personal data processing” means any automated or manual operation performed on personal data, including collecting, recording, systematising, gathering, storing, verifying the accuracy of (updating, altering), extracting, using, transferring (distributing, providing access to), depersonalising, blocking, deleting or destroying personal data.

Controller” means a government body, a municipal body, a legal entity or an individual that, independently or in cooperation with other entities, organises or conducts the processing of personal data. The controller also determines the purpose for processing personal data, the content of personal data to be processed and the operations to be performed on personal data.

Automated personal data processing” means processing personal data with computing facilities.

Cross-border transfer of personal data” means transfer of personal data to the territory of a foreign country, to a foreign authority, a foreign individual or a foreign legal entity.

1.3.    Processing principles

When processing your personal data, we will adhere to the following principles:

  • Personal data must be processed in a lawful and fair manner.
  • The processing of personal data is to be limited to certain predefined and lawful purposes.
  • The personal data contents and degree of processing corresponds to the stated purposes of personal data processing.
  • We will make all reasonable effort to ensure the personal data we process are accurate, sufficient and, where necessary, up to date.
  • We will take all necessary action to ensure personal data security during processing.
  • We will respect the rights and lawful interests of the personal data subjects and ensure protection of such personal data during processing.

1.4.    Personal data subjects’ rights and Controller’s obligations

Protecting your personal data rights and freedoms is pivotal to the way we operate. To ensure your rights and freedoms are protected, upon your request, we, as your personal data Controller, may:

  • confirm whether we process your personal data and will allow you to look through it within 30 days from the receipt of your request;
  • inform you on the source and contents of your personal data that we process;
  • inform you on the legal basis, purposes, terms and means of processing your personal data;
  • notify you on the cross-border transfer of your personal data made or planned;
  • notify you on the name and location of the organisations, which have access to your personal data and to which your personal data may be disclosed upon your consent;
  • notify you on the exercise of your rights during our processing of your personal data;
  • introduce the necessary changes to your personal data if you confirm it is incomplete, inaccurate or outdated within 7 business days from the date of the receipt of such confirmation and notify you on the changes made;
  • stop processing your personal data within 30 days from the date of the receipt of withdrawal of your consent provided if there are no other legal grounds;
  • stop processing your personal data if unlawful processing on our side is confirmed and notify you on remedial action taken;
  • destroy your personal data if unlawful receipt or unintended use thereof is confirmed within 7 business days from the date of the receipt of such confirmation and notify you on remedial action taken;
  • answer any questions related to your personal data we process.

For more information on how to contact the School and discuss these and other issues, please see section “How to contact the School”.

2. Purpose for collecting your personal data

When we collect your data, we will notify you on the purpose and conditions of your personal data processing and we will make sure that you, as a personal data subject, will be free to exercise your lawful rights. For example, we may process your personal data for purposes including but not limited to the following main objectives:

For everyone

  • Safeguarding public health
  • Providing safe and secure learning environments for the community 

For students

  • Application review and AAS admission decision;
  • Records of students’ academic performance and achievements;
  • Record of AAS Students attendance;
  • Providing necessary learning and development support;
  • Organization of afterschool activities, athletic events and summer camps;
  • Organization of school trips within and outside of Russia;
  • Providing first aid;
  • Medical screening of students;
  • Preparation of graduation documents;
  • Providing information about AAS former students educational performance

For staff

  • Review of resumes and candidates selection for the vacant position for further employment;
  • Employment records management, maintaining accounting and tax accounting records;
  • Execution of employment contracts.

For legal representatives of students and other individuals

  • Organisation of access control to the area and premises of AAS;
  • Assistance in organising and holding AAS activities;
  • Informing the authorized representative about the educational process, academic performance, organization of events and attendance;
  • Publication of information about the AAS activities and communication.

3. Legal grounds for personal data processing

The School processes personal data on legal grounds only, such as an obligation to process personal data by law, the need to process to execute a contract signed with the data subject or in its interest, personal data subject’s consent or consent of its legal representative, and other grounds stipulated by applicable legislation.

4. The types of data we process

We process the data you provide to us:

  • by submitting documents like your passport, visa, driver’s license, social security number;
  • by providing a CV, filling out forms and templates, sending us letters and messages;
  • through your legal representatives in cases when they represent your interests;
  • by providing your contact details to us including for establishing business relations.

Furthermore, the School processes data in cases where the processing is required by applicable law.

Certain services and obligations stipulated by law or contract may be provided to you only if you provide related personal data.

5. Procedure and conditions for personal data processing

5.1.    Automated processing of personal data

We may process your personal data both using automated tools including information and telecommunication networks and manually.

We do not make decisions that may affect your rights and interests based on automated processing of your personal data only.

5.2.    Who will have access to your personal data

A limited number of the School’s staff and third parties with whom we have signed appropriate agreements will have access to your personal data. When collecting your personal data, we will inform you of the third parties that will have access to your data and on the purposes we transfer your data to such third parties.

We will ensure our staff comply with this Policy. Delegating your personal data processing to third parties, we oblige them to ensure protection and security of your personal data.

The School may be obliged to disclose your data upon request from law-enforcement agencies and other bodies under applicable law.

We will make all reasonable efforts to prevent disclosure of your data to third parties who have no legal grounds to process such data and to ensure protection of your personal data during transfer outside the School including cross-border transfers.

5.3.    Your personal data protection

We will take all necessary legal, organisational and technical measures to ensure your personal data security under applicable law. In particular, the School:

  • appoints a person responsible for organising personal data processing and protection;
  • establishes internal personal data protection rules including limitation of the access rights of our staff and authorised third parties to a necessary minimum;
  • implements legal, organisational and technical protection measures in compliance with legal requirements, current data security threats and impact on you in case of potential security breach;
  • trains its staff responsible for personal data processing to follow secure data processing rules and personal data processing requirements of the School and applicable laws;
  • registers all operations with personal data and oversees compliance with and effectiveness of the established protection procedure;
  • detects and investigates personal data security breaches and takes action to prevent and mitigate the impact of such incidents including, where necessary, recovering data where it is altered or destroyed.

5.4.    The term of personal data processing

The School will be processing your personal data no longer than is necessary to fulfil the purpose they were collected. The personal data may be retained longer where law establishes other retention periods.

6. Updating, correction, deletion or destruction of personal data, responses to data subjects’ requests for access to personal data.

The School retains accurate personal data and updates them. You may request to delete, correct or amend your personal data if they are inaccurate or if you believe the School has no right to process them under applicable law. You may also request access to your personal data.

For more detail on how to file a request, see section “How to contact the School”.

The School will permanently destroy your personal data where it is established that the School does not have any legal grounds to process them, e.g., where the retention period has expired or where you have withdrawn your consent. The School will also ensure permanent destruction of your personal data by third parties processing your personal data under the School’s instructions.

7. How to contact the School

If you have any questions on how we apply, use, change or delete the personal data you provided to us or if you want to stop any further communication with the School, please contact us by sending a free-format message to the following email address: dataprotection@aas.ru.

In all your correspondence with the School, please specify your first and last name, ID (if applicable), personal data processing circumstances that cause doubt or concern, and a detailed description of the matter. We will make all reasonable efforts to handle your request promptly.

In some cases, to handle a request, we will need to identify the data subject who filed it. This may entail a personal visit of the data subject to the School and provision of an ID document and (or) preparation of a written request signed personally by the personal data subject or its legal representative.

8. How to learn about the changes in this Policy

If the School makes changes to this Policy, the updated version will reflect all changes and we will notify you on them by updating the effective date of the Policy indicated on the title page. Without prejudice to your rights, under current legislation, we reserve the right to amend this Policy from time to time to reflect new technology, legal developments, new regulations and business practices.

Политика обработки и защиты персональных данныхРедакция, действующая с 1 июня 2022 года

1. Общие положения

Настоящая Политика обработки и защиты персональных данных (далее – «Политика») принята и действует в Автономной некоммерческой общеобразовательной организации «Англо-американская школа Москвы» (далее – «Школа» или «мы»).

1.1 Назначение политики

Политика устанавливает каким образом мы обрабатываем и защищаем персональные данные своих учеников, сотрудников, гостей и других физических лиц.

1.2 Основные понятия, используемые в Политике

«Персональные данные» – это любая информация, прямо или косвенно относящаяся к определенному или определяемому физическому лицу.

Персональные данные могут включать, в частности, информацию, позволяющую определить личность человека (например, имя и фамилия, данные паспорта, фотографии), а также дополнительные сведения (например, почтовый адрес, адрес электронной почты, номер телефона, место работы, должность, семейное положение).

«Обработка персональных данных» – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

«Оператор» – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

«Автоматизированная обработка персональных данных» – обработка персональных данных с помощью средств вычислительной техники.

«Трансграничная передача персональных данных» – передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.3 Принципы обработки

  • При обработке Ваших персональных данных мы придерживаемся следующих принципов:
  • Обработка персональных данных осуществляется на законной и справедливой основе.
  • Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.
  • Состав персональных данных и объем их обработки отвечает заявленным целям обработки персональных данных.
  • Мы предпринимаем все необходимые усилия для обеспечения точности, достаточности и, где это необходимо, актуальности обрабатываемых персональных данных.
  • Мы принимаем все необходимые меры для обеспечения безопасности персональных данных при их обработке.
  • Мы соблюдаем права и законные интересы субъектов персональных данных и обеспечиваем их защиту при обработке персональных данных.


1.4 Права субъекта персональных данных и обязанности оператора

Обеспечение защиты Ваших прав и свобод в сфере персональных данных – важное условие нашей работы. Чтобы обеспечить защиту Ваших прав и свобод, по Вашей просьбе мы, являясь оператором Ваших персональных данных:

  • подтвердим, обрабатываем ли мы Ваши персональные данные, и предоставим Вам возможность с ними ознакомиться в течение 30 дней с даты получения Вашего запроса;
  • сообщим Вам об источнике получения и составе Ваших персональных данных, которые мы обрабатываем;
  • сообщим Вам о правовых основаниях, целях, сроках и способах обработки Ваших персональных данных;
  • сообщим Вам об осуществленной или о предполагаемой трансграничной передаче Ваших персональных данных;
  • сообщим Вам наименование и место нахождения организаций, которые имеют доступ к Вашим персональным данным и которым могут быть раскрыты Ваши персональные данные с Вашего согласия;
  • уведомим Вас о порядке осуществления Ваших прав при обработке нами Ваших персональных данных;
  • внесем необходимые изменения в Ваши персональные данные, если Вы подтвердите, что они неполные, неточные или неактуальные, в течение 7 рабочих дней с даты получения такого подтверждения и уведомим Вас о внесенных изменениях;
  • прекратим обработку Ваших персональных данных в течение 30 дней с даты получения отзыва согласия, если для обработки персональных данных не будет иных правовых оснований;
  • прекратим обработку Ваших персональных данных, если будет подтверждено, что мы их обрабатываем неправомерно, и уведомим Вас о принятых мерах;
  • уничтожим Ваши персональные данные, если будет подтверждено, что они получены незаконно или не соответствуют заявленным целям обработки, в течение 7 рабочих дней с даты получения соответствующего подтверждения и уведомим Вас о принятых мерах;
  • ответим на Ваши вопросы, касающиеся Ваших персональных данных, которые мы обрабатываем.

Подробнее о способах связи со Школой по этим и другим вопросам Вы можете прочитать в разделе «Как Вы можете связаться со Школой».

2. Цели сбора персональных данных

Собирая Ваши данные, мы уведомляем Вас о целях и условиях обработки Ваших данных, и прилагаем все усилия, чтобы Вы, как субъект персональных данных, могли воспользоваться своими законными правами. Например, мы можем обрабатывать Ваши персональные данные с целями, включающими, но не ограничиваясь, следующие основные цели:

Для учеников

  • Рассмотрение заявки и принятие решения о приеме на обучение;
  • Учет успеваемости и достижений учеников;
  • Учет посещаемости занятий;
  • Помощь в обучении и поддержка развития;
  • Организация посещения кружков и секций, летнего лагеря;
  • Организация поездок по РФ и за границу;
  • Оказание первой медицинской помощи;
  • Прохождения учениками медицинских осмотров;
  • Подготовка выпускных документов;
  • Предоставление информации об успеваемости бывшим ученикам.

Для сотрудников

  • Рассмотрение резюме и подбор кандидатов на вакантную должность для последующего трудоустройства;
  • Ведение кадрового делопроизводства, бухгалтерского учета и налоговой отчетности;
  • Исполнение трудового договора.

Для законных представителей учеников и прочих физических лиц

  • Организация контроля доступа на территорию и в помещения Школы;
  • Помощь в организации и проведении школьных мероприятий;
  • Обмен информацией об организации учебного процесса, успеваемости, посещаемости занятий, организации и проведении мероприятий;
  • Публикация сведений о деятельности Школы.

3. Правовые основания обработки персональных данных

Школа обрабатывает персональные данные только при наличии законных оснований, таких как обязательство обрабатывать данные по закону, необходимость обработки для исполнения договора, заключенного с субъектом или в его интересах, согласие субъекта персональных данных либо его законного представителя, и иных оснований, предусмотренных применимым законодательством.

4. Данные, которые мы обрабатываем

Мы обрабатываем данные, которые Вы передаете нам:

  • предоставляя документы, такие как паспорт, виза, водительское удостоверение, номер социального страхования;
  • предоставляя резюме, заполняя наши анкеты и бланки, отправляя нам письма и сообщения;
  • через своих законных представителей, в случаях, когда они представляют Ваши интересы;
  • передавая нам свои контактные данные для связи с Вами, в том числе для установления деловых отношений.

Кроме того, Школа обрабатывает данные в случаях, когда обработка требуется в связи с исполнением применимого законодательства.

Некоторые услуги, а также обязанности, предусмотренные законодательством или договорами, могут быть предоставлены Вам только в том случае, если Вы предоставите соответствующие персональные данные.

5. Порядок и условия обработки персональных данных

5.1 Автоматизация обработки персональных данных

Мы можем обрабатывать Ваши персональные данные, как с использованием средств автоматизации, в том числе информационно-телекоммуникационных сетей, так и без использования таковых.

Мы не принимаем решений, затрагивающих Ваши права и интересы, на основе исключительно автоматизированной обработки Ваших персональных данных.

5.2 Кто будет иметь доступ к Вашим персональным данным

Персональные данные доступны ограниченному числу работников Школы, и третьим лицам, с которыми у нас заключены соответствующие договоры. При сборе Ваших персональных мы уведомляем Вас о третьих лицах, которым будет предоставлен доступ к Вашим данным, и о целях, в рамках которых мы их передаем.

Мы обеспечиваем соблюдение своими работниками настоящей Политики. Поручая обработку Ваших данных третьим лицам, мы обязываем их обеспечивать защиту и безопасность Ваших персональных данных.

Школа может быть обязана раскрыть Ваши данные по запросу правоохранительных и иных органов власти, в соответствии с требованиями применимого законодательства.

Мы прикладываем все усилия, чтобы предотвратить раскрытие Ваших данных третьим лицам, не имеющим законных оснований на их обработку, а также для обеспечения защиты Ваших персональных данных при их передаче за пределы Школы, в том числе при трансграничной передаче.

5.3 Защита Ваших персональных данных

Мы принимаем необходимые правовые, организационные и технические меры для обеспечения безопасности Ваших персональных данных в соответствии с требованиями применимого законодательства. В частности, Школа:

  • назначает лицо, ответственное за организацию обработки и защиту персональных данных;
  • устанавливает внутренние правила защиты персональных данных, в том числе правила, ограничивающие до минимально необходимого уровня полномочия сотрудников и третьих лиц на доступ к ним;
  • внедряет правовые, организационные и технические меры защиты с учетом требований законодательства, актуальных угроз безопасности данных и вреда, который может быть вам причинен в случае нарушения безопасности;
  • обучает работников, обрабатывающих персональные данные, правилам безопасной обработки и требованиям Школы и применимого законодательства в отношении обработки персональных данных;
  • регистрирует все операции с персональными данными и контролирует исполнение и эффективность установленного порядка защиты;
  • обнаруживает и расследует случаи нарушения безопасности данных, и предпринимает меры по предотвращению и устранению последствий таких случаев, в том числе, при необходимости, восстанавливает данные при их искажении или уничтожении.


5.4 Сроки обработки персональных данных

Школа обрабатывает Ваши персональные данные не дольше, чем это необходимо для достижения целей, для которых они были собраны. Данные могут храниться дольше, если применимым законодательством установлены иные сроки хранения.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

Школа хранит точные персональные данные и обновляет их, поддерживая в актуальном состоянии. Вы можете потребовать удалить, исправить или дополнить Ваши персональные данные, если они не точны, либо если считаете, что у Школы отсутствует право на обработку этих данных, в соответствии с применимым законодательством. Вы также можете потребовать предоставить Вам доступ к Вашим персональным данным.

В разделе «Как Вы можете связаться со Школой» подробнее указаны способы направления запросов.

Школа безвозвратно уничтожает Ваши персональные данные при установлении факта отсутствия у Школы законных оснований для их обработки, например, при истечении сроков хранения или отзыве Вашего согласия. Школа также обеспечивает безвозвратное уничтожение Ваших персональных данных третьими лицами, обрабатывающими Ваши персональные данные по поручению Школы.

7. Как Вы можете связаться со Школой

Если у Вас есть вопросы о характере применения, использовании, изменении или удалении Ваших персональных данных, которые были Вами предоставлены, или если Вы хотите отказаться от дальнейшей коммуникации со Школой, пожалуйста, свяжитесь с нами, отправив сообщение в свободной форме на электронный адрес: dataprotection@aas.ru.

Во всех сообщениях для Школы указывайте, пожалуйста, свои фамилию и имя, идентификационные данные (если применимо), и обстоятельства, связанные с обработкой персональных данных, относительно которых у Вас имеются вопросы или сомнения, а также подробное изложение Вашего запроса. Мы приложим все усилия к тому, чтобы своевременно выполнить соответствующие запросы.

Для исполнения запроса в некоторых случаях нам будет необходимо идентифицировать субъекта, осуществившего запрос. Это может потребовать личного визита субъекта в здание Школы и предоставления удостоверения личности и (или) составления письменного запроса, подписанного собственноручной подписью субъекта персональных данных либо его законного представителя.
8. Как Вы можете узнать об изменениях настоящей Политики

Если Школа изменит настоящую Политику, то в обновленной версии Политики любые изменения будут отражены, и мы известим Вас об этих изменениях, обновив срок вступления в силу обновленного документа, указанный в заголовке. Без ущерба для Ваших прав, в рамках действующего законодательства, мы сохраняем за собой право периодически вносить в настоящую Политику коррективы, которые будут отражать технологические достижения, изменения в законах, постановлениях и надлежащей деловой практике.