Политика оператора в области защиты персональных данных
Положение об обработке персональных данных в ФГБОУ ВО НГМУ Минздрава России
1. Общие положения
2. Термины и определения настоящего Положения
3. Субъекты персональных данных, цели обработки персональных данных, категории персональных данных и согласие на обработку персональных данных
4. Принципы обработки персональных данных
5. Доступ к персональным данным
6. Права и обязанности Университета и работников Университета, осуществляющих обработку персональных данных
7. Права и обязанности субъектов персональных данных
8. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных, и ответственные за организацию обработки персональных данных
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Положение «Об обработке персональных данных в ФГБОУ ВО НГМУ Минздрава России» (далее соответственно - Положение, Университет) устанавливает процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяет для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в Университете.
1.2. Положение определяет политику Университета как оператора, осуществляющего обработку персональных данных и определяющего цели обработки персональных данных, субъекты персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.3. Основными целями обработки персональных данных Университетом являются обеспечение кадровой работы Университета, содействие в выполнении осуществляемой кадровой работы, формирование кадрового резерва, обучение и должностной рост, подготовка кадров высшей квалификации, подготовка регламентированной отчетности в государственные контролирующие органы, упрощение организации процедуры поступления и образовательного процесса, проведение научных исследований и разработок в области естественных наук, оказание медицинских консультативных услуг. Цели обработки персональных данных должны соответствовать деятельности, при которых такая обработка осуществляется.
1.4. Обработка персональных данных в Университете выполняется с использованием средств автоматизации или без использования таких средств и включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (далее - обработка персональных данных), которые устанавливаются локальными нормативными актами Университета. Правила обработки и защиты персональных данных с использование средств автоматизации или без использования средств автоматизации устанавливаются соответствующим локальными нормативными актами Университета. Правила обработки персональных данных в информационной системе персональных данных устанавливаются Инструкцией администратора, Инструкцией пользователя и иной локальной нормативной документацией Университета.
1.5. Положение разработаны в соответствии со следующими законодательными правовыми актами Российской Федерации, которые являются правовым основанием обработки персональных данных: Трудовым кодексом Российской Федерации; Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон); постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; приказом Роскомнадзора от 30.05.2017 № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения»; иными нормативными правовыми актами уполномоченных органов государственной власти Российской Федерации и локальными нормативными актами Университета.
1.6. Обработка персональных данных в Университете осуществляется с соблюдением принципов и условий, предусмотренных законодательством и иными нормативными правовыми актами Российской Федерации в области персональных данных, а также настоящим Положением.
2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ НАСТОЯЩЕГО ПОЛОЖЕНИЯ
2.1. В Положении используются следующие основные понятия:
Автоматизированная обработка персональных данных - обработка персональных данных с использованием средств вычислительной техники.
Законный представитель субъекта персональных данных – лицо, действующее от имени субъекта персональных данных на законных основаниях.
Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Информационная система персональных данных (далее – ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Информация – сведения (сообщения, данные) независимо от формы их представления.
Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Контролируемая зона - пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.
Несовершеннолетний субъект персональных данных – субъект персональных данных, не достигший совершеннолетия (18 лет).
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение персональных данных.
Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Официальный сайт Университета (официальный сайт, сайт) – информационный ресурс, находящийся по адресу: www.ngmu.ru.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому лицу (субъекту персональных данных).
Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Средства вычислительной техники - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение информации – действия, в результате которого невозможно восстановить содержание информации в информационной системе или в результате которых уничтожаются материальные носители информации.
Уполномоченное оператором лицо – лицо, которому на основании договора оператор поручает обработку персональных данных.
3. СУБЪЕКТЫ ПРЕСОНАЛЬНЫХ ДАННЫХ, ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ПРЕСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ И СОГЛАСИЕ НА ОБРАБОТКУ ПЕРОНАЛЬНЫХ ДАННЫХ
3.1. В Университет обрабатываются персональные данные следующих субъектов персональных данных:
претендент на должность – физическое лицо, проходящий процедуру трудоустройства в Университет;
работник – физическое лицо, вступившее в трудовые отношения с Университетом;
контрагент – физическое лицо, состоящее с Университетом в гражданско-правовых отношениях в рамках договора на выполнение работ или оказания услуг;
поступающий - физическое лицо, поступающий в Университет для осваивания образовательной программы;
обучающийся – физическое лицо, осваивающее образовательную программу в Университете;
претендент на присвоение ученого звания, степени – физическое лицо, проходящий процедуру присвоения ученого звания, степени в соответствии с действующим российским законодательством;
член Диссертационного совета Университета – физическое лицо, участвующее в проведении процедуры по защите диссертаций на соискание ученой степени кандидата наук (доктора наук);
лицо, проживающее в общежитии Университета – физическое лицо, подписавшее с Университетом договор найма жилого помещения в общежитии;
пациент – физическое лицо, потребитель медико-консультативных услуг в Клинике «Медицинский консультативный центр» Университета;
посетитель официального сайта – физическое лицо, посещающее официальный сайт Университета, с возможностью заполнения форм обратной связи;
посетитель Университета – физическое лицо, посещающее Университет.
3.2. Целью обработки персональных данных субъектов персональных данных (в том числе несовершеннолетних лиц) является:
претендента на должность - трудоустройство на вакантные должности в Университет;
работника - обеспечение кадровой работы Университета, содействие в выполнении осуществляемой работы, формирование кадрового резерва, обучение и должностной рост, подготовка регламентированной отчетности в государственные контролирующие органы (ФНС, ПФР, ФСС и другие);
контрагента - закупка Университетом товаров, работ, услуг;
поступающего - организация процедуры поступления;
обучающегося - организация образовательного процесса, предоставление образовательных услуг Университетом, информационное обеспечение, материальное поощрение, предоставление студенческих льгот;
претендующего на присвоение ученого звания, степени - присвоение ученой звании, степени субъектом ПДн, информационное обеспечение организационной деятельности Университета при присвоении ученого звания, степени;
члена Диссертационного совета - информационное обеспечение и мониторинг организационной деятельности обязательных процедур по защите диссертаций на соискание ученой степени кандидата наук (доктора наук);
лица, проживающего в общежитиях - предоставление временных мест проживания обучающихся, работников и иных субъектов, подписавшее с Университетом договор найма жилого помещения в общежитии;
пациента - предоставление медико-консультативных услуг в Клинике «Медицинский консультативный центр» Университета, сдача статистических отчетов в Медицинскую информационную систему Новосибирской области;
посетителя официального сайта – обеспечение корректной работы официального сайта, сбор аналитических сведений для качества работы сайта, обеспечение обратной связи;
посетителя Университета – обеспечение пропускного режима Университета;
субъектов персональных данных в соответствии с разделом 3.1 настоящего положения, посещающих Университет или его здания – обеспечение пропускного режима Университета.
Целью обработки персональных данных несовершеннолетних субъектов персональных данных является - организация процедуры поступления, организация образовательного процесса, предоставление образовательных услуг, информационное обеспечение, материальное поощрение, предоставление временного места проживания обучающихся, подписавшее с Университетом договор найма жилого помещения в общежитии и др.
Цели обработки персональных данных должны соответствовать деятельности, при которых такая обработка осуществляется.
3.3. В целях, указанных в п.3.2. настоящего Положения, обрабатываются следующие сведения:
1) фамилия, имя, отчество (последнее - при наличии), в том числе прежние фамилии, имена, отчества (последнее - при наличии), в случае их изменения;
2) число, месяц, год рождения;
3) место рождения;
4) сведения о гражданстве (в том числе прежние гражданства, иные гражданства);
5) вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование органа, выдавшего его;
6) адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
7) номер контактного телефона или сведения о других способах связи;
8) страховой номер индивидуального лицевого счета в системе индивидуального (персонифицированного) учета;
9) идентификационный номер налогоплательщика;
10) реквизиты полиса обязательного медицинского страхования;
11) реквизиты свидетельства о государственной регистрации актов гражданского состояния;
12) сведения о семейном положении;
13) сведения о трудовой деятельности;
14) сведения о воинском учете и реквизиты документов воинского учета;
15) сведения об образовании и (или) о квалификации, обучении;
16) сведения об ученой степени, ученом звании;
17) сведения о владении иностранными языками, уровень владения;
18) фотография;
19) сведения, содержащиеся в трудовом договоре, дополнительных соглашениях к трудовому договору;
20) сведения о наличии или отсутствии судимости;
21) сведения о государственных наградах, иных наградах и знаках отличия;
22) сведения о профессиональной переподготовке и (или) повышении квалификации;
23) сведения о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;
24) номер расчетного счета;
25) номер банковской карты;
26) финансовые сведения, связанные с процессом обучения;
27) Cookie-файлы;
28) сведения, содержащиеся в иных договорах, дополнительных соглашениях к договорам (на оказание образовательных и иных услуг);
29) иные персональные данные в соответствии с законодательными и иными нормативными правовыми актами Российской Федерации.
3.3. В соответствии с законодательством Российской Федерации и с целями обработки персональных данных Университетом необходимо:
3.3.1. Брать письменное согласие субъектов персональных данных на обработку их персональных данных:
1) с претендента на должность - согласие на обработку персональных данных только в случае приглашения его на собеседование в Университет;
2) с каждого работника - согласие на обработку персональных данных (ст.86 Трудового кодекса Российской Федерации). Университет обязан под роспись довести до сведения работника, каким образом и в каком порядке будут обрабатываться, использоваться и храниться предоставленные им персональные данные. Передача персональных данных Университета третьим лицам возможна только с согласия субъекта персональных данных в соответствии с Федеральным законом и настоящим Положением;
3) с поступающего или обучающегося - согласие на обработку персональных данных в соответствии с законодательством Российской Федерации и настоящим Положением;
4) с претендента на присвоение ученого звания, степени и члена Диссертационного совета Университета - согласие на обработку персональных данных в соответствии с действующим законодательством Российской Федерации и настоящим Положением;
5) с несовершеннолетних субъектов персональных данных (старше 14 лет) - согласие на обработку персональных данных при наличии письменного разрешения законного представителя в соответствии с законодательством Российской Федерации и настоящим Положением; в иных случаях согласие на обработку персональных данных может быть подписано законным представителем несовершеннолетнего субъекта персональных данных.
6) с недееспособных субъектов персональных данных – в соответствии с законодательством Российской Федерации и настоящим Положением согласие на обработку персональных данных может быть подписано законным представителем субъекта персональных данных.
3.3.2 Брать согласие на обработку персональных данных в электронном виде:
1) с посетителя официального сайта университета в случае заполнения субъектом персональных данных электронных форм обратной связи Университета;
2) с поступающего или обучающегося в случаях заполнения субъектом персональных данных электронных форм оплаты;
3.3.3. Не брать письменное согласие субъектов персональных данных на обработку их персональных данных:
1) с контрагента, поскольку обработка их персональных данных необходима для исполнения договора, по которому он является стороной, либо выгодоприобретателем или поручителем, если иное не предусматривается таковым договором;
2) с лиц, проживающих в общежитии, поскольку обработка их персональных данных необходима для исполнения договора найма жилья;
3) с субъектов персональных данных, определенных разделом 3.1 при исполнении Университетом требований и положений действующего законодательства Российской Федерации, обязывающих Университет осуществлять обработку персональных данных.
3.4. Письменное согласие субъектов персональных данных на обработку их персональных данных, разрешенных для распространения.
В соответствии с законодательством Российской Федерации и с целями обработки персональных данных Университетом необходимо:
3.4.1 Брать письменное согласие субъектов персональных данных на обработку их персональных данных, разрешенных для распространения:
1) с претендента - согласие на обработку их персональных данных, разрешенных для распространения, в исключительных случаях, а также в целях публикации дополнительных сведений о результатах прохождения конкурса кандидатом на сайте Университета;
2) с работника - согласие на обработку их персональных данных, разрешенных для распространения, в силу его должностных полномочий и необходимости публикации дополнительных сведений о работнике Университета, в случаях, когда распространение таковых явно не регламентируется законодательством Российской Федерации;
3) с контрагента - согласие на обработку их персональных данных, разрешенных для распространения, в случаях, когда его требование прописано в договоре, стороной которого, либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
4) с поступающего или обучающегося согласие на обработку персональных данных, разрешенных для распространения, которое подписывается в случае необходимости публикации дополнительных сведений о таковых, в случаях, когда распространение таковых явно не регламентируется законодательством Российской Федерации;
5) с претендента на присвоение ученого звания, степени - согласие на обработку их персональных данных, разрешенных для распространения, в случае необходимости публикации дополнительных сведений о данном субъекте на официальном сайте Университета с целью информационного обеспечения процедуры присвоения ученого звания;
6) с члена Диссертационного совета - согласие на обработку их персональных данных, разрешенных для распространения, для публикации дополнительных сведений о диссертационном совете на официальном сайте Университета в целях обеспечения прозрачности проведения Диссертационным советом процедур, предусмотренных действующим законодательством Российской Федерации;
7) с иных субъектов - согласие на обработку их персональных данных, разрешенных для распространения, в случаях, когда таковой метод обработки не регламентирован законодательством Российской Федерации.
3.4.2. Не брать письменное согласие субъектов персональных данных на обработку их персональных данных, разрешенных для распространения:
1) с пациента - потребителя медико-консультативных услуг - согласие на обработку персональных данных, разрешенных для распространения, так как данный метод обработки персональных данных для данного субъекта не предусмотрен.
2) с иных субъектов – согласие на обработку их персональных данных, разрешенных для распространения, в случаях, когда, и, если обработка персональных данных происходит в соответствии с требованиями законодательства Российской Федерации и не предусматривает данного метода обработки персональных данных.
4. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Общий принцип обработки персональных данных.
Обработка персональных данных должна осуществляться на основе принципа соответствия объема и характера обрабатываемых персональных данных, а также способов обработки персональных данных заявленным целям обработки персональных данных.
Сбор, накопление, хранение, изменение, использование, кроме распространения, а также другие действия, понимаемые под обработкой персональных данных, могут осуществляться только при условии согласия физического лица, за исключением случаев, предусмотренных действующим законодательством Российской Федерации. Для обработки персональных данных, разрешенных для распространения, необходимо дополнительное согласие на обработку персональных данных, разрешенных для распространения.
4.2. Порядок сбора и хранения персональных данных.
При сборе персональных данных Университет обязан предоставить субъекту персональных данных по его запросу информацию о целях, способах обработки персональных данных, сведения о лицах, имеющих доступ к персональным данным, перечень обрабатываемых персональных данных и источник их получения, сведения о сроках обработки и хранения персональных данных.
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом.
Необходимо обеспечить раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящим Положением.
Срок хранения персональных данных, внесенных в автоматизированные информационные системы, должен соответствовать сроку хранения бумажных оригиналов. Срок обработки и хранения персональных данных, определятся законодательством Российской Федерации.
Контроль за хранением и использованием материальных носителей, содержащих персональные данные, не несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют непосредственно руководитель структурных подразделений Университета.
4.3. Передача персональных данных третьим лицам.
Передача персональных данных субъекта персональных данных в коммерческих целях без его предварительного согласия исключается. Обработка персональных данных субъекта персональных данных целях продвижения образовательных или медико-консультативных услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, допускается только с предварительного согласия субъекта персональных данных.
Лица, получившие доступ к персональным данным субъекта персональных данных, должны быть предупреждены о том, что эти данные могут быть использованы лишь в целях, для которых они переданы, и обязаны соблюдать это правило.
Персональные данные претендентов на должность или контрагентов без их предварительного письменного согласия третьим лицам не предаются, кроме случаев, предусмотренных действующим законодательством Российской Федерации.
Передача персональных данных субъектов персональных данных Университета в государственные контролирующие органы (ФНС, ФСС, ПФР и др.) осуществляется в рамках действующего законодательства Российской Федерации.
В рамках зарплатного проекта передача персональных данных работника в банк производится с информированного и осознанного согласия работника.
Персональные данные поступающих в Университет без их предварительного письменного согласия третьим лицам не передаются, кроме случаев, предусмотренных законодательством Российской Федерации.
Передача персональных данных обучающихся в рамках стипендиального обеспечения в финансовую организацию (банк), производится с информированного и осознанного письменного согласия обучающегося.
Персональные данные лиц, претендующих на ученое звание, степень, без их предварительного согласия в Министерство науки и высшего образования для рассмотрения вопроса о присвоении ученого звания, степени не предаются.
Персональные данные членов Диссертационного совета передаются третьим лицам в порядке и случаях, предусмотренных действующим законодательством Российской Федерации.
Персональные данные пациентов Клиники «Медицинский консультативный центр» без их предварительного согласия третьим лицам не передаются, кроме случаев, предусмотренных законодательством Российской Федерации.
Передача персональных данных иных субъектов третьим лицам возможна без согласия субъекта персональных данных только в случаях, установленных действующим законодательством Российской Федерации.
Передача персональных данных третьей стороне без предварительного письменного согласия субъекта персональных данных не допускается, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных законодательством Российской Федерации.
4.4. Трансграничная передача персональных данных.
Трансграничная передача персональных данных Университетом не осуществляется.
Все технические средства обработки персональных данных (рабочие станции и серверы) находятся в пределах Российской Федерации.
4.5. Распространение персональных данных.
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Университет обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Из предоставленного субъектом персональных данных согласия на обработку Университетом персональных данных, разрешенных субъектом для распространения, не следует, что субъект согласился с распространением персональных данных, такие персональные данные обрабатываются без права распространения.
Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Субъект персональных данных, подписывая согласие на обработку персональных данных, разрешенных для распространения, вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Университетом неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.
Университет обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.
Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.
Субъект персональных данных вправе обратиться с требованием прекратить распространение своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения законодательства Российской Федерации или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.
4.6. Порядок уничтожения и блокирования персональных данных.
Университет обязан прекратить обработку персональных данных и уничтожить их после достижения цели обработки или в случае отзыва субъектом персональных данных согласия на обработку, за исключением случаев, когда уничтожение противоречит действующему законодательству Российской Федерации, а также уведомить о своих действиях субъекта персональных данных и (или) уполномоченный орган. Во всех случаях предусмотрен срок уничтожения персональных данных – тридцать рабочих дней.
В целях оперативной организации уничтожения персональных данных на бумажных носителях приказом ректора Университета назначается комиссия по уничтожению документов, содержащих персональные данные. По итогам заседания комиссии составляется протокол и акт о выделении к уничтожению документов, опись уничтожаемых дел, проверяется их комплектность, акт подписывается председателем и членами комиссии и утверждается ректором Университета. Сведения об уничтожении вносятся в акт о выделении к уничтожению.
Персональные данные, обрабатываемые в информационной системе персональных данных, удаляются путем стирания записи в базах данных системным администратором Университета по запросу субъекта или при достижении целей обработки персональных данных. В этом случае применяется Инструкция о порядке удаления (изменения) персонифицированных записей из (в) Университете.
Временное прекращение операций по обработке персональных данных (блокирование) должно возникать по требованию субъекта персональных данных при выявлении им недостоверности обрабатываемых сведений или неправомерных действий в отношении его данных, а также иных случаях, предусмотренных законодательством Российской Федерации.
4.7. Защита персональных данных.
При обработке персональных данных Университет принимает организационные и технические меры для защиты персональных данных от неправомерных действий в соответствии с требованиями, устанавливаемыми действующим законодательством Российской Федерации.
В Университете перечень защищаемых информационных систем и иных ресурсов определяется Перечнем защищаемых информационных систем; организация работы с машинными носителями определяется Регламентом обращения с машинными носителями и мобильными техническими устройствами в информационных системах Университета; разграничение прав доступа Университета осуществляется Регламентом управления доступом субъектов доступа к объектам доступа в информационных системах Университета; а также регламентируется иной локальной организационно-распорядительной документацией, необходимой для сохранения конфиденциальности, целостности и доступности персональных данных.
Защита персональных данных при неавтоматизированной их обработке определяется локальным Порядком обработки персональных данных без использования средств автоматизации.
Защита персональных данных при их обработке в ИСПДн определяется Инструкцией ответственного за обработку персональных данных, Инструкцией администратора безопасности, Инструкцией пользователя и другими локальными нормативными документами Университета в сфере защите информации.
5. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
5.1. Организация доступа работников Университета к персональным данным субъектов персональных данных:
5.1.1. Должностные лица Университета должны иметь доступ только к тем персональным данным субъектов персональных данных, которые необходимы им для выполнения своих должностных обязанностей.
В Университете правила разграничения прав доступа к персональным данным определяется Регламентом управления доступом субъектов доступа к объектам доступа в информационных системах Университета. Круг лиц, допущенных к обработке персональных данных, определяется приказом ректора на основании данных, представленных руководителями структурных и функциональных подразделений Университета, в которых ведется обработка персональных данных. Также приказом ректора Университета определяется перечень информации, подлежащий защите в информационных системах Университета.
Лица, имеющие доступ к персональным данным, определяются в соответствии с Перечнем подразделений и работников, допущенных к работе с персональными данными.
5.1.2. Должностные лица допускаются к обработке персональных данных после ознакомления с настоящим Положением, Инструкцией пользователя, а также с иной организационно-распорядительной документацией в сфере защиты информации Университета в пределах их должностных полномочий.
Должностные лица перед началом обработки персональных данных подписывают Обязательство о неразглашении сведений конфиденциального характера и персональных данных.
Доступ должностных лиц к обработке персональных данных осуществляется в соответствии с Перечнем лиц, допущенных к работе с персональными данными.
5.1.3. В случае обнаружения нарушений правил обработки персональных данных в Университете руководство и/или ответственный за организацию обработки персональных данных обязаны приостановить предоставление персональных данных пользователям до выявления и устранения причин нарушений.
5.2. Организация доступа субъекта персональных данных к его персональным данным:
5.2.1. Университет, обрабатывая персональные данные, должен обеспечивать доступ субъекта персональных данных (ему соответствующим) к персональным данным за исключением случаев, предусмотренных законодательством Российской Федерации.
5.2.2. Субъект персональных данных вправе направить запрос на получение доступа к своим персональным данным в Университет в бумажной или электронной форме, порядок обработки таких обращений регламентируется Инструкцией о порядке рассмотрения обращений граждан, а также Правилами рассмотрения запросов субъектов персональных данных.
5.2.3. Работники Университета должны предоставить персональные данные субъекту персональных данных в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам.
5.2.4. В случае если персональные данные субъекта являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, Университет обязан приостановить процесс обработки персональных данных субъекта до устранения нарушений обработки персональных данных.
6. ПРАВА И ОБЯЗАННОСТИ УНИВЕРСИТЕТА И РАБОТНИКОВ, ОСУЩЕСТВЛЯЮЩИХ ОБРАБОТКУ ПРЕСОНАЛЬНЫХ ДАННЫХ
6.1. Права и обязанности Университета:
6.1.2. Университет имеет право осуществлять обработку персональных данных в законных и обоснованных целях, в том числе предоставлять персональные данные третьим лицам, если на это дано информированное согласие субъекта персональных данных или если это предусмотрено действующим законодательством Российской Федерации.
6.1.3. Университет обязан:
- при сборе персональных данных предоставить субъекту персональных данных по его просьбе информацию, предусмотренную Федеральным законом,
- разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные, если в соответствии с Федеральным законом предоставление персональных данных является обязательным;
- в случае выявления недостоверных персональных данных или неправомерных действий с персональными данными, устранить допущенные нарушения, или, в случае невозможности устранения, уничтожить персональные данные, а также уведомить о своих действиях субъекта персональных данных или уполномоченный орган;
- обеспечить каждому субъекту персональных данных возможность ознакомиться с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законодательством Российской Федерации соответствии с внутренними регламентами Университета;
- внести необходимые изменения, уничтожить или блокировать их, а также уведомить о своих действиях субъекта персональных данных, в случае предоставления субъектом персональных данных неполных, устаревших, недостоверных или незаконно полученных персональных данных;
- не принимать на основании исключительно автоматизированной обработки решения, порождающие юридические последствия в отношении субъектов персональных данных или иным образом затрагивающие их права и законные интересы;
- по запросу уполномоченного органа по защите прав субъектов персональных данных предоставить ему необходимую информацию.
6.2. Права и обязанности работников Университета:
6.2.1. В целях защиты персональных данных, хранящихся в Университете, работник, осуществляющий обработку персональных данных, имеет права:
- получать и вводить информацию в соответствии с его полномочиями;
- требовать оповещения Университетом субъекта персональных данных обо всех произведенных в них исключениях, исправлениях или дополнениях.
6.2.2. Работники, допущенные к обработке персональных данных, обязаны:
- ознакомиться с документами Университета, которые устанавливают порядок обработки персональных данных в Университете, и подписать лист ознакомления с ними, а также подписать обязательство о неразглашении сведений конфиденциального характера и персональных данных, полученных в ходе исполнения своих должностных обязанностей;
- соблюдать режим конфиденциальности и не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;
- не сообщать персональные данные субъекта третьей стороне без письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных Федеральным законом;
- разрешать доступ к персональным данным субъектов только уполномоченным лицам, присутствующим в перечне лиц, имеющих доступ к персональным данным;
- не запрашивать дополнительную информацию, содержащую персональные данные, за исключением тех сведений, которые необходимы для достижения целей обработки персональных данных;
- вести журнал учета обращений субъектов персональных данных по вопросам обработки их персональных данных;
- ограничить доступ с помощью соответствующего средства защиты информации к журналу учета обращений субъектов персональных данных по вопросам обработки их персональных данных.
7. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Права и обязанности субъектов персональных данных (его законному представителю):
7.1.1. Имеет права:
- в части получения сведений об Университете: на получение сведений об Университете, о месте его нахождения, о наличии персональных данных, относящихся к нему, на ознакомление с такими персональными данными; требовать от Университета уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные Федеральным законом меры по защите своих прав;
- в части доступа к своим персональным данным: на доступ к своим персональным данным при обращении либо связи с подачей запроса им или его законным представителем;
- в части получения информации, касающейся обработки его персональных данных:
на подтверждение факта обработки персональных данных Университетом, а также цель такой обработки;
на способы обработки персональных данных, применяемые Университетом;
на сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
на перечень обрабатываемых персональных данных и источник их получения;
на соблюдение сроков обработки персональных данных, в том числе сроков их хранения;
на сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных;
- в части защиты своих персональных данных, хранящихся в Университете:
требовать исключения или исправления неверных или неполных персональных данных персональных данных; на доступ к своим персональным данным;
на определение законных представителей для защиты своих интересов в сфере безопасности информации;
на сохранение и защиту своей личной и семейной тайны;
на обжалование в суде любых неправомерных действий или бездействия Университета при обработке и защите его персональных данных.
7.1.2. Ограничение прав субъектов персональных данных:
Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:
- обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
- доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
7.2. Субъект персональных данных обязан:
- передавать Университету достоверные документы, содержащие персональные данные, состав которых установлен действующим законодательством Российской Федерации;
- не предоставлять неверные персональные данные, а в случае изменений в персональных данных или обнаружения ошибок или неточностей в них (фамилия, место жительства и т.д.), сообщить о внесенных изменениях в Университет в течение трех рабочих дней.
7.3. Если субъект персональных данных считает, что Университет осуществляет обработку его персональных данных с нарушением требований законодательства Российской Федерации или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Университета в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
8 ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ И ОТВЕТСТВЕННЫЙ ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут гражданскую, административную, дисциплинарную и иную, предусмотренную законодательством Российской Федерации, ответственность за нарушение обработки, порядка и защиты использования данной информации.
8.2. Работники Университета, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
Руководитель подразделения, разрешивший доступ работнику к персональным данным субъекта персональных данных несет персональную ответственность за данное решение.
Работник Университета, получивший доступ к персональным данным субъекта персональных данных несет персональную ответственность за обеспечение конфиденциальности предоставленной ему информации. Кроме того, работник Университета, получивший для работы документы, содержащие персональные данные, несет персональную ответственность за их сохранность.
В случае, когда нарушение конфиденциальности, целостности или доступности персональных данных повлекло за собой имущественный вред для Университета, на виновного работника возлагается возмещение имущественного и(или) морального вреда в соответствии с законодательством Российской Федерации.
8.3. Ответственный за организацию обработки персональных данных.
8.3.1. Ответственный за организацию обработки персональных данных обязан:
1) организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых в Университете от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;
2) осуществлять внутренний контроль за соблюдением работниками Университета, уполномоченными на обработку персональных данных, требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;
3) доводить до сведения работников Университета, уполномоченных на обработку персональных данных, положения законодательства Российской Федерации в области персональных данных, локальные акты Университета по вопросам обработки персональных данных, требования к защите персональных данных;
4) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов в Университете;
5) в случае нарушения в Университете требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.
8.3.2. Ответственный за организацию обработки персональных данных вправе:
1) иметь доступ к информации, касающейся обработки персональных данных в Университет и включающей:
цели обработки персональных данных; категории обрабатываемых персональных данных;
категории субъектов персональных данных, персональные данные которых обрабатываются;
правовые основания обработки персональных данных;
перечень действий с персональными данными, общее описание используемых в Университете способов обработки персональных данных;
описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных»: дату начала обработки персональных данных;
срок или условия прекращения обработки персональных данных;
сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
2) привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых в Университете, иных работников Университета с возложением на них соответствующих обязанностей и закреплением ответственности.
8.4. Ответственный за организацию обработки персональных данных несет ответственность за надлежащее выполнение функций по организации обработки персональных данных в Университете в соответствии с законодательством Российской Федерации в области персональных данных.
Положение №156/2 от 18.03.2025 г. об обработке персональных данных