Последнее обновление: 25 ноября 2022 года

ПОЛОЖЕНИЕ О РАБОТЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ


1. Общие положения

1.1. Настоящим Положением определяется порядок получения, обработки, хранения, передачи и любого другого использования персональных данных работников, обучающихся, поступающих РУТ (МИИТ) (далее – Университет), исходя из необходимости обеспечения защиты прав и свобод человека и гражданина в соответствии с требованиями законодательства Российской Федерации.

1.2. Цель настоящего Положения – защита прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, определение политики Университета как оператора в отношении обработки персональных данных.

1.3. Соблюдение Положения является главным условием обработки персональных данных Университетом и обязательно для всех работников Университета.

1.4. Университет принимает правовые, организационные и технические меры, необходимые для обеспечения исполнения законодательства о персональных данных, либо обеспечивает их принятие.

1.5. Настоящее Положение разработано в соответствии с требованиями:

- Федерального закона Российской Федерации от 27 июля 2006 № 152-ФЗ "О персональных данных";

- Федерального закона от 27 июля 2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации";

- Федерального закона Российской Федерации от 29 декабря 2012 № 273-ФЗ "Об образовании в Российской Федерации";

- Постановления Правительства Российской Федерации от 15 сентября 2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

- Постановления Правительства Российской Федерации от 21 марта 2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

- Постановления Правительства Российской Федерации от 01 ноября 2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

1.6. В Положение могут вноситься изменения без предварительного уведомления субъектов персональных данных и прочих лиц. Актуальная редакция Положения размещена на корпоративном сайте (портале) Университета по адресу: https://rut-miit.ru/org/privacy.

2. Термины и определения

Термины и определения, используемые в Положении, приведены в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – ФЗ "О персональных данных") и иными нормативными правовыми актами Российской Федерации, а именно:

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Персональные данные и их категории могут различаться по степени определенности и определимости субъекта персональных данных и зависят от действительной возможности определения на их основе конкретного человека и гражданина (субъекта).

Данные, не определяющие личность человека и гражданина, или не позволяющие определить такую личность даже с применением каких-либо процедур [1], не являются персональными данными, а их обработка не связана с необходимостью соблюдения законодательства Российской Федерации о персональных данных. К указанным данным могут относиться такие сведения, как пол, возраст, должность [2], профессия и прочее, и сведения, появляющиеся в связи с повсеместным проникновением сети Интернет в повседневную жизнь [3], до тех пор, пока такие сведения не позволяют установить личность человека и гражданина.

Персональные данные, разрешенные субъектом персональных данных для распространения, – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном ФЗ "О персональных данных".

Биометрические персональные данные – сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Защита персональных данных – деятельность уполномоченных лиц по обеспечению с помощью локального регулирования порядка обработки персональных данных и обеспечение организационно-технических мер защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Субъекты персональных данных – определенные или определяемые (поддающиеся определению) физические лица. К числу таких лиц могут относиться работники, абитуриенты, обучающиеся и выпускники Университета, участники олимпиад и других мероприятий, проводимых Университетом, и иные лица.

Работник – физическое лицо, вступившее в трудовые отношения с университетом.

Обучающийся – физическое лицо, осваивающее образовательную программу. Для целей Положения к обучающимся относятся также физические лица, приобретающие какие-либо знания, умения и навыки, формирующие компетенции, удовлетворяющие свои образовательные потребности в интеллектуальном, духовно-нравственном, физическом и/или профессиональном совершенствовании в иной форме, а также абитуриенты.

Выпускник – физическое лицо, завершившее освоение образовательной программы. Для целей Положения к выпускникам относятся также физические лица, приобретшие какие-либо знания, умения и навыки, формирующие компетенции, удовлетворяющие свои образовательные потребности в интеллектуальном, духовно-нравственном, физическом и/или профессиональном совершенствовании в иной форме.

Оператор – государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Для целей Положения оператором является Университет.

3. Принципы и условия обработки персональных данных

3.1. Получение персональных данных Университетом осуществляется в соответствии с нормативно-правовыми актами Российской Федерации в области трудовых и образовательных отношений на основе трудовых договоров или письменного согласия субъектов персональных данных (или их законных представителей) в позволяющей подтвердить факт его получения форме – путем включения соответствующего пункта в договор, анкету или иной документ, если при этом его содержание отвечает установленным требованиям к содержанию письменного согласия. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с ФЗ "О персональных данных" электронной подписью.

Получая персональные данные от работников, обучающихся, иных лиц, указанных в настоящем Положении, и начиная их хранение, Университет становится оператором. Обработка персональных данных осуществляется Университетом с соблюдением принципов, условий и правил, предусмотренных законодательством о персональных данных, в следующих основных случаях:

3.2.1. Обработка персональных данных осуществляется с письменного согласия субъекта персональных данных на обработку его персональных данных. Университет не имеет права обрабатывать специальные категории персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и частной жизни, членства в общественных объединениях, в том числе в профессиональных союзах. Для включения любых персональных данных в общедоступные источники персональных данных и/или распространении и передачи персональных данных работников третьим лицам необходимо получение указанного согласия в письменной форме либо в форме электронного документа, подписанного электронной подписью.

К указанному случаю относится, в частности, обработка персональных данных:

- соискателей на замещение вакантных должностей для целей, обусловленных принятием решения в отношении их кандидатур, в том числе получения информации у предшествующих работодателей, обеспечения должного уровня безопасности при их посещении территорий и помещений Университета, формирования и использования банка данных перспективных соискателей;

- работников Университета в целях информационного обеспечения деятельности, в том числе посредством корпоративного сайта (портала) https://rut-miit.ru, и иные общедоступные источники персональных данных; печати и размещения информационных табличек; печати и предоставления визитных карточек; приема, фиксации и исполнения заявок, заявлений, запросов и иных видов обращений субъектов персональных данных; обеспечения действующего в Университете уровня безопасности, в том числе действующего пропускного режима и контроля его соблюдения, видеонаблюдения и видеозаписи на территориях и в помещениях; идентификации личности работника Университета; проведения в Университете мероприятий и освещения информации о них, в том числе при проведении видеозаписи проводимых мероприятий; обеспечения возможности Университета для оформления отношений с кредитными организациями, открывающими и обслуживающими платежные карты для начисления и перечисления денежных выплат; обеспечения возможности Университета привлечения третьих лиц для ведения кадрового, бухгалтерского и налогового учета; обеспечения информирования о проводимых Университетом мероприятиях, выполняемых исследованиях, реализуемых проектах и их результатах; продвижения товаров, работ, услуг на рынке, в том числе путем осуществления прямых контактов с субъектами персональных данных с помощью средств связи; обеспечения правовой охраны интеллектуальной собственности; выполнения работ, в том числе научно-исследовательских, опытно-конструкторских и технологических, и оказания услуг по заказам третьих лиц и в рамках исполнения государственного задания, осуществления экспертно-аналитической деятельности; статистических и иных исследовательских целях, научной и иной творческой деятельности, осуществляемой в Университете;

- бывших работников Университета в целях обеспечения ретроспективы кадрового учета; обеспечения информирования о проводимых мероприятиях, выполняемых исследованиях, реализуемых проектах и их результатах; предоставления таким работникам справок, в том числе для подтверждения стажа и размеров денежных выплат; продвижения товаров, работ, услуг на рынке, в том числе путем осуществления прямых контактов с субъектами персональных данных с помощью средств связи;

- участников проводимых Университетом или с его непосредственным участием познавательных, образовательных и научных мероприятий с целью учета количества участников, анализа их профессиональных интересов, обеспечения действующего в Университете уровня безопасности, в том числе действующего пропускного режима и контроля его соблюдения, видеонаблюдения и видеозаписи на территории и в помещениях; обеспечения информирования о проводимых мероприятиях, выполняемых исследованиях, реализуемых проектах и их результатах; продвижения товаров, работ, услуг на рынке, в том числе путем осуществления прямых контактов с субъектами персональных данных с помощью средств связи;

- обучающихся Университета в целях раскрытия и развития их талантов и способностей; эффективного формирования образовательных траекторий и внедрения в образовательные процессы практико-ориентированных компонентов, повышающих качество подготовки и востребованность успешных обучающихся на рынках труда; формирования возможностей онлайн образования, в том числе с передачей их персональных данных третьим лицам; размещения на корпоративном портале (сайте) https://rut-miit.ru сведений о подготовленных курсовых и выпускных квалификационных работах, самих работ, результатов текущего контроля успеваемости, промежуточной, итоговой и государственной итоговой аттестации, для обеспечения открытости и прозрачности процесса их оценивания; обеспечения их участия в выполнении работ, в том числе научно-исследовательских, опытно-конструкторских и технологических работ, и оказании услуг по заказам третьих лиц и в рамках исполнения государственного задания; содействия в трудоустройстве, в том числе с передачей их персональных данных третьим лицам; формирования единого сообщества обучающихся для повышения интереса и междисциплинарной интеграции; обеспечения информирования о проводимых Университетом мероприятиях, выполняемых исследованиях, реализуемых проектах и их результатах; продвижения товаров, работ, услуг на рынке, в том числе путем осуществления прямых контактов с субъектами персональных данных с помощью средств связи.

Персональные данные несовершеннолетнего обучающегося (воспитанника) в возрасте до 14 лет (малолетнего) предоставляются его родителями (законными представителями), либо самим обучающимся с письменного согласия своих законных представителей - родителей, усыновителей или попечителя.

В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

- выпускников Университета в целях содействия в трудоустройстве, в том числе с передачей их персональных данных третьим лицам; формирования единого сообщества выпускников, в том числе для обеспечения возможности их взаимодействия с обучающимся (наставничества) и мотивации обучающихся; обеспечения информирования о проводимых Университетом мероприятиях, выполняемых исследованиях, реализуемых проектах и их результатах; продвижения товаров, работ, услуг на рынке, в том числе путем осуществления прямых контактов с субъектами персональных данных с помощью средств связи;

- руководителей и иных представителей юридических лиц – контрагентов или потенциальных контрагентов по договорам, соглашениям и контрактам (далее в совокупности – договоры) в целях подготовки к заключению договоров и исполнения таких договоров, ведения учета заключенных договоров.

3.2.2. Обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на Университет как оператора функций, полномочий и обязанностей, в том числе:

- трудовым законодательством (включая законодательство об охране труда), состоящим из Трудового кодекса Российской Федерации, иных федеральных законов и законов субъектов Российской Федерации, содержащих нормы трудового права;

- Порядком ведения реестра договоров, заключенных заказчиками по результатам закупки, утвержденными постановлением Правительства Российской Федерации от 31.10.2014 № 1132;

- Порядком проведения олимпиад школьников, утвержденным приказом Министерства науки и высшего образования Российской Федерации от 22.06.2022 № 566;

- Порядком приема на обучение по образовательным программам высшего образования - программам бакалавриата, программам специалитета, программам магистратуры, утвержденным приказом Министерства науки и высшего образования Российской Федерации от 21.08.2020 № 1076;

- Порядком приема на обучение по образовательным программам среднего профессионального образования, утвержденным приказом Министерства просвещения Российской Федерации от 02.09.2020 № 457;

- Порядком приема на обучение по образовательным программам начального общего, основного общего и среднего общего образования, утвержденным приказом Министерства просвещения Российской Федерации от 02.09.2020 № 458;

- иными нормативными правовыми актами Российской Федерации.

К указанному случаю относится, в частности, обработка персональных данных работников, обучающихся, абитуриентов, участников олимпиад и конкурсов, а также физических лиц – контрагентов Университета.

3.2.3. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

К указанному случаю относится, в частности, обработка персональных данных обучающихся на местах по договорам об образовании за счет средств физических и (или) юридических лиц, в том числе обучающихся по дополнительным профессиональным программам, прочих получателей услуг и работ, а также физических лиц – контрагентов Университета. К указанному случаю обработки персональных данных может также относиться обработка, осуществляемая Университетом на основании предоставляемых в связи с заключением указанных договоров согласий на обработку персональных данных.

3.2.4. Обработка персональных данных необходима для научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.

3.2.5. Обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных.

3.2.6. Обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну.

3.3. Обработка биометрических персональных данных необходима для контроля и обеспечения санкционированного доступа на территорию Университета и его структурных подразделений в целях идентификации работников и обучающихся. Обработка биометрических персональных данных осуществляется с письменного согласия субъекта персональных данных на обработку его биометрических персональных данных.

3.4. Все вышеуказанные персональные данные субъектов, групп субъектов персональных данных и иные персональные данные обрабатываются в объеме и в сроки, предусмотренные соответствующими согласиями на обработку персональных данных, в том числе выраженными в тексте трудовых и гражданско-правовых договоров, и/или в нормативных правовых актах, и/или локальных нормативных актах Университета, и/или вытекающими из таких нормативных правовых актов и локальных нормативных актов Университета, либо в сроки, необходимые для достижения указанных целей. Вышеперечисленные условия обработки персональных данных не являются исчерпывающими. Предоставляемые согласия на обработку персональных данных могут дополняться или изменяться иным образом цели, объем, способы и сроки обработки персональных данных.

3.5. Формы согласий на обработку персональных данных утверждаются приказом Университета.

3.6. Обработка персональных данных иных лиц осуществляется при наличии их согласий, если они фактически взаимодействуют с Университетом, в том числе в форме возникающих или существующих правоотношений. Если иное не указано в Положении, заключаемых договорах или предоставляемых субъектами персональных данных согласиях на обработку персональных данных, Университет использует такие персональные данные исключительно для целей, для которых они были предоставлены Университету, в частности, в целях предоставления ответов на вопросы, предоставления доступа к определенной информации и знаниям.

3.7. При отсутствии необходимости получения согласия субъекта на обработку персональных данных в письменной форме, установленной ФЗ "О персональных данных", согласие субъекта может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт получения согласия форме, в том числе в электронном виде.

3.8. Персональные данные хранятся в бумажном и (или) электронном виде централизованно или в соответствующих структурных подразделениях с соблюдением предусмотренных нормативно-правовыми актами Российской Федерации мер по защите персональных данных. В Университете не допускается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

3.9. Перечень лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных в Университете, утверждается приказом Университета.

3.10. Работники Университета, получающие и обрабатывающие персональные данные в Университете, заблаговременно, до начала обработки персональных данных, должны убедиться в ее допустимости и законности, удостовериться относительно обладания Университетом соответствующими полномочиями и/или согласиями субъектов персональных данных. При отсутствии таких полномочий и/или согласий указанный работник Университета должен обеспечить получение согласия от субъекта, обработка персональных данных которого планируется. В этой связи он может:

- предусматривать в различных электронных регистрационных формах, переписке по электронной почте получение согласий на обработку персональных данных от соответствующих субъектов персональных данных с обязательной фиксацией такого согласия в любой позволяющей подтвердить факт его получения форме, в том числе с последующим личным подтверждением предоставления согласий такими субъектами;

- применять форму письменного согласия на обработку персональных данных, утвержденную приказом Университета, размещенную на странице корпоративного сайта (портала) Университета по адресу https://rut-miit.ru/sveden/document.

3.11. Всякий раз, когда получение необходимого согласия на обработку персональных данных невозможно и имеются достаточные основания полагать, что обработка персональных данных может нарушить права субъекта персональных данных, соответствующий работник Университета уведомляет любым фиксированным способом (на бумажном носителе, посредством корпоративной электронной почты) об этом комиссию по защите персональных данных (далее – Комиссия), утвержденную приказом Университета, для выработки обоснованного подхода к обработке персональных данных или установления невозможности их обработки.

Руководители структурных подразделений, в непосредственной деятельности которых происходит обработка персональных данных граждан, обеспечивают принятие всех необходимых мер по соблюдению законности обработки персональных данных, в том числе получение согласий на обработку.

3.12. В отсутствие указания на иное, предоставляя свои персональные данные Университету, субъект персональных данных принимает условия Положения и тем самым свободно, своей волей и в своем интересе распоряжается ими, осознает последствия их предоставления и выражает свое согласие на их обработку в целях, для достижения которых они предоставляются, а также в целях соблюдения Университетом нормативных и ненормативных правовых актов, принимаемых в Российской Федерации; исполнения решений, поручений и запросов органов государственной власти, осуществляющих отдельные функции и полномочия учредителя Университета, а также иных органов государственной власти и их должностных лиц; обеспечения информирования о проводимых Университетом мероприятиях, выполняемых исследованиях, реализуемых проектах и их результатах; продвижения товаров, работ, услуг на рынке, в том числе путем осуществления прямых контактов с субъектами персональных данных с помощью средств связи; осуществления Университетом уставной деятельности; а также аккумуляции сведений о лицах, взаимодействующих с Университетом, путем сбора, записи, систематизации, накопления, хранения, уточнения (обновление, изменение), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения, совершаемых, в том числе с использованием средств автоматизации. Объем обрабатываемых персональных данных в указанном случае ограничивается теми данными, которые предоставлены субъектами персональных данных самостоятельно.

Несмотря на широкий перечень действий, допустимых персональными данными, на совершение которых дается такое согласие, при обработке персональных данных Университет ограничивается достижением конкретных, заранее определенных, законных целей и не допускает избыточности их обработки.

Университет воздерживается от продажи или предоставления в пользование персональных данных в какой-либо объективной форме. Обработка персональных данных в Университете за пределами вышеуказанных случаев, в отсутствие согласий субъектов персональных данных на их обработку, запрещена.

3.13. Лица, виновные в нарушении порядка обработки персональных данных, несут предусмотренную законодательством Российской Федерации ответственность. В отношении работников Университета, нарушивших порядок обработки персональных данных, могут быть применены дисциплинарные взыскания.

4. Распространение и передача персональных данных

4.1. Распространение и передача персональных данных субъектов персональных данных третьим лицам не допускается без оформления отдельного согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, за исключением случаев, установленных ФЗ "О персональных данных".

4.2. Распространение и передача третьим лицам документов (иных материальных носителей), содержащих персональные данные, осуществляется по письменному запросу третьего лица на предоставление персональных данных, при этом третье лицо должно обладать полномочиями по получению таких данных.

4.3. Представителю субъекта персональных данных данные соответствующего субъекта персональных данных передаются в порядке, установленном действующим законодательством. Информация передается при наличии одного из следующих документов:

- документы, подтверждающие возникновение полномочия представителя;

- доверенность представителя субъекта персональных данных, содержащая согласие субъекта персональных данных на предоставление его персональных данных представителю.

4.4. Предоставление персональных данных государственным органам Российской Федерации производится в соответствии с требованиями действующего законодательства Российской Федерации.

Персональные данные могут быть предоставлены родственникам или членам семьи субъекта персональных данных (кроме законных представителей) только с письменного разрешения самого субъекта персональных данных, за исключением случаев, когда передача персональных данных без его согласия допускается действующим законодательством Российской Федерации.

4.6. Документы, содержащие персональные данные, могут быть отправлены посредством корпоративной электронной почты, почтовой связи или курьерской службы. При этом должна быть обеспечена их конфиденциальность.

4.7. В случае если лицо/организация, обратившиеся в Университет с запросом на предоставление персональных данных, не уполномочены на получение информации, относящейся к персональным данным, Университет обязан отказать лицу/организации в выдаче такой информации путем направления уведомления в свободной форме об отказе в выдаче информации. Копия уведомления хранится в соответствии с принятыми правилами делопроизводства (как исходящая корреспонденция).

5. Особенности защиты персональных данных

5.1. Защита персональных данных представляет собой принятие правовых, организационных и технических мер, направленных на:

- обеспечение защиты персональных данных от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных;

- соблюдение конфиденциальности персональных данных;

- реализацию права на доступ к персональным данным.

5.2. Университет обеспечивает эффективную работу системы защиты персональных данных, которая включает в себя организационные и технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах. Обеспечение защиты персональных данных в информационных системах Университета осуществляется Управлением информатизации.

5.3. Защита персональных данных от неправомерного их использования или утраты обеспечивается за счет средств Университета в порядке, установленном ФЗ "О персональных данных".

5.4. Защита персональных данных, хранящихся в электронных базах данных и в информационных системах университета, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается разграничением прав доступа с использованием учетной записи и системы паролей.

5.5. Организация хранения персональных данных в Университете осуществляется в порядке, исключающем их утрату или их неправомерное использование.

5.6. Организацию и контроль за защитой персональных данных в Университете, осуществляют уполномоченные приказом Университета работники, а также руководители соответствующих структурных подразделений.

5.7. Для регламентации доступа работников Университета к персональным данным, документам, в том числе электронным, иным материальным носителям, базам данных и информационным системам, содержащим персональные данные, в целях исключения несанкционированного доступа третьих лиц и защиты персональных данных первые проректоры, проректоры, руководители соответствующих структурных подразделений обязаны соблюдать и обеспечивать:

- ограничение и регламентацию состава работников, трудовые обязанности которых требуют доступа к персональным данным;

- строгое избирательное и обоснованное распределение документов, иных материальных носителей, содержащих персональные данные, между работниками;

- рациональное размещение рабочих мест работников, при котором исключается бесконтрольное использование персональных данных;

- знание соответствующими работниками требований нормативных правовых и локальных нормативных актов по защите информации и сохранении конфиденциальности такой информации;

- наличие необходимых условий в помещении для работы с документами, иными материальными носителями, базами данных и информационными системами, содержащими персональные данные;

- определение и регламентацию состава работников, имеющих право доступа к базам данных и информационным системам, содержащим персональные данные;

- организацию порядка уничтожения материальных носителей, содержащих персональные данные, и его соблюдение;

- своевременное выявление нарушения требований разрешительной системы доступа к персональным данным;

- работу в структурном подразделении по предупреждению утраты и разглашению персональных данных при работе с ними;

- ограничение доступа к документам, иным материальным носителям, базам данных и информационным системам, содержащим персональные данные.

5.8. Для защиты персональных данных в Университете обеспечивается соблюдение:

- порядка приема, учета и контроля деятельности посетителей;

- пропускного режима;

- учета и порядка выдачи пропусков;

- наличия технических средств охраны, сигнализации;

- порядка охраны территории, зданий, помещений, транспортных средств;

- требований к защите информации при интервьюировании и собеседованиях;

- использования сертифицированных средств защиты информации;

- регулярное обновление антивирусного программного обеспечения;

- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которых может быть нарушено функционирование таких средств;

- принятие мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

- возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- осуществление внутреннего контроля и аудита.

5.9. Все меры по обеспечению конфиденциальности персональных данных при их обработке распространяются как на материальные носители, так и на персональные данные, представленные в электронном формате.

6. Порядок хранения, блокирования, обезличивания персональных данных

6.1. Хранение персональных данных в Университете, осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен ФЗ "О персональных данных", договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

6.2. Хранение персональных данных в Университете осуществляется в порядке, исключающем доступ к ним третьих лиц. При хранении персональных данных субъектов персональных данных в Университете применяются средства защиты от несанкционированного доступа.

6.3. Персональные данные могут храниться в бумажном и (или) электронном виде централизованно или в соответствующих структурных подразделениях, в пределах контролируемой зоны по периметрам помещений с соблюдением условий, обеспечивающих сохранность носителей персональных данных, безопасность в этих помещениях, соответствие требованиям пожарной безопасности и исключающих неконтролируемое проникновение или пребывание в этих помещениях посторонних лиц.

6.4. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных Университет блокирует неправомерно обрабатываемые персональные данные, относящиеся к этому субъекту, с момента такого обращения на период проверки.

6.5. В случае выявления неточных персональных данных при обращении субъекта персональных данных Университет блокирует персональные данные, относящиеся к этому субъекту, с момента такого обращения на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта или третьих лиц.

6.6. В случае подтверждения факта неточности персональных данных Университет на основании сведений, представленных субъектом персональных данных, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

6.7. В случае выявления неправомерной обработки персональных данных, осуществляемой Университетом, данная обработка прекращается в срок, не превышающий трех рабочих дней с даты этого выявления.

6.8. В случае если обеспечить правомерность обработки персональных данных невозможно, Университет в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обезличивает такие персональные данные.

6.9. Об устранении допущенных нарушений или об обезличивании персональных данных Университет уведомляет субъекта персональных данных.

6.10. В случае достижения цели обработки персональных данных и/или отзыва субъектом персональных данных согласия на обработку его персональных данных данная обработка персональных данных прекращается, персональные данные обезличиваются.

7. Права субъекта персональных данных

7.1. Университет не осуществляет обработку персональных данных в отсутствие согласий субъектов персональных данных и/или за пределами условий обработки персональных данных, указанных в ФЗ "О персональных данных ", если иное не установлено законодательством Российской Федерации.

7.2. Субъект персональных данных имеет право ознакомиться с объемом предоставленного им Университету согласия и, при необходимости, обратиться в Комиссию с целью совершения иных действий, предусмотренных законодательством о персональных данных.

7.3. Субъект персональных данных имеет право на получение информации при обращении в Комиссию, касающейся обработки его персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных оператором;

- правовые основания и цели обработки персональных данных;

- цели и применяемые оператором способы обработки персональных данных;

- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании "О персональных данных ";

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен ФЗ "О персональных данных ";

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ "О персональных данных ";

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные ФЗ "О персональных данных " и иными нормативными правовыми актами Российской Федерации.

7.4. Субъект персональных данных вправе направить в адрес Комиссии отзыв предоставленного им согласия на обработку его персональных данных в той же форме, в которой такое согласие от него было получено (Приложение).

7.5. Субъект персональных данных может осуществлять иные права, предусмотренные законодательством о персональных данных.



[1] В частности, посредством поисковых запросов, запросов в информационно-коммуникационной сети «Интернет», в том числе в социальных сетях и пр.

[2] В случае, если она не уникальна, без указания места работы.

[3] В частности, сведения о динамических IP-адресах для непрофессионального потребителя услуг связи.


В виде файла