гуап согласие на обработку персональных данных образец
Сведения об образовательной организации
Политика обработки персональных данных в ГУАП
1. Общие положения
1.1. Политика обработки персональных данных в ГУАП (далее – Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
1.2. Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в федеральном государственном автономном учреждении высшего профессионального образования «Санкт-Петербургский университет аэрокосмического приборостроения» (далее – ГУАП) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. В Политике используются следующие основные понятия:
1.3.1. персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
1.3.2. оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
1.3.3. обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
1.3.4. автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
1.3.5. распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
1.3.6. предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
1.3.7. блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
1.3.8. уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
1.3.9. обезличивание персональных данных – действия, в результате которых невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
1.3.10. информационная система персональных данных – совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;
1.3.11. трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
2. Принципы и условия обработки персональных данных
2.1. Принципы обработки персональных данных
2.1.1. Обработка персональных данных в ГУАП осуществляется на основе следующих принципов:
2.1.1.1. законности и справедливой основы;
2.1.1.2. ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
2.1.1.3. недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
2.1.1.4. недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
2.1.1.5. обработки только тех персональных данных, которые отвечают целям их обработки;
2.1.1.6. соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
2.1.1.7. недопущения обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
2.1.1.8. обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
2.1.1.9. принятие необходимых мер по удалению или уточнению неполных и неточных данных;
2.1.1.10. уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей.
2.2. Условия обработки персональных данных
2.2.1. Оператор производит обработку персональных данных при наличии хотя бы одного из следующих условий:
2.2.1.1. обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2.2.1.2. обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
2.2.1.3. обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральными законами.
2.2.1.4. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
2.2.1.5. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
2.2.1.6. обработка персональных данных необходима для осуществления прав и законных интересов ГУАП или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
2.2.1.7. обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
2.2.1.8. обработка персональных данных осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;
2.2.1.9. осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
2.2.1.10. осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с Федеральными законами.
2.2.2. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению ГУАП, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» и настоящей Политикой.
2.3. Конфиденциальность персональных данных
2.3.1. Работники ГУАП и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом.
2.4. Общедоступные источники персональных данных
2.4.1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных субъектов персональных данных, в том числе справочники, адресные книги и информационные ресурсы расположенные в сети интернет. В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты и иные персональные данные, сообщаемые субъектом персональных данных.
2.4.2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных, уполномоченного органа по защите прав субъектов персональных данных, если размещение этих сведений не предусмотрено Федеральными законами.
2.5. Согласие субъекта персональных данных на обработку его персональных данных
2.5.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено Федеральным законом.
2.6. Специальные категории персональных данных
2.6.1. Обработка Оператором специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также данных о наличии (отсутствии) судимости, допускается в случаях, если:
2.6.1.1. субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
2.6.1.2. персональные данные сделаны общедоступными субъектом персональных данных;
2.6.1.3. обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;
2.6.1.4. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
2.6.1.5. обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
2.6.1.6. обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
2.6.1.7. обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
2.6.1.8. обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан.
2.6.2. Обработка персональных данных о судимости осуществляется в соответствие с законодательством Российской Федерации.
2.7. Биометрические персональные данные
2.8. Трансграничная передача персональных данных
2.8.1. Работники ГУАП обязаны убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления такой передачи.
2.8.2. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
2.8.2.1. наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
2.8.2.2. исполнения договора, стороной которого является субъект персональных данных.
3. Права субъекта персональных данных
3.1. Субъект персональных данных имеет право на получение у Оператора информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3.2. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с субъектом персональных данных (потенциальным потребителем) с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных.
3.3. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в вышеуказанных целях, если осуществляемая обработка не предусмотрена федеральными законами.
3.4. В ГУАП не принимаются решения, порождающие юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных.
4. Обеспечение безопасности персональных данных
4.1. Безопасность персональных данных, обрабатываемых в ГУАП, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных.
4.2. Субъекты персональных данных принимают решение о предоставлении их персональных данных и дают согласие на обработку таких данных свободно, своей волей и в своем интересе. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, субъекту разъясняются юридические последствия отказа от предоставления его персональных данных.
4.3. Для обеспечения безопасности персональных данных, обрабатываемых в ГУАП создан сектор организации обработки персональных данных при отделе кадров, в рамках работы которого разрабатываются локальные документы, регламентирующие обработку персональных данных, проводится регулярный аудит обработки персональных данных. Работники ГУАП, обрабатывающие персональные данные, проходят инструктаж по ознакомлению с положениями законодательства Российской Федерации о персональных данных, а также локальными документами ГУАП, регламентирующими обработку персональных данных в ГУАП.
4.4. ГУАП принимает меры, необходимые и достаточные для обеспечения обязанностей, предусмотренных законодательством в области защиты персональных данных. Состав и перечень мер определяется самостоятельно. Все принимаемые меры, а также разрабатываемые локальные документы, регламентирующие обработку персональных данных ГУАП утверждаются приказом.
5. Заключительные положения
5.1. Иные права и обязанности ГУАП, как оператора персональных данных, в связи с обработкой персональных данных определяются законодательством Российской Федерации в области персональных данных.
5.2. Работники ГУАП, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.
Сведения об образовательной организации
Положение об обработке персональных данных в ГУАП
1. Общие положения
Положение об обработке персональных данных (далее – Положение) разработано в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации (далее – ТК РФ), Федеральным законом от 27.07.2006 № 152 ФЗ «О персональных данных» (далее – ФЗ 152), Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и иных нормативных правовых актов Российской Федерации.
Настоящее Положение определяет порядок обработки персональных данных и устанавливает общие требования к обеспечению безопасности персональных данных, обрабатываемых в федеральном государственном автономном учреждении высшего профессионального образования «Санкт-Петербургский государственный университет аэрокосмического приборостроения» (далее – Университет).
Целью настоящего Положения является обеспечение соответствия законодательству Российской Федерации действий работников Университета, направленных на обработку персональных данных работников, обучающихся, третьих лиц (других граждан), а также обеспечение защиты персональных данных от несанкционированного доступа, утраты, неправомерного их использования или распространения и установление ответственности работников Университета за невыполнение требований, регулирующих обработку персональных данных.
Положение вступает в силу с момента его утверждения приказом ГУАП и действует бессрочно, до замены его новым Положением. Все изменения и дополнения Положения вносятся приказом ГУАП.
Действие Положения распространяется на все структурные подразделения Университета. Все работники (обучающиеся) должны быть ознакомлены с ним под роспись.
В Положении используются следующие основные понятия:
работодатель — Государственное автономное учреждение высшего профессионального образования «Санкт-Петербургский государственный университет аэрокосмического приборостроения» (далее – Университет);
работник — физическое лицо, вступившее в трудовые отношения с работодателем;
обучающиеся — студенты, аспиранты, докторанты, слушатели, соискатели, абитуриенты, выпускники Университета;
персональные данные работника (обучающегося) – любая информация, необходимая Университету в связи с трудовыми отношениями (обучением) и касающаяся конкретного работника (обучающегося) Университета, а также сведения о фактах, событиях и обстоятельствах жизни работника (обучающегося), позволяющая идентифицировать его личность.
обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
конфиденциальность персональных данных — обязательное для соблюдения должностным лицом Университета, иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;
защита персональных данных — регламентированный технологический процесс, предупреждающий нарушение доступности, целостности, достоверности, конфиденциальности персональных данных работников (обучающихся) и обеспечивающий надежную безопасность информации о персональных данных в процессе деятельности Университета;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
распространение персональных данных — действия, направленные на раскрытие персональных данных работников (обучающихся) неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных работников (обучающихся) в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
использование персональных данных — действия (операции) с персональными данными, совершаемые работником Университета в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работников (обучающихся) либо иным образом затрагивающих их права и свободы или права и свободы других лиц.
блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных работников (обучающихся) в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных работников (обучающихся);
обезличивание персональных данных — действия, в результате которых невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному работнику (обучающемуся);
общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым представлен с согласия работника (обучающегося) или на которые в соответствии с законодательством не распространяется требование соблюдения конфиденциальности.
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
2. Состав персональных данных
К персональным данным относится следующая информация:
– фамилия, имя, отчество;
– дата и место рождения;
– адрес регистрации, адрес места жительства;
– сведения об образовании, о квалификации или о наличии специальных знаний или специальной подготовки;
– сведения трудовой книжки;
– сведения страхового свидетельства государственного пенсионного страхования;
– данные о воинской обязанности;
– сведения о доходах, включая размер должностного оклада, надбавок, доплат, материальной помощи, стипендии и пр.;
– семейное положение, состав семьи;
– информация медицинского характера, в случаях предусмотренных законодательством, и результаты медицинского обследования работника;
– фотография работника (обучающегося);
– иные персональные сведения;
Данные сведения и документы, содержащие персональные данные, за исключением отнесенных к общедоступным и обезличенным персональным данным, являются конфиденциальными.
Университет осуществляет обработку персональных данных следующих категорий субъектов:
– работников, состоящих в трудовых отношениях с Университетом;
– обучающихся в Университете;
– иных физических лиц, данные о которых обрабатываются во исполнение уставных задач Университета.
Персональные данные работников Университета содержатся в следующих документах (копиях указанных документов):
– заявления работников (о принятии на работу, об увольнении и т.п.);
– страховое свидетельство государственного пенсионного страхования;
– свидетельство о постановке на учёт в налоговый орган и присвоении ИНН;
– документы воинского учёта;
– документы об образовании, о квалификации или наличии специальных знаний, специальной подготовки;
– личный листок по учёту кадров;
– медицинское заключение о состоянии здоровья, индивидуальная программа реабилитации, медицинская справка о прохождении медицинских осмотров;
– документы, содержащие сведения об оплате труда;
– другие документы, содержащие персональные данные и предназначенные для использования в служебных целях.
Персональные данные обучающихся Университета могут содержаться в следующих документах (копиях указанных документов):
– личное дело обучающегося;
– личное дело абитуриента;
– заявления абитуриента (о допуске к участию в конкурсе для поступления в Университет и др.);
– заявления обучающихся (в том числе о восстановлении, отчислении; о сдаче академической задолженности, о перезачете (переаттестации) дисциплины, о предоставлении академического отпуска и т.п.);
– личная карточка обучающегося;
– учебная карточка обучающегося;
– договор об обучении с оплатой его стоимости;
– справки (в том числе справки об оплате по договору);
– списки лиц, зачисленных в Университет;
– страховое свидетельство государственного пенсионного страхования;
– документы воинского учёта;
– документы об образовании, о квалификации или наличии специальных знаний, специальной подготовки (аттестат о среднем (полном) общем образовании с приложением, свидетельство о результатах единого государственного экзамена, дипломы, свидетельства и т.п.);
– медицинские документы, содержащие сведения о состоянии здоровья обучающегося (медицинская справка, врачебно-консультативное заключение, пр.);
– экзаменационные листы, зачетные книжки;
– справки об установлении инвалидности; индивидуальная программа реабилитации инвалида;
– документы, содержащие сведения о стипендии, материальной помощи и иных выплатах;
– документы, подтверждающие право на льготный порядок поступления в Университет (свидетельства о смерти родителей, постановление главы города (распоряжение администрации) об установлении опеки, попечительства над несовершеннолетним, свидетельство о рождении, ходатайства отдела опеки и попечительства, департамента семьи, опеки и попечительства о содействии в поступлении в Университет на имя ректора; решения суда о лишении родительских прав и взыскании алиментов; справки об установлении инвалидности, индивидуальная программа реабилитации лица и т.п.);
– документы, подтверждающие целевое направление лица на обучение;
– приказы по студентам, выписки из приказов;
– другие документы, содержащие персональные данные и предназначенные для использования в целях организации образовательного процесса.
3. Доступ к персональным данным
Работник (обучающийся) Университета вправе иметь свободный доступ к своим персональным данным независимо от вида, места и формы хранения документа Университета, содержащего его персональные данные.
К персональным данным работников (обучающихся) Университета в полном объеме вправе иметь доступ ректор университета и его заместители, Ученый секретарь Университета.
Должностные лица и работники структурных подразделений, которым персональные данные работников (обучающихся) необходимы для выполнения должностных обязанностей в соответствии с конкретными Должностными инструкциями, вправе иметь доступ к таким данным в объеме, необходимом для исполнения должностных обязанностей.
Разрешение на доступ к персональным данным работников (обучающихся) вправе дать только ректор, если соответствующие полномочия отсутствуют в Положении о структурном подразделении или Должностной инструкции работника.
Работники Университета получают доступ к обработке персональных данных для выполнения ими служебных (трудовых) обязанностей, после выполнения следующих мероприятий:
– ознакомления под роспись с документами Университета и нормативными актами Российской Федерации по обработке и обеспечению безопасности персональных данных;
– оформления письменного Обязательства о неразглашении персональных данных, форма которого утверждена приказом Университета (Приложение № 1 к настоящему Положению).
Руководители структурных подразделений Университета вправе иметь доступ к персональным данным работников (обучающихся) только своего конкретного структурного подразделения. При необходимости ректор (в соответствии со своей компетенцией) вправе дать распоряжение о временном допуске работника к общей базе данных работников (обучающихся) Университета.
При приеме на работу в Университет (переводе на другую работу внутри Университета), требующую в соответствии с должностной инструкцией или Положением о структурном подразделении доступа к персональным данным, работник должен в обязательном порядке подписать персональное Обязательство о неразглашении персональных данных, которые, начиная с даты его подписания, действуют бессрочно (Приложение № 1 к настоящему Положению).
4. Порядок сбора и получение персональных данных
Персональные данные Университет получает от работника (обучающегося) лично. Если персональные данные работника (обучающегося) возможно получить только у третьей стороны, то работник (обучающийся) должен быть уведомлен об этом заранее и от него должно быть получено предварительное письменное согласие. При этом работнику (обучающемуся) должно быть сообщено о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника (обучающегося) дать согласие на их получение.
Работник (обучающийся) и его представитель должны быть ознакомлены по их требованию с документами Университета, устанавливающими порядок обработки персональных данных работников (обучающихся), а также определяющими их права и обязанности в этой области.
Университет не имеет права получать и обрабатывать персональные данные работника (обучающегося) Университета о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, членстве в общественных организациях и его профсоюзной деятельности, за исключением случаев, предусмотренных нормативно-правовыми актами.
Университет не имеет права получать и обрабатывать персональные данные работника (обучающегося) о состоянии здоровья, за исключением тех сведений, которые относятся к вопросу о возможности выполнения субъектом трудовой функции (обучения).
Получение и обработка Университетом персональных данных работника (обучающегося) возможна без его согласия исключительно в следующих случаях:
– персональные данные являются общедоступными;
– персональные данные относятся к состоянию здоровья работника (обучающегося) и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов, либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника (обучающегося) невозможно;
– по требованию полномочных государственных органов в случаях, предусмотренных законодательством (Приложение № 2 к настоящему Положению);
– обработка персональных данных осуществляется на основании Трудового кодекса Российской Федерации или иного нормативно-правового акта, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке;
– обработка персональных данных осуществляется в целях исполнения трудового договора (договора на обучение), одной из сторон которых является работник (обучающийся);
– обработка персональных данных осуществляется для статистических или научных целей при условии обязательного обезличивания персональных данных;
– обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи и для рассмотрений претензий пользователей услугами связи;
– обработка ведется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы работника (обучающегося).
Письменное согласие работника (обучающегося) на обработку его персональных данных Университетом должно включать в себя:
– фамилию, имя, отчество, адрес места регистрации работника (обучающегося), реквизиты документа, удостоверяющего личность;
– цели обработки персональных данных;
– объем персональных данных, на обработку которых дает согласие работник (обучающийся);
– перечень действий с персональными данными, на совершение которых дает согласие работник (обучающийся);
– срок, в течении которого действует согласие, а также порядок его отзыва.
Форма бланка заявления работника (обучающегося) о персональных данных приведена в Приложении № 3 к настоящему Положению.
5. Организация обработки и защиты персональных данных
Основополагающие принципы обработки и защиты персональных данных работников (обучающихся):
– при обработке персональных данных работника (обучающегося) Университет вправе определять конкретные способы обработки, хранения и защиты персональных данных работника (обучающегося);
– работники Университета, которые в рамках исполнения должностных обязанностей имеют доступ к персональным данным, обязаны соблюдать режим конфиденциальности персональных данных на всех этапах их обработки;
– наличие в структурном подразделении четкой разрешительной системы доступа конкретного работника подразделения к служебным документам, делам и базам данных;
– систематизация, накопление, уточнение и использование персональных данных осуществляется путем оформления и ведения документов учета и баз данных субъектов персональных данных;
– защита персональных данных от неправомерного их использования или утраты обеспечивается Университетом за счет собственных средств.
5.1 Особенности организации обработки персональных данных, осуществляемой без использования средств автоматизации
Персональные данные при их обработке без использования средств автоматизации обособляются от иной информации путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
При фиксации персональных данных на материальных носителях не допускается запись на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. При обработке различных категорий персональных данных без использования средств автоматизации для каждой категории персональных данных должен использоваться отдельный материальный носитель.
При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться следующие условия:
– типовая форма должна содержать сведения о цели обработки персональных данных, наименование и адрес Университета, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
– типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных – при необходимости получения письменного согласия на обработку персональных данных;
– типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
– типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных.
Уточнение персональных данных при их обработке без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
Лица, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы:
– о факте обработки ими персональных данных, обработка которых осуществляется без использования средств автоматизации;
– о категориях обрабатываемых персональных данных;
– об особенностях и правилах осуществления такой обработки.
При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию Университета, или в иных аналогичных целях, должны соблюдаться следующие условия:
– необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена локальным актом Университета, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию Университета без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;
– копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;
– персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию Университета.
5.2 Порядок обеспечения безопасности при обработке и хранении персональных данных, осуществляемых с использованием средств автоматизации
Безопасность персональных данных работников (обучающихся) при их обработке в автоматизированных информационных системах Университета обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые в информационной системе информационные технологии.
Допуск должностных лиц к обработке персональных данных работников (обучающихся) в автоматизированной информационной системе осуществляется на основании соответствующих разрешительных документов и ключей доступа (паролей).
Размещение автоматизированных информационных систем с персональными данными должно обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого пребывания в соответствующих помещениях посторонних лиц.
Компьютеры и(или) электронные папки, в которых содержатся файлы с персональными данными, для каждого пользователя должны быть защищены индивидуальными паролями доступа, состоящими из 6 и более символов. Работа на компьютерах с персональными данными без паролей доступа или под чужими, а равно общими (одинаковыми) паролями, не допускается.
Пересылка персональных данных без использования специальных средств защиты по общедоступным сетям связи, в том числе Интернет, не допускается.
Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
При обработке персональных данных в информационной системе пользователями должно быть обеспечено:
– использование предназначенных для этого разделов (каталогов) носителей информации, встроенных в технические средства, или съемных маркированных носителей;
– недопущение физического воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
– постоянное использование антивирусного обеспечения для обнаружения зараженных файлов и незамедлительное восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
– недопущение несанкционированных выноса из помещений, установки, подключения оборудования, а также удаления, инсталляции или настройки программного обеспечения.
При осуществлении обработки персональных данных с использованием средств автоматизации для каждой информационной системы персональных данных должен быть назначен администратор, а для систем высоких классов – также администратор системы безопасности. Техническое обслуживание оборудования должно осуществляться соответствующим обслуживающим персоналом.
При обработке персональных данных в автоматизированной информационной системе разработчиками и администраторами систем должны обеспечиваться:
– обучение лиц, использующих средства защиты информации, применяемые в автоматизированных информационных системах, правилами работы с ними;
– учет лиц, допущенных к работе с персональными данными в автоматизированной информационной системе, прав и паролей доступа;
– учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;
– контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
– описание системы защиты персональных данных;
– иные требования по защите персональных данных, установленных инструкциями Университета по их использованию и эксплуатации.
Особенности обеспечения безопасности информации и конфиденциальности персональных данных, связанные с использованием конкретных автоматизированных информационных систем, определяются локальными нормативными документами Университета, регламентирующими порядок использования указанных информационных систем, а также эксплуатационной и инструктивной документацией, касающейся технических средств обработки персональных данных в рамках конкретной автоматизированной информационной системы.
6. Хранение и уничтожение персональных данных
Хранение персональных данных работников (обучающихся) должно осуществляться в форме, позволяющей определить субъект персональных данных. Срок хранения не должен превышать срока, который требуется для обработки персональных данных. Персональные данные подлежат уничтожению по достижении целей обработки.
Хранение персональных данных субъектов осуществляется на бумажных и машинных носителях информации в специально выделенных хранилищах подразделений Университета, а также в информационных системах Университета, обеспечивающих сохранность персональных данных и их защиту от несанкционированного доступа.
Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
Все находящиеся на хранении и в обращении съемные носители с персональными данными подлежат учёту. Каждый съемный носитель с записанными на нем персональными данными должен иметь этикетку, на которой указывается его уникальный учетный номер.
Учет и выдачу съемных носителей персональных данных по утвержденной форме осуществляют работники структурных подразделений, на которых возложены функции хранения носителей персональных данных. Работники Университета получают учтенный съемный носитель персональных данных от уполномоченного лица для выполнения работ на конкретный срок. При получении делаются соответствующие записи в журнале учета. По окончании работ пользователь сдает съемный носитель для хранения уполномоченному должностному лицу, о чем делается соответствующая запись в журнале учета.
– хранение съемных носителей с персональными данными вместе с носителями открытой информации, на рабочих столах, либо оставление их без присмотра или передача на хранение другим лицам;
– вынос съемных носителей с персональными данными из служебных помещений для работы с ними на дому, в гостиницах и т. д.
При отправке или передаче персональных данных адресатам на съемные носители записываются только предназначенные адресатам данные. Отправка персональных данных адресатам на съемных носителях осуществляется в порядке, установленном для документов имеющих гриф «ДСП» (для служебного пользования). Вынос съемных носителей персональных данных для непосредственной передачи адресату осуществляется только с письменного разрешения руководителя соответствующего структурного подразделения Университета.
Уничтожение персональных данных в информационных системах, на машинных и бумажных носителях информации должно производиться в течение тридцати дней с даты достижения цели обработки (предельного срока хранения) персональных данных. При невозможности уничтожения персональных данных в течение тридцати дней с даты достижения цели обработки персональных данных, обеспечивается их блокирование и обеспечивает их уничтожение в срок, не превышающий шести месяцев.
Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
О фактах утраты съемных носителей, содержащих персональные данные, либо разглашения содержащихся на них сведений немедленно ставится в известность руководитель соответствующего структурного подразделения Университета.
На утраченные носители составляется акт. Соответствующие отметки вносятся в журналы учета съемных носителей персональных данных.
Съемные носители персональных данных, пришедшие в негодность, или отслужившие установленный срок, подлежат уничтожению. Уничтожение съемных носителей с конфиденциальной информацией осуществляется соответствующей комиссией, состав которой утверждается приказом ректора Университета. По результатам уничтожения носителей составляется акт утвержденной формы.
7. Передача персональных данных
При передаче персональных данных работника (обучающегося) Университета работники Университета должны соблюдать следующие требования:
– не сообщать персональные данные работника (обучающегося) третьим лицам без письменного согласия работника (обучающегося), за исключением случаев, когда в соответствии с законодательством не распространяется требование соблюдения конфиденциальности.
– письменно предупреждать других юридических (физических) лиц, получающих персональные данные работника (обучающегося), о том, что эти данные могут быть использованы лишь в целях, для которых им были сообщены данные.
– осуществлять передачу структурным подразделениям и должностным лицам Университета персональные данные работников (обучающихся) в соответствии с порядком, установленным настоящей инструкцией.
– документировать передаваемые работниками Университета сведения о персональных данных работников (обучающихся) только в письменном виде. Устная передача сведений о персональных данных работников (обучающихся) Университета не допускается.
Передача персональных данных работников (обучающихся) по правомерным письменным запросам российских учреждений (организаций, предприятий) осуществляется по письменному распоряжению ректора или руководителя отдела ДОУ.
Ответ дается в письменной форме на Бланке служебного письма ГУАП, подписывается ректором, подпись которого при необходимости удостоверяется круглой печатью ГУАП с изображением Государственного герба Российской Федерации.
Сведения о персональных данных работника (обучающегося) предоставляются другому юридическому лицу только в случае правильного оформления запроса на служебном бланке юридического лица, который должен содержать номер ОГРН, подписанного его руководителем, подпись которого удостоверяется круглой печатью юридического лица. К запросу должен быть обязательно приложен документ, содержащий решение гражданина — субъекта персональных данных на передачу юридическому лицу конкретной информации о его персональных данных, причем подпись гражданина должна быть нотариально заверена. Для иностранного гражданина в обязательном порядке необходима легализация указанного документа в консульском учреждении Российской Федерации.
Передача Университетом персональных данных работника (обучающегося) Университета отечественным организациям, в которые работник (обучающийся) планирует осуществлять перечисление денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), осуществляется после получения письменного разрешения от работника (обучающегося) на такую передачу.
Передача персональных данных работника (обучающегося) членам его семьи или его родственникам осуществляется только после получения письменного разрешения самого работника (обучающегося) Университета и нотариально заверенной копии документа, подтверждающей степень родства.
В случае официально оформленного развода работника Университета бывшая его супруга (супруг) имеют право обратиться в Университет с письменным запросом о размере заработной платы работника, по которому Университет без согласия работника выдает соответствующую справку.
Трансграничная передача персональных данных осуществляется в следующем порядке:
До начала осуществления трансграничной передачи персональных данных структурное подразделение университета, осуществляющее подготовку документа на трансграничную передачу, обязано убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных — граждан Российской Федерации. При этом особое внимание следует уделять виду передаваемых данных, целям использования данных, стране окончательного назначения и действующим в стране конкретным положениям законодательства о персональных данных граждан, соблюдаемым в стране передачи.
Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав отечественных субъектов персональных данных:
– осуществляется в соответствии с законодательством Российской Федерации;
– может быть запрещена или ограничена в целях защиты здоровья, прав и законных интересов граждан Российской Федерации, обеспечения обороны стран и безопасности государства;
– осуществляется при наличии согласия в письменной форме на передачу персональных данных гражданина — заявление гражданина или иной документ, подписанный гражданином, личная подпись которого должна быть нотариально заверена и осуществлена в установленном порядке легализация в консульском учреждении Российской Федерации, находящемся на территории страны проживания гражданина.
Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав отечественных граждан — субъектов персональных данных, может осуществляться исключительно в случаях:
– при наличии согласия в письменной форме на передачу персональных данных гражданина — заявление гражданина или другой документ, личная подпись которого нотариально заверена, и осуществлена в установленном порядке легализация указанного документа в консульском учреждении Российской Федерации, находящемся на территории страны проживания гражданина;
– предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;
– предусмотренных федеральными законами Российской Федерации, если это необходимо в целях защиты интересов Российской Федерации, обеспечения обороны страны и безопасности государства;
– исполнение конкретного договора, стороной которого является работник (обучающийся) — субъект персональных данных;
Структурное подразделение Университета, осуществляющее подготовку документа на трансграничную передачу, не вправе давать ответы на поступившие запросы о персональных данных работника (обучающегося) по телефону, факсу и электронной почте.
8. Заключительные положения
Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.
Разглашение персональных данных, их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные, а также иные нарушения обязанностей по их защите и обработке, установленных настоящим Положением, другими локальными нормативными актами (приказами, распоряжениями) Университета, влечет наложение на сотрудника, имеющего доступ к персональным данным, дисциплинарного взыскания – замечания, выговора, увольнения.
Работник Университета, имеющий доступ к персональным данным и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба работодателю (п. 7 ст. 243 ТК РФ).
Работники Университета, имеющие доступ к персональным данным, виновные в их незаконном разглашении или использовании без согласия субъектов персональных данных из корыстной или иной личной заинтересованности и причинившие крупный ущерб, несут уголовную ответственность в соответствии со ст. 183 Уголовного кодекса Российской Федерации.