Помощники
Помощники

1.     Общие положения

  • Настоящая Политика в отношении обработки и защиты персональных данных федерального государственного бюджетного образовательного учреждения высшего образования «Воронежский государственный университет инженерных технологий» (далее соответственно – Политика; ФГБОУ ВО «ВГУИТ», Университет, оператор) разработана в целях реализации требований законодательства Российской Федерации для обеспечения защиты прав и свобод человека и гражданина при обработке, хранении и защите его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
  • Настоящая Политика разработана в соответствии с:

Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»; Постановлением Правительства Российской Федерации от 01.11.2012

№ 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;

Письмом Рособразования от 29.07.2009 № 17-110 «Об обеспечении защиты персональных данных»;

Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

Приказом ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;

Трудовым кодексом РФ (от 30.12.2001 № 197-ФЗ); Уставом ФГБОУ ВО «ВГУИТ»;

другими действующими нормативно-правовыми актами Российской Федерации.

  • Субъектами персональных данных (далее – субъекты) в ФГБОУ ВО «ВГУИТ» являются лица – носители персональных данных, передавшие свои персональные данные университету (как на добровольной основе, так и в рамках выполнения требований нормативно-правовых актов) для приема, получения, поиска, сбора, систематизации, накопления, хранения, уточнения, обновления, изменения, использования, распространения (в том числе передачи): работники университета; члены семьи работника университета; уволенные работники; лица, выполняющие работы по гражданско-правовым договорам и на условиях почасовой оплаты труда; обучающиеся; слушатели; аспиранты; докторанты; лица, проходящие повышение квалификации или профессиональную переподготовку; абитуриенты; родители (законные представители, опекуны, попечители) обучающихся; участники конкурсов и научных мероприятий; члены диссертационных советов; посетители Оператора; посетители официального сайта (незарегистрированные); граждане, заключившие гражданско-правовые договоры; граждане, направившие резюме при устройстве на работу, для участия в конкурсе на замещение вакантных должностей; и иные лица, предоставляющие персональные данные университету.
  • Главной задачей университета является обеспечение безопасности персональных данных субъектов при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации и без их использования.
  • Настоящая Политика применяется ко всей конфиденциальной информации относящейся, согласно законодательству Российской Федерации, к персональным данным.
  • Настоящая Политика распространяется на все отношения, связанные с обработкой персональных данных (включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных), осуществляемых:

с использованием средств автоматизации, средств криптографической защиты информации, в том числе в информационно-коммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданными алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным;

без использования средств автоматизации.

2.     Основные понятия

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с письменного согласия субъекта персональных данных или, на которые, в соответствии с федеральными законами, не распространяется требование соблюдения конфиденциальности.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Обработка персональных данных без использования средств автоматизации (неавтоматизированная) – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственного участии человека.

Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их раскрытия третьим лицам и не распространять их без согласия на то субъекта персональных данных, если иное не предусмотрено федеральным законом.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3.     Принцип обработки персональных данных

Обработка персональных данных в Университете осуществляется на основе следующих принципов:

обработка персональных данных осуществляется на законной и справедливой основе;

обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей; не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместных между собой;

обработке подлежат только те персональные данные, которые отвечают целям их обработки;

запрещается обработка персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни;

содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки;

университет принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;

хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодопри- обретателем или поручителем по которому является субъект персональных данных; обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.     Обработка персональных данных

  • Обработка персональных данных осуществляется с соблюдением принципов и правил, установленных Федеральным законом от 07.2006 № 152-ФЗ «О персональных данных».
    • Университет как оператор, осуществляющий обработку персональных данных в пределах компетенции, установленной действующим законодательством, определяет, в соответствии со спецификой деятельности, перечни персональных данных и руководствуется ими.

Перечни персональных данных должны соответствовать целям их сбора, и содержать минимально необходимый для этого набор персональных данных. Расширительное толкование перечней не допускается.

Данные перечни устанавливают объем сведений, используемых в интересах Оператора. Указанные перечни являются исчерпывающими и утверждаются ректором.

К категориям обрабатываемых персональных данных относятся:

фамилия, имя, отчество; год, месяц, дата рождения; пол; место рождения; гражданство; национальность; знание иностранного языка; номер миграционной карты; сроки проживания (для проживающих, в общежитии); паспортные данные (в том числе заграничного паспорта); адрес; семейное положение, состав семьи; образование; профессия; социальное положение; доходы; имущественное положение; номера лицевых счетов, банковские реквизиты; категория доступа к секретной информации; данные трудовой книжки; номера телефонов; фотоизображение; видео изображение; сведения медицинского характера; сведения о наличие/отсутствии судимостей; сведения об отпусках и временной нетрудоспособности; сведения о результатах вступительных испытаний; сведения о повышении квалификации / переквалификации, сведения о профессиональной переподготовке, сведения о наградах (поощрениях) почетных званиях; сведения о социальных гарантиях; данные ИНН, номер страхового свидетельства государственного пенсионного страхования; сведения полиса обязательного медицинского страхования; сведения о месте работы и занимаемой должности; сведения об образовании (о предыдущем образовании, форме обучения, об образовательной программе обучения, сведения из договора на получение образовательных услуг, об успеваемости); сведения об участии в олимпиадах и иных мероприятиях; сведения о научно-исследовательской, инновационной и другой научной деятельности; сведения об интересах, увлечениях; сведения об успеваемости; сведения о воинской обязанности; номер группы; номер комнаты в студенческом общежитии.

  • Персональные данные, находящиеся в ведении Оператора, относятся к конфиденциальной информации и охраняются независимо от воли субъекта персональных данных. Исключение составляют персональные данные, находящиеся в общедоступных базах персональных данных.

Работа с персональными данными должна осуществляться только в целях, по перечням и в сроки, которые необходимы для выполнения задач Оператора персональных данных, установленных действующим законодательством, лицензией и (или) договором.

Работа с персональными данными должна производиться с соблюдением мер обеспечения их конфиденциальности и охраны, предотвращающих нанесение вреда субъекту персональных данных.

Режим конфиденциальности персональных данных снимается в случаях: обезличивания персональных данных;

истечения семидесятипятилетнего срока хранения персональных данных, если иное не предусмотрено требованиями субъекта персональных данных или действующим законодательством.

Конкретные сроки хранения документов, содержащих персональные данные, личных дел сотрудников и обучающихся устанавливаются номенклатурой дел университета и согласовываются с контролирующей организацией.

Персональные данные не должны храниться дольше, чем это необходимо для выполнения целей их сбора или чем это предусмотрено лицензией. Сроки хранения могут продлеваться только в интересах субъекта персональных данных или если это предусмотрено действующим законодательством.

По истечении срока хранения, достижении целей сбора персональных данных, истечении срока действия лицензии, они подлежат уничтожению.

В случае принятия в установленном порядке решения о необходимости сохранения персональных данных после истечения срока хранения, достижения установленных целей их сбора или истечения срока действия лицензии держатель обязан обеспечивать соответствующий режим хранения персональных данных и извещать об этом субъекта данных, если его местожительство известно.

Определенные персональные данные (личные дела, метрические книги, хозяйственные книги и др.), после минования практической надобности в них, могут оставаться на постоянном хранении, приобретая статус исторического памятника.

  • Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает свое согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его законным представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Университетом.
  • В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащим собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя:

фамилию, имя, отчество (при наличии), адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

фамилию, имя, отчество (при наличии) представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

наименование или фамилию, имя, отчество (при наличии), адрес оператора, получающего согласие персональных данных;

цель обработки персональных данных;

перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

наименование или фамилию, имя, отчество (при наличии), адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

срок, в течение которого действует согласие субъекта персональных данных, а также способы его отзыва, если иное не установлено федеральным законом;подпись субъекта персональных данных.

  • Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Университет вправе продолжить обработку персональных данных без согласия субъекта персональных данных при выполнении альтернативных условий обработки персональных данных.
  • Университет обрабатывает персональные данные в целях ведения образовательной и административно-хозяйственной деятельности; выполнения требований трудового законодательства Российской Федерации; ведения бухгалтерского и кадрового учета, исполнение возложенных законодательством Российской Федерации функции, полномочий и обязанностей; обеспечения повышения качества подготовки абитуриентов к поступлению, улучшение их профессиональной ориентации, обеспечение комплектования контингента абитуриентов; содействия в оптимальном выборе образовательных программ; обеспечения соблюдения правил приема в соответствии с законодательством и нормативными документами университета, гласности и открытости деятельности

приемной комиссии, передачи в федеральные информационные системы Минобрнауки России и Рособрнадзора; обеспечения личной безопасности в период обучения, осуществления деятельности в соответствии с Уставом ВГУИТ; оказания услуг временного проживания в общежитиях ВГУИТ; пользования различного вида льготами; организации научно-исследовательской и инновационной деятельности; содействия и анализа дальнейшего трудоустройства, а также исполнения договорных обязательств.

Обработка персональных данных допускается в следующих случаях: обработка персональных данных необходима для достижения целей,

предусмотренных законодательством Российской Федерации для осуществления и выполнения возложенных на оператора функций, полномочий и обязанностей;

обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Закона о персональных данных;

осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных, либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных);

осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации.

  • Университет может включать персональные данные субъектов в общедоступные источники персональных данных, при этом университет берет письменное согласие субъекта на обработку его персональных данных.
  • Университет не осуществляет обработку специальных категорий персональных данных, касающихся расовой принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
  • Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются для установления личности субъекта персональных данных, Университетом не обрабатываются.
  • Университет осуществляет трансграничную передачу персональных данных субъекта персональных данных с его согласия.
  • Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации Университетом не осуществляется.
  • Принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, не осуществляется.
  • Университет вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее – поручение оператора). При этом Университет в договоре обязывает лицо, осуществляющее обработку персональных данных по поручению Университета, соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 07.2006 г. № 152-ФЗ «О персональных данных».
  • Лицо, осуществляющее обработку персональных данных по поручению Университета, соблюдает принципы и правила обработки персональных данных, предусмотренные настоящей Политикой. В поручении Университета определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также указаны требования к защите обрабатываемых персональных данных.
  • В случае если Университет поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Университет. Лицо, осуществляющее обработку персональных данных по поручению Университета, несет ответственность перед Университетом.
  • Университет обязуется и обязывает иные лица, получившие доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

5.     Права субъекта персональных данных, его представителя и оператора при обработке персональных данных

  • Субъект персональных данных или его представитель вправе:

получать информацию, касающуюся обработки его персональных данных, состав информации определяется положениями Закона о персональных данных; требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав; обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в

судебном порядке, если считает, что оператор осуществляет обработку его персональных данных с нарушением требований Закона о персональных данных или иным образом нарушает его права и свободы.

Запрашиваемая информация должна быть предоставлена субъекту персональных данных или его представителю в доступной форме, и в ней не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных. Запрашиваемая информация предоставляется субъекту персональных данных или его представителю Университетом при обращении либо при получении запроса субъекта персональных данных или его представителя.

Запрос должен содержать;

наименование или фамилию, имя, отчество (при наличии) номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе субъекта персональных данных или его представителя;

сведения, подтверждающие участие субъекта персональных данных в отношениях с Университетом (наименование, номер, дата заключения договора), либо сведения, иным образом подтверждающие факт обработки персональных данных Университетом;

подпись субъекта персональных данных или его представителя.

  • Оператор вправе:

предоставлять персональные данные третьим лицам при наличии согласия на это субъекта персональных данных; продолжать обработку персональных данных после отзыва согласия субъектом персональных данных в случаях, предусмотренных Законом о персональных данных; мотивированно отказать субъекту персональных данных (его представителю) в удовлетворении запроса о предоставлении информации, касающейся обработки персональных данных субъекта, при наличии оснований, предусмотренных законодательством Российской Федерации.

6.     Обязанности Университета при обработке персональных данных

  • В соответствии с требованиями Федерального закона «О персональных данных» от 27 июля 2006 года № 152-ФЗ Университет обязан:

Предоставлять субъекту персональных данных (законному представителю) по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ.

По требованию субъекта персональных данных уточнять обрабатываемые персональные данные, блокировать или удалять, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Вести учет обращений субъектов персональных данных.

Уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных. Исключение составляют следующие случаи:

субъект персональных данных уведомлен об осуществлении обработки его персональных данных оператором;

персональные данные получены Университетом на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодопри- обретателем или поручителем по которому является субъект персональных данных; персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

университет осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

предоставление субъекту персональных данных сведений, содержащихся в уведомлении об обработке персональных данных нарушает права и законные интересы третьих лиц.

  • В случае поступления требования субъекта о прекращении обработки персональных данных в целях продвижения товаров, работ, услуг на рынке немедленно прекратить обработку персональных данных.
  • Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство выполнения альтернативных условий обработки персональных данных возлагается на Университет.
  • В случае выявления неправомерной обработки персональных данных при обращении по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Университет осуществляет блокирование неправомерно обрабатываемых персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Университета) с момента такого обращения или указанного запроса на период проверки.
  • В случае подтверждения факта неточности персональных данных Университет на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Университета) в течение семи рабочих дней со дня представления таких сведений и снимает блокирование данных.
  • В случае выявления неправомерной обработки персональных данных, осуществляемой Университетом или лицом, действующим по поручению Университета, Университет в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных или обеспечивает прекращение неправомерной обработки персональных данных лицом, действующим по поручению Университета. В случае, если обеспечить правомерность обработки персональных данных невозможно, Университет в срок не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные или обеспечивает их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Университет уведомляет субъекта персональных данных или его представителя, или уполномоченный орган по защите прав субъектов персональных данных (если запрос был направлен уполномоченным органом).
  • В случае достижения цели обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить или обеспечить прекращение обработки и уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Университета) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Университетом и субъектом персональных данных либо если Университет не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.
  • В случае отсутствия возможности уничтожения персональных данных в течение указанного срока, Университет блокирует такие персональные данные иди обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Университета) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

7.     Меры по обеспечению безопасности при их обработке персональных данных

  • При обработке персональных данных Университет принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
  • Обеспечение безопасности персональных данных достигается, в частности:

определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

применением организационных  и технических  мер по  обеспечению безопасности персональных данных при их обработке в информационных системах персональных  данных, необходимых для  выполнения  требований к защите персональных   данных,  исполнение  которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных; применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

учетом машинных носителей персональных данных;

обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

обучением персонала Университета, участвующего в обработке персональных данных, вопросам обеспечения безопасности персональных данных;

контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;

использованием средств защиты информации при обработке персональных данных и их передаче в Федеральные информационные системы.

8.     Сведения о реализуемых требованиях к защите персональных данных и принятых мерах

  • Оператор реализует следующие требования законодательства в области персональных данных:

требования о соблюдении конфиденциальности персональных данных; требования об обеспечении реализации субъектом персональных данных

своих прав (в т.ч. на доступ к информации);

требования об обеспечении точности персональных данных, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных (с принятием (обеспечением принятия) мер по удалению или уточнению неполных или неточных данных);

требования к защите персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

иные требования законодательства.

  • В соответствии с частью 1 статьи 18.1 Закона о персональных данных и, если иное не предусмотрено законодательством Российской Федерации, оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством в области персональных данных.

В частности, защита персональных данных достигается оператором путем: назначения оператором лица, ответственного за организацию обработки

персональных данных;

издания оператором настоящей Политики, а также иных локальных нормативных актов в соответствии с требованиями законодательства в области персональных данных;

организации доступа работников к информации, содержащей персональные данных субъектов персональных данных, в соответствии с их должностными обязанностями;

установления правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных;

соблюдения работниками, допущенными к обработке персональных данных субъектов, требований, установленных законодательством Российской Федерации в области персональных данных и локальными нормативными актами Оператора.

  • Лицо, ответственное за организацию обработки персональных данных выполняет следующие функции;

осуществляет внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

доводит до сведения работников Университета положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

организует прием и обработку обращений и запросов субъектов персональных данных или его представителей и (или) осуществляет контроль за приемом и обработкой таких обращений и запросов.

  • В целях выполнения требований, предусмотренных Законом о персональных данных, оператор принимает следующие меры:

оператор назначил ответственного за организацию обработки персональных данных;

утвердил перечень должностей работников, осуществляющих обработку персональных данных.

Полномочия и ответственность данных лиц установлены должностными инструкциями.

  • Оператором утверждены:

Положение об обработке персональных данных;

обработка персональных данных осуществляется с согласия субъектов персональных данных;

определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;

разработан пакет локальных нормативных и организационно- распорядительных документов, регулирующих процесс обработки персональных данных в соответствии с законодательством Российской Федерации, эксплуатационная и техническая документация для информационных систем персональных данных.

9.     Ограничения на действие настоящей Политики

Действие политики не распространяется на отношения, возникающие при: обработке персональных данных физическими лицами исключительно для

личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;

предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22.12.2008 № 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».

10.     Заключительные положения

Настоящая Политика является локальным нормативным актом ФГБОУ ВО «ВГУИТ» и вступает в силу с момента её утверждения ректором.

В соответствии с пунктом 2 статьи 18.1 Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных», настоящая Политика должна быть опубликована в информационно-телекоммуникационной сети Интернет на официальном сайге университета с обеспечением неограниченного доступа.

Университет вправе вносить изменения в настоящую Политику при изменении действующего законодательства РФ в области обеспечения безопасности персональных данных, а также в случаях изменения принципов и условий обработки персональных данных, обязанностей Университета при обработке персональных данных и мер по обеспечению безопасности персональных данных при их обработке.

Изменения вносятся путем издания новой редакции, при этом новая редакция Политики вступает в силу со дня её утверждения, а предыдущая редакция Политики утрачивает силу с момента утверждения новой редакции.

Иные локальные нормативные акты университета должны издаваться в соответствии с настоящей Политикой и законодательством Российской Федерации в области персональных данных.

pdf, vsuet.ru
Опубликовано онлайн 09.03.2021
Этот сайт использует cookie для хранения данных. Используя сайт, Вы даете согласие на работу с этими файлами. Политика в отношении персональных данных