Политика в отношении обработки персональных данных
1 НАЗНАЧЕНИЕ И ОБЛАСТЬ ПРИМЕНЕНИЯ
1.1 Настоящая политика (далее – Политика) обработки персональных данных в Федеральном государственном бюджетном образовательном учреждении высшего образования «Дальневосточный государственный технический рыбохозяйственный университет» (далее – Университет) определяет основные принципы, цели, условия, способы обработки и хранения персональных данных, категории субъектов персональных данных, их права, а также функции Университета при обработке персональных данных и требования к их защите.
1.2 Политика разработана с учётом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в сфере персональных данных.
2 НОРМАТИВНЫЕ ССЫЛКИ
2.1 Политика Университета в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами Российской Федерации:
- Конституция Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне»;
- Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Федеральный закон от 25.07.2011 № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»;
- Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»;
- Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера»;
- Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации»;
- Постановление Правительства РФ от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищённости»;
- Приказ ФАПСИ от 13.06.2001 № 152 «Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»;
- Приказ Роскомнадзора 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
- иные нормативно правовые акты Российской Федерации.
2.2 В целях реализации положений Политики в Университете разрабатываются соответствующие внутренние нормативные документы и иные локальные нормативные акты.
3 ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Основные термины и определения, используемые при обработке персональных данных:
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
4 ОБЩИЕ ПОЛОЖЕНИЯ
4.1 Действие Политики распространяется на персональные данные:
- сотрудников и обслуживающего персонала, состоящих в трудовых, договорных и иных гражданско-правовых отношениях с Университетом, абитуриентов, студентов, аспирантов и (или) других обучающихся в Университете на очной, заочной форме обучения, на бюджетной, коммерческой или иной основе;
- иных субъектов персональных данных, которые Университет может получить во время использования ими сайтов, сервисов, служб, программ и продуктов Университета.
3.2 Положения Политики служат основой для разработки внутренних нормативных документов, регламентирующих вопросы обработки персональных данных работников Университета и других субъектов персональных данных.
5 ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Университет, являясь оператором персональных данный, осуществляет обработку персональных данных работников, состоящих в трудовых отношениях с Университетом (а также кандидатов на вакантные должности), обучающихся в Университете (в том числе абитуриентов), лиц, временно либо постоянно проживающих в общежитиях Университета, иных лиц, состоящих в договорных и иных гражданско-правовых отношениях с Университетом.
5.2. Обработка персональных данных осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Университета, обучающихся в Университете и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
- не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обрабатываются только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Университет должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
- хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого является субъект персональных данных;
- обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5.3. Обработка персональных данных работников Университета осуществляется с целью:
- обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Университетом;
- предоставления персональных данных в государственные органы Российский Федерации;
- регулирования трудовых отношений с работниками Университета;
- оказания образовательных услуг в сфере высшего образования, основного общего, среднего (полного) общего, начального и среднего профессионального образования;
- осуществления деятельности в сфере охраны здоровья, оказания медицинских услуг;
- предоставления информации в организации, в которых обучающиеся проходят учебную, производственную и преддипломную практики, банк, которому поручена обработка персональных данных работников и обучающихся Университета в рамках реализации программы использования банковских карт для зачисления денежных средств заработной платы и стипендии;
- обеспечения физической безопасности Университета, пропускного и внутриобъектового режимов на объектах Университета;
- обеспечения сохранности имущества Университета;
- формирования справочных материалов для внутреннего информационного обеспечения деятельности Университета, его филиалов;
- исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- осуществления прав и законных интересов Университета в рамках реализации видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Университета.
6 КАТЕГОРИИ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ В ФГБОУ ВО «ДАЛЬРЫБВТУЗ»
В Университете обрабатываются персональные данные следующих категорий субъектов:
- сотрудников и обслуживающего персонала, состоящих в трудовых, договорных и иных гражданско-правовых отношениях с Университетом (в том числе персональные данные кандидатов на вакантные должности);
- абитуриентов, студентов, аспирантов, курсантов, лицеистов и (или) других обучающихся в Университете на очной, заочной форме обучения, на бюджетной, коммерческой или иной основе;
- гостей и посетителей, в том числе в составе делегаций Университета, иностранных лиц;
- лиц, выступающих приобретателями товаров, работ и услуг, исполнителем которых является Университет;
- лиц, временно либо постоянно проживающих в общежитиях Университета;
- лиц, выступающих поставщиками товаров, работ и услуг для нужд Университета в рамках федерального закона от 18.07.2011 № 223-ФЗ «О закупках товаров, работ и услуг отдельными видами юридических лиц».
7 ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ФГБОУ ВО «ДАЛЬРЫБВТУЗ»
Перечень персональных данных, обрабатываемых в Университете, определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Университета с учетом целей обработки персональных данных, указанных в разделе 4 Политики.
8 ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В ходе обработки персональных данных Университет реализует следующий перечень действий:
- принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации в области персональных данных, локальных нормативных актов Университета, регламентирующих вопросы обработки и защиты персональных данных;
- принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- назначает лицо, ответственное за организацию обработки персональных данных в Университете;
- издает локальные нормативные акты, определяющие политику и регламентирующие вопросы обработки и защиты персональных данных в Университете;
- осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных законодательству Российской Федерации в области персональных данных, Политике Университета в отношении обработки персональных данных;
- осуществляет ознакомление работников Университета, его филиалов, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации и внутренних нормативных документов Университета в области персональных данных, в том числе требованиями к защите персональных данных;
- публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;
- сообщает в установленном порядке субъектам персональных данных или их законным представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их законных представителей, если иное не установлено законодательством Российской Федерации;
- прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Российской Федерации;
- совершает иные действия, предусмотренные законодательством Российской Федерации в области персональных данных.
9 УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1 Обработка персональных данных в Университете осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации.
9.2 Без согласия субъекта персональных данных Университет не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Российской Федерации.
9.3 Университет вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
9.4 Университет не выполняет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключение случаев, предусмотренных ч. 2 статьи 10 федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
9.5 Университет производит трансграничную передачу персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу и/или иностранному юридическому лицу только в целях организации научного и образовательного процессов.
9.6 В целях внутреннего информационного обеспечения Университет может создавать внутренние справочные материалы, в которые, с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.
9.7 При обработке персональных данных в информационных системах персональных данных применяются необходимые организационные и технические меры по обеспечению их безопасности.
9.8 Доступ к обрабатываемым в Университете персональным данным разрешается только работникам Университета, занимающим должности, включенные в перечень должностей структурных подразделений Университета, его филиалов, при замещении которых осуществляется обработка персональных данных.
10 ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных в Университете.
10.2. Субъект персональных данных вправе требовать от Университета доступа к свои персональным данных, включая получения копии любой записи, за исключением случаев, предусмотренных законодательством Российской Федерации, уточнения своих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки.
10.3. Субъект персональных данных имеет право на отзыв согласия на обработку своих персональных данных.
10.4 Субъект персональных данных имеет право на защиту своих прав и законных интересов.
10.5. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами Российской Федерации.
10.6. Университет рассматривает любые обращения и жалобы со стороны субъектов персональных данных, расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
10.7. Субъект персональных данных вправе обжаловать действия или бездействие Университета путем обращения в уполномоченный орган по защите прав субъектов персональных данных.
11 КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ И ВНУТРЕННИХ НОРМАТИВНЫХ ДОКУМЕНТОВ ФГБОУ ВО «ДАЛЬРЫБВТУЗ» В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ И ТРЕБОВАНИЙ К ИХ ЗАЩИТЕ
11.1 Контроль за соблюдением структурными подразделениями Университета, его филиалами законодательства Российской Федерации и внутренних нормативных документов Университета в области персональных данных, в том числе требований к защите персональных данных, осуществляется с целью проверки соответствия обработки персональных данных, направленных на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения таких нарушений.
11.2 Персональная ответственность за соблюдение требований законодательства Российской Федерации и внутренних нормативных документов Университета в области персональных данных в структурных подразделениях Университета, его филиалах, а также за обеспечение конфиденциальности и безопасности персональных данных в указанных подразделениях Университета возлагается на руководителей этих подразделений, и работников Университета, имеющих доступ к работе с персональными данными.
12 ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
12.1 Политика является общедоступным документом Университета и подлежит размещению на официальном сайте Университета.
12.2 Политика подлежит изменению/дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.
12.3 Контроль исполнения требований настоящей Политики осуществляется должностным лицом Университета, ответственным за организацию обработки персональных данных.
12.4 Ответственность за невыполнение требований, регулирующих обработку и защиту персональных данных, должностными лицами Университета, имеющими доступ к персональным данным, определяется в соответствии с законодательством Российской Федерации и внутренними локальными документами.