Политика по обработке персональных данных

1. Общие положения

1.1. Настоящим Положением определяется политика, порядок получения, обработки, хранения, передачи, иного использования персональных данных работников, обучающихся, поступающих (абитуриентов), пациентов и иных лиц, в т.ч. являющихся заказчиками или получателями товаров, работ, услуг в федеральном государственном бюджетном образовательном учреждении высшего образования «Волгоградский государственный медицинский университет» Министерства здравоохранения Российской Федерации (далее, соответственно, Положение, Университет), а также устанавливаются процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.

1.2. Настоящее Положение разработано в соответствии с требованиями:

— Трудового кодекса Российской Федерации;

— Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

— Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

— Федерального закона от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»;

— постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

— постановления Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;

— постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

— иными нормативными правовыми актами Российской Федерации.

1.3. В соответствии с пунктом 2 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» Университет является оператором персональных данных.

Обработка персональных данных осуществляется Университетом с соблюдением положений, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», иных нормативно-правовых актов Российской Федерации и настоящим Положением.

1.3.1. Университет, как оператор, имеет право:

1) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;

2) поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Университета, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;

3) в случае отзыва субъектом персональных данных согласия на обработку персональных данных Университет вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных».

1.3.2. Университет, как оператор, обязан:

1) организовывать обработку персональных данных в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

2) отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

3) направлять в соответствии с законодательством Российской Федерации информацию в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее — Роскомнадзор);

4) в порядке, определенном ФСБ России, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.

1.3.3. Субъекты персональных данных имеют право:

1) получать информацию, касающуюся обработки их персональных данных, за исключением случаев, предусмотренных федеральными законами;

2) требовать от Университета уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

3) дать предварительное согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг;

4) обжаловать в Роскомнадзоре или в судебном порядке действия или бездействие Университета при обработке его персональных данных.

1.4. Действие настоящего Положения не распространяется на отношения, возникающие при:

1.4.1. организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных фондов в соответствии с законодательством об архивном деле в Российской Федерации;

1.4.2. обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющие государственную тайну.

1.5. Термины и определения, используемые в настоящем Положении, используются в значениях, установленных нормативно-правовыми актами, указанными в пункте 1.2. настоящего Положения.

1.6. Настоящее Положение и изменения к нему принимаются приказом ректора.

2. Условия обработки персональных данных

2.1. Обработка персональных данных осуществляется Университетом в соответствии с требованиями законодательства Российской Федерации.

2.2. Университет в установленном порядке до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных.

2.3. Целью обработки Университетом персональных данных является:

2.3.1. обеспечение защиты прав и свобод человека и гражданина при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;

2.3.2. продвижение товаров, работ, услуг Университета на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств;

2.3.3. осуществление деятельности в соответствии с уставом Университета, утвержденным приказом Минздрава России от 23.06.2016 № 396 «Об утверждении устава федерального государственного бюджетного образовательного учреждения высшего образования «Волгоградский государственный медицинский университет» Министерства здравоохранения Российской Федерации» (далее — устав), в том числе заключение и исполнение договоров (контрактов) с контрагентами;

2.3.4. исполнение трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, в том числе: содействие работникам в трудоустройстве, получении образования и продвижении по службе, привлечение и отбор кандидатов на работу в Университете, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, ведение кадрового и бухгалтерского учета, заполнение и передача в уполномоченные органы требуемых форм отчетности, организация постановки на индивидуальный (персонифицированный) учет работников в системах обязательного пенсионного страхования и обязательного социального страхования;

2.3.5. осуществление внутриобъектового и пропускного режима.

2.4. Правовым основанием обработки Университетом персональных данных также являются:

2.4.1. устав;

2.4.2. договоры (контракты), заключаемые между Университетом и субъектами персональных данных;

2.4.3. согласие субъектов персональных данных на обработку их персональных данных.

2.5. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

Условия обработки персональных данных Университетом:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Университет функций, полномочий и обязанностей;

3) обработка персональных данных осуществляется в связи с участием Университета в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

4) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

5) обработка персональных данных необходима для исполнения функций Университета в предоставлении услуг, предусмотренных Федеральным законом от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

6) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

7) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в ст. 15 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», при условии обязательного обезличивания персональных данных;

10) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

2.6. В Университете осуществляется обработка следующих категорий персональных данных:

2.6.1. общие;

2.6.2. специальные.

2.7. Университет осуществляет обработку персональных данных для каждой цели их обработки следующими способами:

2.7.1. неавтоматизированная обработка персональных данных;

2.7.2. автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

2.7.3. смешанная обработка персональных данных.

2.8. К обработке персональных данных допускаются работники Университета, в должностные обязанности которых входит обработка персональных данных.

Работники Университета, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены под подпись до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с настоящим Положением.

2.9. При обработке персональных данных Университет применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Режим конфиденциальности персональных данных обеспечивается в соответствии с локальными нормативными актами Университета.

2.10. Обработка персональных данных для каждой цели обработки, указанной в п. 2.3. настоящего Положения, осуществляется путем:

2.10.1. получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;

2.10.2. внесения персональных данных в журналы, реестры и информационные системы Университета;

2.10.3. использования иных способов обработки персональных данных.

2.11. Получение персональных данных Университетом осуществляется в соответствии с нормативно-правовыми актами Российской Федерации в области трудовых, гражданских, образовательных отношений, отношений в Области охраны здоровья на основе трудовых договоров или письменного согласия субъектов персональных данных (или их законных представителей) в позволяющей подтвердить факт его получения форме - путем включения соответствующего пункта в договор, анкету или иной документ, если при этом его содержание отвечает установленным требованиям к содержанию письменного согласия.

Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с Федеральным законом от 27.07.2006 № 152- ФЗ «О персональных данных» электронной подписью.

2.12. Для включения любых персональных данных в общедоступные источники персональных данных и/или распространении и передачи третьим лицам персональных данных работников или иных лиц необходимо получение указанного согласия в письменной форме либо в форме электронного документа, подписанного электронной подписью.

2.13. Персональные данные несовершеннолетних лиц в возрасте до 14 лет (малолетних) предоставляются их родителями (законными представителями), либо непосредственного указанными лицами с письменного согласия законных представителей.

2.14. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
2.15. Обмен персональными данными при их обработке в информационных системах Университета осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.

2.16. Доступ работников Университета к персональным данным, находящимся в информационных системах Университета, предусматривает обязательное прохождение процедуры идентификации и аутентификации.

2.17. Руководители структурных подразделений Университета:

2.17.1. доводят до сведения работников соответствующим структурных подразделений положения законодательства Российской Федерации о персональных данных, локальных нормативных актов Университета по вопросам обработки персональных данных, требований к защите персональных данных;

2.17.2. организуют и контролируют обработку персональных данных сотрудниками структурного подразделения Университета;

2.17.3. организуют и контролируют прием и обработку обращений и запросов субъектов персональных данных или их представителей.

2.17.4. осуществляет внутренний контроль за соблюдением работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных.

2.18. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах Университета, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:

- определение актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах;

- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах Университета, необходимых для выполнения требований к защите персональных данных;

- применение процедур оценки соответствия средств защиты информации;

- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы;

- учет машинных носителей персональных данных;

- обеспечение работоспособного функционирования компьютерной техники с персональными данными в соответствии с эксплуатационной и технической документацией компьютерной техники и с учетом технических требований информационных систем и средств защиты информации;

- обнаружение и регистрация фактов несанкционированного доступа к персональным данным, несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных и принятие мер;

- восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;

- установление правил доступа к персональным данным, обрабатываемым в информационных системах Оператора, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах Оператора;

- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем.

2.19. Управление информационного развития Университета обеспечивает:

- своевременное обнаружение фактов несанкционированного доступа к персональным данным, содержащимися в информационных системах Университета, и немедленное доведение этой информации до руководителей соответствующих структурных подразделений Университета;

- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

- восстановление персональных данных, модифицированных или вследствие несанкционированного доступа к ним;

- постоянный контроль за обеспечением уровня защищенности персональных данных;

- соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

- учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

- при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин;

- разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

2.20. Персональные данные обрабатываются в объеме и в сроки, предусмотренные соответствующими согласиями на обработку персональных данных, в том числе выраженными в тексте трудовых и гражданско-правовых договоров, и/или в нормативных правовых актах, и/или локальных нормативных актах Университета, и/или вытекающими из таких нормативных правовых актов и локальных нормативных актов Университета, либо в сроки, необходимые для достижения целей обработки персональных данных.

2.21. Типовая форма согласия на обработку персональных данных установлена приложением 1 к настоящему Положению.

2.22. При отсутствии необходимости получения согласия субъекта на обработку персональных данных в письменной форме, установленной Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», согласие субъекта может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт получения согласия форме, в том числе в электронное виде.

2.23. Персональные данные хранятся в бумажном и (или) электронном виде в соответствующих структурных подразделениях Университета с соблюдением предусмотренных нормативно-правовыми актами Российской Федерации мер по защите персональных данных.

2.24. В Университете не допускается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

2.25. Работники Университета, получающие и обрабатывающие персональные данные, должны обеспечить получение согласия от субъекта, обработка персональных данных которого планируется, путем:

- включения в различных электронных регистрационных формах, переписке по электронной почте требования о необходимости получения согласия на обработку персональных данных от соответствующих субъектов персональных данных с обязательной фиксацией такого согласия в любой позволяющей подтвердить факт его получения форме, в том числе с последующим личным подтверждением предоставления согласий такими субъектами;

- применения формы письменного согласия на обработку персональных данных согласно приложению № 1 к настоящему Положению.

2.26. Работники Университета, виновные в нарушении порядка обработки персональных данных, несут предусмотренную законодательством Российской Федерации ответственность.

3. Распространение и передача персональных данных

3.1. Распространение и передача персональных данных субъектов персональных данных третьим лицам не допускается без оформления отдельного согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, за исключением случаев, установленных Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

3.2. Распространение и передача третьим лицам документов (иных материальных носителей), содержащих персональные данные, осуществляется по письменному запросу третьего лица на предоставление персональных данных, при этом третье лицо должно обладать полномочиями по получению таких данных.

3.3. Представителю субъекта персональных данных данные соответствующего субъекта персональных данных передаются в порядке, установленном действующим законодательством. Информация передается при наличии одного из следующих документов:

- документы, подтверждающие возникновение полномочия представителя;

- доверенность представителя субъекта персональных данных, содержащая согласие субъекта персональных данных на предоставление его персональных данных представителю.

3.4. Предоставление персональных данных органам государственной власти и местного самоуправления, судебным, контрольным, надзорным органам производится в соответствии с требованиями действующего законодательства Российской Федерации.

3.5. Персональные данные могут быть предоставлены родственникам или членам семьи субъекта персональных данных (кроме законных представителей) только с письменного разрешения самого субъекта персональных данных, за исключением случаев, когда передача персональных данных без его согласия допускается действующим законодательством Российской Федерации.

3.6. Документы, содержащие персональные данные, могут быть отправлены посредством корпоративной электронной почты, почтовой связи или курьерской службы. При этом должна быть обеспечена их конфиденциальность.

3.7. В случае если лицо, обратившиеся в Университет с запросом на предоставление персональных данных, не уполномочены на получение информации, относящейся к персональным данным, Университет обязан отказать лицу в выдаче такой информации путем направления уведомления в свободной форме об отказе в выдаче информации. Копия уведомления хранится в соответствии с принятыми в Университете правилами делопроизводства.

4. Особенности защиты персональных данных

4.1. Защита персональных данных представляет собой принятие правовых, организационных и технических мер, направленных на:

- обеспечение защиты персональных данных от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных;

- соблюдение конфиденциальности персональных данных;

- реализацию права на доступ к персональным данным.

4.2. Университет обеспечивает эффективную работу системы защиты персональных данных, которая включает в себя организационные и технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

Обеспечение защиты персональных данных в информационных системах Университета осуществляется управлением информационного развития.

4.3. Защита персональных данных от неправомерного их использования или утраты обеспечивается за счет средств Университета в порядке, установленном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

4.4. Защита персональных данных, хранящихся в электронных базах данных и в информационных системах Университета, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается разграничением прав доступа с использованием учетной записи и системы паролей.

4.5. Организация хранения персональных данных в Университете осуществляется в порядке, исключающем их утрату или их неправомерное использование.

4.6. Для регламентации доступа работников Университета к персональным данным, документам, в том числе электронным, иным материальным носителям, базам данных и информационным системам, содержащим персональные данные, в целях исключения несанкционированного доступа третьих лиц и защиты персональных данных первый проректор, проректоры, руководители соответствующих структурных подразделений обязаны обеспечивать:

- контроль за перечнем работников, трудовые обязанности которых требуют доступа к персональным данным;

- контроль за распределение документов, иных материальных носителей, содержавших персональные данные, между работниками;

- рациональное размещение рабочих мест работников, при котором исключается бесконтрольное использование персональных данных;

- контроль знания соответствующими работниками требований нормативных правовых и локальных нормативных актов по защите информации и сохранении конфиденциальности такой информации;

- контроль за наличием необходимых условий в помещениях для работы с документами, иными материальными носителями, базами данных и информационными системами, содержащими персональные данные;

- контроль за перечнем работников, имеющих право доступа к базам данных и информационным системам, содержащим персональные данные;

- организацию уничтожения материальных носителей, содержащих персональные данные, и его соблюдение;

- своевременное выявление нарушения требований разрешительной системы доступа к персональным данным;

- работу в структурном подразделении по предупреждению утраты и разглашению персональных данных при работе с ними;

- ограничение доступа к документам, иным материальным носителям, базам данных и информационным системам, содержащим персональные данные.

4.7. Для защиты персональных данных в Университете обеспечивается соблюдение:

- порядка приема, учета и контроля деятельности посетителей;

- пропускного режима;

- учета и порядка выдачи пропусков;-

- наличия технических средств охраны, сигнализации;

- порядка охраны территории, зданий, помещений, транспортных средств;

- требований к защите информации при интервьюировании и собеседованиях;

- использования сертифицированных средств защиты информации;

- регулярное обновление антивирусного программного обеспечения;

- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которых может быть нарушено функционирование таких средств;

- принятие мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

- возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- осуществление внутреннего контроля и аудита.

4.8. Все меры по обеспечению конфиденциальности персональных данных при их обработке распространяются как на материальные носители, так и на персональные данные, представленные в электронном формате.

5. Порядок хранения персональных данных

5.1. Хранение персональных данных в Университете осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

Персональные данные на бумажных носителях хранятся - в Университете в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утв. Приказом Росархива от 20.12.2019 № 236.

Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

5.2. Хранение персональных данных в Университете осуществляется в порядке, исключающем доступ к ним третьих лиц. При хранении персональных данных субъектов персональных данных в Университете применяются средства защиты от несанкционированного доступа.

5.3. Персональные данные хранятся в бумажном и (или) электронном виде в соответствующих структурных подразделениях, в пределах контролируемой зоны по периметрам посещений с соблюдением условий, обеспечивающих сохранность носителей персональных данных, безопасность в этих помещениях, соответствие требованиям пожарной безопасности и исключающих неконтролируемое проникновение или пребывание в этих помещениях посторонних лиц.

5.4. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Университет обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных».

6. Актуализация, исправление, удаление, уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

6.1. Подтверждение факта обработки персональных данных Университетом, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», предоставляются Университетом субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя.

Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Университетом следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.

В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

Запрос должен содержать:

- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

- сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Университетом;

- подпись субъекта персональных данных или его представителя.

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

6.2. Университет предоставляет сведения, указанные в ч. 7 ст. 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Федерального законом от 27.07.2006 № 152-ФЗ «О персональных данных» все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

6.3. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Университет осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

6.4. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Университет осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.

6.5. При выявлении Университетом, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Университет:

- в течение 24 часов - уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Университетом на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;

- в течение 72 часов - уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).

6.6. Условия и сроки уничтожения персональных данных Университетом:

- достижение цели обработки персональных данных либо утрата необходимости достигать эту цель — в течение 30 дней;

- достижение максимальных сроков хранения документов, содержащих персональные данные, — в течение 30 дней;

- предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, - в течение 7 рабочих дней;

- отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, — в течение 30 дней.

6.7. Университет прекращает обработку персональных данных в следующих случаях:

- выявлен факт их неправомерной обработки;

- достигнута цель их обработки;

- истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» обработка этих данных допускается только с согласия.

6.8. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Университет прекращает обработку этих данных, если:

- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

- Университет не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или иными федеральными законами;

- иное не предусмотрено другим соглашением между Университетом и субъектом персональных данных.

6.9. При обращении субъекта персональных данных к Университету с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения Университетом соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Университетом необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продление срока.

6.10. В случае выявления неправомерной обработки персональных данных, осуществляемой Университетом, данная обработка прекращается в срок, не превышающий трех рабочих дней с даты этого выявления.

6.11. В случае если обеспечить правомерность обработки персональных данных невозможно, Университет в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обезличивает такие персональные данные.

6.12. Об устранении допущенных нарушений или об обезличивании персональных данных Университет уведомляет субъекта персональных данных.

Документы

PDF, 10,95 МБ