Политика в отношении обработки персональных данных

Политика информационной безопасности ФГАОУ ВО «Московский государственный юридический университет имени О.Е. Кутафина (МГЮА)»

1.1. Политика информационной безопасности ФГАОУ ВО «Московский государственный юридический университет имени О.Е. Кутафина (МГЮА)» (далее – Университет) определяет систему взглядов на проблему обеспечения безопасности информации в Университете и представляет собой систематизированное изложение целей и задач защиты, как одно или несколько правил, процедур, практических приемов и руководящих принципов в области информационной безопасности.

1.2. Настоящая Политика информационной безопасности Университета (далее – Политика) разработана на основании Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» и постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказа Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21«Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и других нормативно-правовых актов Российской Федерации.

1.3. Объектами системы информационной безопасности являются:

информационные ресурсы с ограниченным доступом, составляющие в первую очередь персональные данные работников и студентов Университета, а также служебную, коммерческую тайну или иные чувствительные к несанкционированным воздействиям информационные ресурсы (при их наличии);

процессы обработки информации в информационной среде Университета, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, персонал и пользователи информационных систем;

информационная инфраструктура, включающая системы обработки, хранения и анализа информации, технические и программные средства ее передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены элементы информационной среды.

1.4. Политика устанавливает порядок обработки, т.е. действия (операции) с конфиденциальной информацией, в том числе персональными данными субъектов, не являющихся работниками Университета, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение данных с использованием средств автоматизации или без использования таких средств.

1.5. Целью настоящей Политики является организация обработки и обеспечения безопасности персональных данных работников и обучающихся Университета, а также персональных данных иных лиц в соответствии с законодательными и нормативными правовыми актами Российской Федерации при их обработке в информационных системах Университета.

Цель защиты достигается посредством обеспечения и поддержания следующих основных свойств информации:

доступности информации для легальных пользователей;

целостности и аутентичности (подтверждение авторства) информации;

конфиденциальности - сохранения в тайне определенной части информации.

1.6. Основные термины и определения, применяемые в настоящей Политике:

Персональные данные – любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальная информация – информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся её владельцем.

Конфиденциальность персональных данных – обязательное для соблюдения оператором, или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым, предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта или по решению руководителя организации, либо по решению суда или иных уполномоченных государственных органов.

Работники – лица, имеющие трудовые отношения с организацией, либо кандидаты на вакантную должность, вступившие в отношения по поводу приема на работу.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.7. К субъектам персональных данных (далее – субъекты) относятся лица-носители персональных данных, персональные данные которых переданы Университету (как на добровольной основе, так и в рамках выполнения требований нормативно-правовых актов) для обработки, в том числе:

- работники Университета, включая совместителей, а также лица, выполняющие работы по договорам гражданско-правового характера;

- абитуриенты;

- студенты всех форм обучения;

- слушатели программ дополнительного и дополнительного профессионального образования;

- соискатели ученых степеней, аспиранты и докторанты;

- участники олимпиад, проводимых Университетом;

- лица, обращающиеся в Центр студенческой юридической помощи.

1.8. Обработка персональных данных субъектов без их письменного согласия не допускается, если иное не определено законом. Персональные данные относятся к информации ограниченного доступа, не составляющей государственную тайну.

1.9. Должностные лица Университета, в обязанности которых входит обработка персональных данных субъектов, обязаны обеспечить каждому субъекту возможность ознакомления со своими персональными данными, если иное не предусмотрено законом.

1.10. Персональные данные не могут быть использованы в целях:

- причинения имущественного и морального вреда гражданам;

- затруднения реализации прав и свобод граждан Российской Федерации.

1.11. Настоящая Политика и изменения к ней утверждаются ректором Университета, являются обязательным для исполнения всеми работниками и обучающимися, имеющими доступ к персональным данным субъектов Университета.

1.12. Политика является общедоступным документом, декларирующим концептуальные основы деятельности Университета при обработке конфиденциальной информации Университета, в том числе персональных данных.

II. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Обработка персональных данных в Университете осуществляется на основе следующих принципов:

- осуществления обработки персональных данных на законной и справедливой основе;

- комплексного использования методов и средств защиты информационных систем;

- непрерывности процесса защиты на основе повседневной деятельности на всех уровнях Университета;

- разумной достаточности (экономической целесообразности);

- персональной ответственности за обеспечение безопасности информации и системы ее обработки каждого работника в пределах его полномочий;

- достижения достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, не совместимых с целями сбора персональных данных;

- недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;

- соответствия содержания и объема персональных данных целям их обработки, а также недопустимости обработки персональных данных, избыточных по отношению к заявленным целям;

- обеспечения точности, достаточности, а в необходимых случаях и актуальности персональных данных по отношению к целям обработки персональных данных;

- принятия необходимых мер или обеспечение принятия мер по удалению или уточнению неполных или неточных данных;

- уничтожения персональных данных по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;

- гибкости системы защиты – способности реагировать на изменения внешней среды и условий (изменения оргштатной структуры, корпоративная реструктуризация, изменение или внедрение новых информационных систем и технических средств и др.)

- обоснованности и технической реализуемости.

2.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

2.3. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно. Согласие на обработку персональных данных должно быть конкретным, информативным и сознательным.

III. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Под персональными данными субъектов персональных данных понимается любая информация, относящаяся к данному субъекту персональных данных.

3.2. Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

3.3. В Университете могут быть созданы общедоступные источники персональных данных (справочники, адресные книги). Персональные данные, сообщаемые субъектом (фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и др.), включаются в такие источники только с письменного согласия субъекта персональных данных.

IV. ПОЛУЧЕНИЕ, ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Университет получает сведения о персональных данных субъектов от самих субъектов, из общедоступных источников, от третьих лиц. Субъекты обязаны представлять Университету достоверные сведения о себе. Университет имеет право проверять достоверность указанных сведений в порядке, не противоречащем законодательству Российской Федерации.

4.2. Университет руководствуется конкретными, заранее определенными целями обработки персональных данных, в соответствии с которыми персональные данные были предоставлены субъектом.

4.3. Обработка персональных данных в Университете осуществляется в целях:

ведения бухгалтерского учета и отчетности,

ведения кадрового учета и делопроизводства,

организации учебного процесса и научной работы,

информирования студентов и работников,

ведения уставной деятельности Университета.

4.4. Персональные данные субъектов Университет получает непосредственно от субъекта. Работник, ответственный за документационное обеспечение уставной деятельности, принимает от субъекта документы, проверяет их полноту и правильность указываемых сведений.

4.5. Если персональные данные субъекта возможно получить исключительно у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие (Приложение 1).

Университет должен сообщать субъекту о целях, предполагаемых источниках и способах получения персональных данных, а также о составе подлежащих получению персональных данных и последствиях отказа субъекта представить письменное согласие на их получение (Приложение 2). В случае если работник или обучающийся уже дал письменное согласие на передачу своих персональных данных третьим лицам, дополнительное уведомление не требуется.

4.6. Условием обработки Университетом персональных данных субъектов является их письменное согласие: поступающих (Приложение 3), обучающихся (Приложение 4), работников (Приложение 5), участников олимпиад (Приложение 6).

Субъект принимает решение о предоставлении его персональных данных и свободно дает согласие на их обработку. Согласие на обработку персональных данных должно быть конкретным, информативным и сознательным.

4.7. Согласие на обработку персональных данных может быть отозвано субъектом.

4.8. В случае недееспособности субъекта согласие на обработку его персональных данных в письменной форме дает законный представитель субъекта.

В случае смерти субъекта согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом при его жизни.

4.9. В случае, если Университет на основании договора поручает обработку персональных данных другому лицу, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке. Ответственность перед субъектом персональных данных за действия указанного лица несет Университет. Лицо, осуществляющее обработку персональных данных по поручению Университета, несет ответственность перед Университетом.

4.10. Обработка специальных категорий персональных данных субъекта может осуществляться Университетом только в соответствии со Статьей 10 ФЗ от 27.07.2006 № 152-ФЗ.

4.11. Университет не осуществляет обработку биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека).

4.12. Обработка персональных данных о судимости может осуществляться Университетом исключительно в случаях и в порядке, которые определяются в соответствии с федеральными законами.

4.13. Защита персональных данных субъекта от неправомерного их использования или утраты должна быть обеспечена оператором за счет его средств в порядке, установленном федеральным законодательством Российской Федерации.

4.14. Полученные Университетом письменные согласия субъекта персональных данных на их обработку хранятся в личном деле.

4.15. Личные дела работников хранятся управлением кадров на бумажных носителях. Личное дело пополняется на протяжении всей трудовой деятельности работника в Университете и по завершению периода трудовой деятельности в Университете предается на хранение в архив.

4.16. Личные дела обучающихся хранятся в соответствующих институтах Университета на бумажных носителях. По завершении периода обучения в Университете личное дело обучающегося передается на хранение в архив Университета.

4.17. Личные дела поступающих (абитуриента) хранятся в приемной комиссии Университета на бумажных носителях. По завершении периода работы приемной комиссии личное дело абитуриента передается в соответствующий институт Университета или на хранение в архив.

4.18. При обработке персональных данных Ректор Университета вправе утверждать способы обработки, документирования, хранения и защиты персональных данных на базе современных информационных технологий.

4.19. Перечень информационных систем персональных данных Университета, а также перечень обрабатываемых в них персональных данных, утверждаются Ректором Университета.

4.20. Обработка персональных данных, осуществляется уполномоченными должностными лицами Университета, определенными приказом ректора.

4.21. Директора институтов, руководители подразделений Университета обеспечивают выполнение мероприятий по обработке персональных данных субъектов, предусматривающих:

- определение порядка обработки персональных данных субъектов,

- защиту информации и носителей информации с персональными данными от несанкционированного доступа;

- определение порядка оформления согласия на обработку персональных данных субъектов,

- оформление согласия на обработку персональных данных субъектов;

- оформление (переоформление) обязательства работника по неразглашению персональных данных (Приложение 7),

в части их касающихся.

4.22. Обеспечение защиты персональных данных, обрабатываемых в информационных системах персональных данных Университета, оснащение средствами защиты информации при их обработке автоматизированным способом, а также обеспечение их исправной работы осуществляет Центр информационных ресурсов и технологий.

4.23. Директора филиалов обеспечивают выполнение мероприятий по обработке персональных данных субъектов на основании локальных актов Университета и соответствующих филиалов Университета.

4.24. Помещения, в которых обрабатываются и хранятся персональные данные субъектов, оборудуются надежными замками. Должно быть исключено бесконтрольное пребывание посторонних лиц в этих помещениях.

Для хранения материальных носителей персональных данных используются специально оборудованные шкафы или сейфы.

Помещения, в которых обрабатываются и хранятся персональные данные работников и студентов, в рабочее время при отсутствии в них работников должны быть закрыты. Проведение уборки помещений, в которых хранятся персональные данные, должно производиться в присутствии работников, ответственных за эксплуатацию помещения.

4.25. Университет прекращает обработку персональных данных субъекта в следующих случаях:

при достижении цели обработки персональных данных;

по истечении срока, предусмотренного законом, иным нормативным правовым актом Российской Федерации, договором, или согласием субъекта на обработку его персональных данных;

при изменении, признании утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;

при выявлении неправомерной обработки персональных данных, осуществляемой Университетом;

при отзыве субъектом персональных данных согласия на обработку его персональных данных, если в соответствии с Федеральным законом обработка персональных данных допускается только с согласия субъекта персональных данных.

4.26. Сроки обработки и архивного хранения персональных данных определяются в соответствии с требованиями действующего законодательством РФ (Гражданским кодексом РФ, Трудовым кодексом РФ, Налоговым кодексом РФ, Федеральным законом РФ № 152-ФЗ от 27.07.2006 «О персональных данных», Федеральным законом № 125-ФЗ от 22.10.2004 «Об архивном деле», Приказом Минкультуры РФ от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», а также иными требованиями действующего законодательства РФ), нормативными актами и локальными актами Университета.

4.27. Уничтожение Университетом персональных данных осуществляется в порядке и сроки, предусмотренные законодательством Российской Федерации.

4.28. Контроль выполнения требований по обработке и обеспечению безопасности персональных данных организуется Университетом самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих соответствующие лицензии, и проводится не реже 1 раза в 3 года в сроки, определяемые Университетом.

V. ПРАВА И ОБЯЗАННОСТИ СТОРОН В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Субъект персональных данных обязан:

- передать Университету или её представителю комплекс достоверных, документированных персональных данных, состав которых установлен трудовым законодательством, иными законами Российской Федерации, включая сведения об образовании, специальных знаниях, стаже работы, отношении к воинской обязанности, гражданстве, месте жительства и др.

- своевременно сообщать Университету об изменении своих персональных данных.

5.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных оператором;

- правовые основания и цели обработки персональных данных;

- применяемые Университетом способы обработки персональных данных;

- наименование и место нахождения Университета, сведения о лицах (за исключением работников Университета), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Университетом или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Университета, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные федеральными законами.

5.3. Доступ к своим персональным данным предоставляется субъекту, а также его законному представителю при личном обращении либо при получении запроса (Приложение 8).

Сведения о персональных данных должны быть предоставлены субъекту Университетом в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам.

Запросы субъектов на доступ к своим персональным данным регистрируются лицом, ответственным за организацию обработки персональных данных в Университете, в Журнале регистрации письменных запросов (Приложение 9).

5.4. Решение, порождающее юридические последствия в отношении субъекта или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия субъекта в письменной форме или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта.

5.5. Университет обязан разъяснить субъекту порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты своих прав и законных интересов.

Университет обязан рассмотреть данное возражение субъекта в течение тридцати дней со дня его получения и уведомить его о результатах рассмотрения такого возражения.

5.6. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Университет обязан разъяснить субъекту юридические последствия отказа предоставить его персональные данные.

5.7. Если персональные данные были получены не от субъекта (за исключением случаев, если персональные данные были предоставлены Университету на основании федерального закона или если персональные данные являются общедоступными), Университет до начала обработки таких персональных данных обязан направить субъекту уведомление (Приложение 10).

5.8. В срок, не превышающий семи рабочих дней со дня предоставления субъектом сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения.

5.9. В срок, не превышающий семи рабочих дней со дня предоставления субъектом сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Университет обязан уничтожить такие персональные данные.

5.10. В срок, не превышающий трех рабочих дней со дня внесения необходимых изменений (п. 5.8) или уничтожения персональных данных субъекта (п. 5.9.), Университет обязан уведомить субъекта о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы (Приложение 11).

5.11. Университет обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.

5.12. В случае выявления недостоверных персональных данных или неправомерной обработки персональных данных при обращении субъекта, либо по запросу субъекта, либо уполномоченного органа по защите прав субъектов персональных данных Университет обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Университета) с момента такого обращения или получения указанного запроса на период проверки.

5.13. В случае подтверждения факта неточности персональных данных Университет на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Университета) в течение семи рабочих дней и снять блокирование персональных данных.

5.14. В случае выявления неправомерной обработки персональных данных, осуществляемой Университетом или лицом, действующим по поручению Университета, Университет в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Университета. В случае, если обеспечить правомерность обработки персональных данных невозможно, Университет в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Университет обязан уведомить субъекта персональных данных (Приложение 12), а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

5.15. Субъект может направить повторный запрос в целях получения информации, касающейся обработки его персональных данных и ознакомления с такой информацией не ранее чем через тридцать дней после направления первоначального запроса, если более короткий срок не установлен федеральным законом или принятым в соответствии с ним нормативным правовым актом.

5.16. В случае, если по запросу субъекта информация и (или) персональные данные не были предоставлены ему для ознакомления в полном объеме субъект может повторно направить запрос до истечения тридцатидневного срока.

5.17. В случае достижения цели обработки персональных данных Университет обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Университета) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Университета) в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено соглашением между Университетом и субъектом персональных данных, и уведомить об этом субъекта персональных данных в течение десяти рабочих дней с даты прекращения обработки персональных данных или их уничтожения.

5.18. В случае отзыва субъектом согласия на обработку своих персональных данных Университет обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено федеральным законом и (или) соглашением сторон. Об уничтожении персональных данных Университет обязан уведомить субъекта персональных данных в течение трех рабочих дней с даты уничтожения персональных данных.

5.19. До начала обработки персональных данных Университет обязан уведомить уполномоченный орган по защите прав субъектов в персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев обработки персональных данных:

- обрабатываемых в соответствии с трудовым законодательством;

- полученных Университетом в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются организацией исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

- относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

- сделанных субъектом персональных данных общедоступными;

- включающих в себя только фамилии, имена и отчества субъектов персональных данных;

- необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится Университет, или в аналогичных целях;

- включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

- обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

5.20. Уведомление должно быть направлено в виде документа на бумажном носителе или в форме электронного документа и подписано оператором. Уведомление должно содержать следующие сведения:

- наименование (фамилия, имя, отчество), адрес оператора;

- цель обработки персональных данных;

- категории персональных данных;

- категории субъектов, персональные данные которых обрабатываются;

- правовое основание обработки персональных данных;

- перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

- описание мер, которые оператор обязуется осуществлять при обработке персональных данных по обеспечению безопасности персональных данных при их обработке, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

- дата начала обработки персональных данных;

- срок и условия прекращения обработки персональных данных;

- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

VI. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ РАБОТНИКА И СТУДЕНТА И ИХ ПЕРЕДАЧА

6.1. Доступ к персональным данным работников и обучающихся имеют работники подразделений Университета, которым эти данные необходимы для выполнения служебных (трудовых) обязанностей в соответствии с перечнем лиц, утвержденным Ректором Университета.

6.2. После прекращения юридических отношений с субъектом персональных данных (увольнения работника и т.п.) документы, содержащие его персональные данные, хранятся в Университете в течение сроков, установленных архивным и иным законодательством Российской Федерации.

6.3. Органы, обладающие полномочиями по осуществлению надзора и контроля, имеют доступ к персональным данным субъектов в пределах своей компетенции.

6.4. Доступ со стороны третьих лиц к персональным данным субъекта осуществляется с его письменного согласия, за исключением случаев, когда такой доступ необходим в целях предупреждения угрозы жизни и здоровью субъекта или других лиц, и иных случаев, установленных законодательством.

6.5. Университет обязан сообщать персональные данные субъекта по надлежащим оформленным запросам суда, прокуратуры иных правоохранительных органов.

6.6. Сведения о работающем работнике или уже уволенном могут быть предоставлены другой организации только на основании письменного запроса на бланке организации, с приложением копии заявления о предоставлении работника.

6.7. Персональные данные субъекта могут быть предоставлены родственникам или их законным представителям только с письменного разрешения самого субъекта.

6.8. Лица, допущенные к обработке персональных данных, должны подписать обязательство о неразглашении персональных данных (приложение № 7).

6.9. Ответы на письменные запросы других предприятий, учреждений и организаций даются с разрешения Ректора Университета в письменной форме, в том объеме, который позволяет не разглашать излишний объем персональных данных.

6.10. Не допускается передача персональных данных по открытым каналам связи, в том числе по телефону.

6.11. Сведения, передаваемые на материальных или бумажных носителях, должны иметь пометку о конфиденциальности. В сопроводительном письме к таким документам указывается, что в прилагаемых документах содержатся персональные данные работников или студентов Университета.

VII. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Комплекс мер по защите персональных данных направлен на предупреждение нарушений доступности, целостности и конфиденциальности персональных данных и обеспечивает безопасность информации в процессе учебной и управленческой деятельности Университета.

7.2. Университет при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в соответствии с требованиями к обеспечению безопасности персональных данных, установленными Правительством Российской Федерации.

7.3. Мероприятия по защите персональных данных определяются настоящей Политикой, приказами, инструкциями и другими внутренними актами Университета.

7.4. Университет принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законами РФ и принятыми в соответствии с ним нормативными правовыми актами. Университет самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения своих обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152 ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством.

7.5. Обеспечение безопасности персональных данных достигается, в частности:

- назначением ответственных за организацию защищенного хранения и обработки персональных данных;

- определением угроз безопасности персональных данных при их обработке в информационных системах;

- применением организационных и технических мер по обеспечению безопасности персональных данных;

- применением прошедших в установленном порядке процедур оценки соответствия средств защиты информации;

- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- учетом машинных носителей персональных данных;

- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

- предотвращением внедрения в информационные системы программ вирусного характера;

- обеспечением физической сохранности эксплуатируемых информационных систем и дополнительного оборудования;

- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установлением правил доступа к данным информационных систем различного уровня и назначения, а также обеспечением учета документов, информационных массивов, регистрации действий пользователей, совершаемых с персональными данными в информационной системе;

- ограничением доступа работников, обучающихся и посторонних лиц в здания, помещения, где обрабатываются (хранятся) персональные данные, том числе на объекты информатизации;

- использованием криптографического преобразования информации, обрабатываемой и передаваемой средствами вычислительной техники и связи;

- контролем над принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;

- оценкой вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона, соотношение указанного вреда и принимаемых организацией мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом;

- изданием локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

- ознакомлением работников Университета, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, Политикой и другими локальными актами по вопросам обработки персональных данных, и (или) обучением указанных работников.

VIII. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Персональная ответственность является одним из главных требований к организации функционирования системы защиты персональных данных Университета и обязательным условием обеспечения эффективности ее функционирования.

8.2. Должностные лица, в соответствии со своими полномочиями владеющие персональными данными, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка ее использования.

8.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

8.4. Каждый работник Университета, получающий для работы конфиденциальный документ, несет персональную ответственность за сохранность носителя и конфиденциальность полученной информации.

8.5. Должностные лица, в обязанность которых входит обработка персональных данных, обязаны обеспечить каждому субъекту персональных данных, возможность ознакомления со своими обрабатываемыми персональными данными, если иное не предусмотрено законом.

Неправомерный отказ в предоставлении собранных в установленном порядке персональных данных, либо несвоевременное их предоставление в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации влечет наложение на должностных лиц административного наказания в порядке, установленном Кодексом Российской Федерации об административных правонарушениях.

8.6. В соответствии с Гражданским кодексом РФ лица, незаконными методами получившие информацию, содержащую персональные данные, обязаны возместить причиненные убытки; такая же обязанность возлагается и на работников, не обладающих правом доступа к персональным данным.

8.7. Уголовная ответственность за нарушение неприкосновенности частной жизни (в том числе незаконный сбор и (или) распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения влечет наложение наказания в порядке, предусмотренном Уголовным кодексом РФ.

Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.