ПОЛИТИКА в отношении обработки персональных данных в федеральном государственном бюджетном образовательном учреждении высшего образования «Адыгейский государственный университет»
1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее - Политика) разработана в соответствии с п. 2 ч. 1 ст. 18.1. Федерального закона РФ «О персональных данных» №152-ФЗ от 27 июля 2006 года, Трудовым кодексом РФ, иными нормативно-правовыми актами и действует в отношении всех персональных данных, обрабатываемых в федеральном государственном бюджетном образовательном учреждении высшего образования «Адыгейский государственный университет».
1.2. Политика устанавливает основные принципы обработки персональных данных (далее - ПДн) в федеральном государственном бюджетном образовательном учреждении высшего образования «Адыгейский государственный университет» (далее Оператор), цели, правовые основания, порядок и условия обработки ПДн, определяет объем и категорию обрабатываемых ПДн, а также реализуемые Оператором требования к их защите.
1.3. Целью разработки настоящей Политики является определение категорий ПДн, обрабатываемых Оператором, а также основных условий и принципов, которыми Оператор руководствуется при обработке ПДн.
1.4. Положения настоящей Политики являются обязательными для исполнения всеми работниками Оператора.
1.5. Политика является общедоступным документом, размещенным на сайте Оператора в информационно-телекоммуникационной сети «Интернет», неограниченный доступ к которому предоставляется любому заинтересованному лицу.
1.6. В случае если в результате договорных и иных гражданско-правовых отношений Оператора с третьими лицами указанные лица могут получить доступ к ПДн любых групп субъектов ПДн, предусмотренных настоящей Политикой, Оператор обязан взять с таких лиц письменное обязательство об обеспечении конфиденциальности ПДн, обязательство использовать эти данные лишь в целях, для которых они сообщены, и только разрешенными способами, а также обязательство принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения и от иных неправомерных действий.
1.7. Работники Оператора, получившие доступ к ПДн в связи с исполнением своих должностных обязанностей, информируются Оператором о конфиденциальности ПДн и принимают на себя обязательство по их неразглашению. Требование об оформлении указанного в настоящем пункте письменного обязательства не распространяются на случае передачи информации в уполномоченные государственные и муниципальные органы, государственные внебюджетные фонды и в иных установленных законом случаях.
1.8. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее утверждения приказом Оператора.
1.9. Действующая редакция хранится в месте нахождения исполнительного органа Оператора по адресу: 385000, Республика Адыгея, город Майкоп, улица Первомайская, дом 208, электронная версия Политики - на сайте Оператора по адресу: https://adygnet.ru.
2. Нормативная база
При разработке данного Положения использовались следующие нормативные документы:
· Конституция Российской Федерации;
· Гражданский кодекс РФ;
· Трудовой кодекс РФ;
· Федеральный закон Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее - Федеральный закон № 152-ФЗ);
· Федеральный закон от 06.04.2011 г. № 63-ФЗ «Об электронной подписи»;
· Федеральный закон от 22.10.2004 г. №125-ФЗ «Об архивном деле в Российской Федерации»;
· Постановление Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
· Постановление Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
· Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
· Приказ Росархива от 20.12.2019 г. № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»;
· Приказ ФСБ России от 10.07.2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
3.Термины и определения
Персональные данные (ПДн) |
- любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн); |
Автоматизированная обработка ПДн |
- обработка ПДн с помощью средств вычислительной техники; |
Биометрические ПДн |
- сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Оператором для установления личности субъекта ПДн; |
Блокирование ПДн |
- временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн); |
Специальные категории ПДн |
- ПДн касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости субъекта ПДн; |
Оператор ПДн (Оператор) |
- федеральное государственное бюджетное образовательное учреждение высшего образования «Адыгейский государственный университет», сокращенно – Университет; |
Представитель |
- физическое лицо, являющееся представителем физического или юридического лица, полномочия которого основаны на доверенности, договоре, законе либо акте уполномоченного на то государственного органа или органа местного самоуправления; |
Субъект(ы) ПДн |
- физическое лицо или индивидуальный предприниматель, заключившие договор и/или планирующие договорные отношения с Оператором, в том числе через Партнеров Оператора; -
физические лица, участвующие в образовательных и иных мероприятиях (семинары,
конкурсы, олимпиады и иные подобные мероприятия) Оператора и его
партнеров, физические лица проходящие тестирование или выполняющие иные
задания для формирования личного цифрового профиля компетенций, а также для
формирования личного цифрового профиля компетенций, отражающего результаты и
достижения субъекта ПДн; - работники
Оператора, в том числе бывшие, уволенные, вышедшие на пенсию и соискатели на
вакантные места; - посетители сайта по адресу https://adygnet.ru и его суб-доменах; - иные лица, обработка ПДн которых необходима для наступления и/или исполнения договорных и иных гражданско-правовых отношений с Оператором; |
Доступ к информации |
- возможность получения информации и ее использования (в частности копирование, модификация или уничтожение информации; получение субъектом возможности ознакомления с информацией, в том числе при помощи технических средств); |
Информационная система ПДн |
- совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств; |
Конфиденциальность ПДн |
- требование не раскрывать, не предоставлять доступ третьим лицам и не допускать распространение ПДн без согласия субъекта ПДн или наличия иного основания согласно действующему законодательству Российской Федерации |
Материальный
|
- материальный объект, используемый для закрепления и хранения информации. В целях настоящей Политики под материальным носителем понимается бумажный документ, дискета, флэш-карта внешние жесткие диски, CD-, DVD-диски и т.п. |
Обезличивание ПДн |
- действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту; |
Обработка ПДн |
- любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн; |
Персональные
данные, разрешенные |
- ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем предоставления согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном законодательством о ПДн; |
Партнер Оператора |
- юридическое или физическое лицо, сотрудничающее с Оператором в рамках осуществления его уставной деятельности в том числе, осуществляющее научную и/или образовательную деятельность и/или оказывающие консультационные услуги. |
Предоставление ПДн |
- действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц |
Распространение ПДн |
- действия, направленные на раскрытие ПДн неопределенному кругу лиц, в том числе обнародование ПДн в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПДн каким-либо иным способом; |
Роскомнадзор |
- уполномоченный орган по защите прав субъектов ПДн - Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор); |
Трансграничная
|
- передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу; |
Уничтожение ПДн |
- действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн; |
Цель обработки ПДн |
- конкретный конечный результат действий, совершенных с ПДн, вытекающий из требований действующего законодательства Российской Федерации либо договорных отношений сторон, и направленный на исполнение требований законодательства, а также на создание необходимых правовых условий для достижения оптимального учета интересов сторон |
Сайт |
- страница Оператора в информационно-телекоммуникационной сети «Интернет», электронный адрес которой включает доменное имя, права на которое принадлежат Оператору https://adygnet.ru/ |
Сведения |
- перечень данных пользователей, собираемых с помощью интернет-сервисов оценки посещаемости сайтов/сбора метрик. |
4. Принципы обработки персональных данных
4.1. Обработка ПДн Оператора осуществляется на основании следующих принципов:
· законности и справедливости основания обработки ПДн, законности целей и способов обработки ПДн;
· соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн;
· соответствия содержания и объема обрабатываемых ПДн, способов обработки ПДн заявленным целям обработки ПДн, недопустимости использования избыточного объема ПДн по отношению к заявленным целям их обработки;
· обеспечения точности, достаточности и, в необходимых случаях, актуальности ПДн по отношению к целям их обработки, недопустимости избыточности обрабатываемых ПДн по отношению к заявленным целям их обработки;
· недопустимости объединения созданных для несовместимых между собой целей баз данных ПДн.
4.2. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки, если иной срок хранения ПДн не установлен федеральным законом и(или) договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн.
5. Цели обработки персональных данных
5.1. ПДн обрабатываются Оператором в целях (по группам):
5.1.1. Выполнения требований трудового законодательства (выполнение обязанностей Оператора как работодателя, предусмотренных трудовым законодательством):
· расчет заработной платы; расчет страховых взносов;
· подбор и трудоустройство персонала;
· предоставление сведений в банк для перечисления заработной платы и выплаты вознаграждений;
· заключение, исполнение и расторжение трудового договора;
· воинский учет работников;
· оформление командировок;
· учет информации, необходимой для сопровождения трудовых отношений работника и работодателя в соответствии с законодательством Российской Федерации).
5.1.2. Выполнения требований финансового и налогового законодательства:
· ведение текущего бухгалтерского и налогового учёта, формирование, изготовления и подача бухгалтерской, налоговой и статистической отчётности, отчетности в государственные фонды;
· выполнения требований налогового законодательства по расчету, удержанию и уплате налогов, предоставлению налоговых вычетов.
5.1.3. Оказания образовательных и связанных с образовательными услуг, услуг профориентации Субъектам ПДн:
· организация отбора претендентов на обучение;
· организация обучения Субъекта ПДн, организация конкурсов, олимпиад и иных подобных мероприятий; информационное содействие трудоустройству и увеличению карьерных возможностей Субъекта ПДн;
· оказание консультационных услуг, связанных с получением образования и обучения для Субъекта ПДн;
· распространение рекламы и информации о планирующихся мероприятиях и образовательных программах, реализуемых Оператором.
5.1.4. Реализации уставных целей организации, развития корпоративного управления корпоративных отношений:
· обеспечение комплексной безопасности Университета;
· оформление пропусков для прохода на территорию Оператора и оформление провоза грузов на автомобиле;
· оформление доверенностей;
· развитие корпоративных информационных систем;
· формирование корпоративной культуры.
5.1.5. Осуществления статистических и научных исследований: сбор и анализ статистической информации об участии в мероприятиях и обучении, посещении сайта Оператора.
5.1.6. Заключения, исполнения, изменения и прекращения гражданско-правовых договоров с контрагентами и партнерами Оператора. Исполнения поручения на обработку ПДн полученного от третьих лиц.
5.1.7. Исполнения поручения на обработку ПДн полученного от третьих лиц.
5.2. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по окончании срока хранения, достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
5.3. Обработка ПДн, несовместимая с утвержденными целями, не допускается. Категории и перечни обрабатываемых ПДн, категории субъектов ПД, способы, сроки их обработки и хранения, порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований для каждой цели (по группам) обработки ПДн определяются в соответствии с Приложением № 1 к настоящей Политике и могут конкретизироваться отдельными локальными нормативными актами Оператора.
6. Категории обрабатываемых персональных данных
6.1. При определении состава обрабатываемых ПДн субъектов Оператор руководствуется минимально необходимым составом ПДн для достижения целей их получения.
6.2. Оператором обрабатываются ПДн следующих категорий субъектов:
6.2.1. Категория: физическое лицо или индивидуальный предприниматель, заключившее договор и/или планирующее договорные отношения с Оператором, в том числе через Партнеров Оператора.
В состав обрабатываемых ПДн могут входить:
· фамилия, имя, отчество;
· пол;
· число, месяц, год рождения, место рождения, страна рождения;
· данные документа, удостоверяющего личность (вид документа, серия, номер, когда и кем выдан, код подразделения);
· место жительства;
· адрес регистрации;
· данные об образовании;
· гражданство; статус (резидент/нерезидент);
· сведения об ИНН, СНИЛС;
· реквизиты счетов субъектов ПДн;
· контактные данные (телефон, электронный адрес, почтовый адрес);
· фото и видеоизображения;
· данные геолокации;
· IP - адрес устройства, с которого осуществлен вход в систему;
· источник перехода на сайт и информация поискового или иного запроса;
· данные о пользовательском устройстве (среди которых разрешение, версия и другие атрибуты, характеризующие пользовательское устройство);
· пользовательское взаимодействие с интерфейсом сайта (логи работы с интерфейсами, маршруты передвижения, показы и просмотры баннеров, видео, активация разделов, полей и т.д.);
· данные, характеризующие аудиторные сегменты;
· иные сведения о субъекте ПДн в зависимости от оказываемых Оператору услуг и вида договорных отношений.
6.2.2. Категория: физические лица, участвующие в образовательных и иных мероприятиях (семинары, конкурсы, олимпиады и иные подобные мероприятия) Оператора и его партнеров, физические лица, проходящие тестирование или выполняющие иные задания для формирования личного цифрового профиля компетенций, а также для формирования личного цифрового профиля компетенций, отражающего результаты и достижения субъекта ПДн.
В состав обрабатываемых ПДн могут входить:
· фамилия, имя, отчество;
· пол;
· число, месяц, год рождения, место рождения, страна рождения;
· данные документа, удостоверяющего личность (вид документа, серия, номер, когда и кем выдан, код подразделения);
· место жительства
· гражданство; статус (резидент/нерезидент); семейное положение;
· социальное положение (в т.ч. сведения о социальных льготах);
· сведения о законных представителях (фамилия, имя, отчество; пол; число, месяц, год рождения, место рождения, страна рождения; данные документа, удостоверяющего личность (вид документа, серия, номер, когда и кем выдан, код подразделения); гражданство; статус (резидент/нерезидент); семейное положение; место жительства, дата и адрес (проживания, регистрации, постановки на учет));
· информация об образовании;
· дата и адрес (проживания, регистрации, постановки на учет);
· сведения об ИНН, СНИЛС;
· реквизиты счетов субъектов ПДн;
· контактные данные (телефон, электронный адрес, почтовый адрес);
· фото и видеоизображения;
· сведения о посетителях сайта;
· cookie – файлы;
· сведения об интересах.
· фотография;
· идентификатор учетной записи, деловые и личные качества и любые иные данные, полученные с использованием мобильных и web-приложений, устанавливаемых или используемых на персональных устройствах, а также любыми иными способами в период проведения образовательных и иных мероприятий, в том числе цифровые аудио и видеозаписи мероприятий, фотоматериалы, программные продукты, документы и любые другие цифровые ресурсы, созданные в процессе мероприятий;
· результаты обучения;
· данные геолокации;
· IP - адрес устройства, с которого осуществлен вход в систему;
· источник перехода на сайт и информация поискового или иного запроса;
· данные о пользовательском устройстве (среди которых разрешение, версия и другие атрибуты, характеризующие пользовательское устройство);
· пользовательское взаимодействие с интерфейсом сайта (логи работы с интерфейсами информационных систем, маршруты передвижения, показы и просмотры баннеров, видео, активация разделов, полей и т.д.);
· данные, характеризующие аудиторные сегменты;
· иные сведения о субъекте ПДн в зависимости от оказываемых Оператором услуг и осуществляемых операций.
Примечание: Если Субъект ПДн данной категории проходит тестирование или диагностику с использованием сайта, то он относится к категории «посетители сайта по адресу https://adygnet.ru/ и его суб-доменах» (п. 6.2.6 настоящей Политики).
6.2.3. Категория: представители либо работники юридических лиц, сведения о которых юридические лица передают Оператору.
В состав обрабатываемых ПДн могут входить:
· фамилия, имя, отчество;
· пол;
· число, месяц, год рождения, место рождения, страна рождения;
· данные документа, удостоверяющего личность (вид документа, серия, номер, когда и кем выдан, код подразделения);
· место жительства
· адрес регистрации;
· гражданство; статус (резидент/нерезидент);
· контактные данные (телефон, электронный адрес, почтовый адрес);
· фото и видеоизображения;
· данные геолокации;
· IP - адрес устройства, с которого осуществлен вход в систему;
· источник перехода на сайт и информация поискового или иного запроса;
· данные о пользовательском устройстве (среди которых разрешение, версия и другие атрибуты, характеризующие пользовательское устройство);
· иные сведения о субъекте ПДн в зависимости от оказываемых Оператору услуг и вида договорных отношений.
6.2.4.Категория: посетители, которым оформляются разовые временные пропуска на посещение корпусов Университета.
В состав обрабатываемых ПДн могут входить:
· фамилия, имя, отчество;
· пол;
· число, месяц, год рождения, место рождения, страна рождения;
· данные документа, удостоверяющего личность (вид документа, серия, номер, когда и кем выдан, код подразделения);
· место жительства
· адрес регистрации;
· гражданство; статус (резидент/нерезидент);
· контактные данные (телефон, электронный адрес, почтовый адрес);
· фото и видеоизображения.
6.2.5. Категория: работники Оператора, в том числе бывшие, уволенные, вышедшие на пенсию и соискатели на вакантные места; родственники работников.
В состав обрабатываемых ПДн могут входить:
· фамилия, имя, отчество;
· пол;
· число, месяц, год рождения, место рождения, страна рождения;
· данные документа, удостоверяющего личность (вид документа, серия, номер, когда и кем выдан, код подразделения);
· место жительства
· гражданство; статус (резидент/нерезидент); семейное положение;
· социальное положение (в т.ч. сведения о социальных льготах);
· сведения об опеке и попечительстве;
· данные об образовании; данные о повышении квалификации; должность; профессия, место работы; доходы; сведения о трудовой деятельности; данные документов, удостоверяющих личность, и иных документов, выданных на имя субъекта ПДн (трудовые книжки, водительские удостоверения, миграционные карты, разрешение на временное проживание и др.);
· дата и адрес (проживания, регистрации, постановки на учет);
· сведения о членах семьи;
· сведения об ИНН, СНИЛС;
· реквизиты счетов субъектов ПДн;
· контактные данные (телефон, электронный адрес, почтовый адрес);
· сведения, содержащиеся в документах, подтверждающих право на льготы;
· фото и видеоизображения;
· сведения, указанные в свидетельстве о браке;
· сведения, указанные в свидетельстве о рождении детей;
· сведения из трудового договора работника;
· данные разрешения на работу или патент;
· табельный номер;
· данные о воинском учете;
· сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы;
· сведения о состоянии здоровья (подтверждающие возможность выполнения трудовой функции).
6.2.6.Категория: посетители сайта по адресу https://adygnet.ru/ и его суб-доменах.
В состав обрабатываемых ПДн могут входить:
· фамилия, имя, отчество;
· пол;
· число, месяц, год рождения, место рождения, страна рождения;
· данные документа, удостоверяющего личность (вид документа, серия, номер, когда и кем выдан, код подразделения);
· место жительства;
· данные о трудовой деятельности (наименование, должность, специализация, обязанности, место работы, период работы)
· компетенции;
· гражданство; статус (резидент/нерезидент); семейное положение;
· социальное положение (в т.ч. сведения о социальных льготах);
· сведения о законных представителях (фамилия, имя, отчество; пол; число, месяц, год рождения, место рождения, страна рождения; данные документа, удостоверяющего личность (серия, номер, когда и кем выдан, код подразделения); гражданство; статус (резидент/нерезидент); семейное положение; место жительства, дата и адрес (проживания, регистрации, постановки на учет));
· образование;
· дата и адрес (проживания, регистрации, постановки на учет);
· сведения об ИНН, СНИЛС;
· реквизиты счетов субъектов ПДн;
· контактные данные (телефон, электронный адрес, почтовый адрес);
· фото и видеоизображения;
· сведения о посетителях сайта;
· cookie – файлы;
· сведения об интересах.
· фотография;
· ссылки на сертификаты онлайн-курсов;
· ссылки на аккаунты в социальных сетях;
· идентификатор учетной записи, деловые и личные качества и любые иные данные, полученные с использованием мобильных и web-приложений, устанавливаемых или используемых на персональных устройствах, а также любыми иными способами в период проведения образовательных и иных мероприятий, в том числе цифровые аудио и видеозаписи мероприятий, фотоматериалы, программные продукты, документы и любые другие цифровые ресурсы, созданные в процессе мероприятий;
· результаты обучения;
· данные геолокации;
· IP - адрес устройства, с которого осуществлен вход в систему;
· источник перехода на сайт и информация поискового или иного запроса;
· данные о пользовательском устройстве (среди которых разрешение, версия и другие атрибуты, характеризующие пользовательское устройство);
· пользовательское взаимодействие с интерфейсом сайта (логи работы с интерфейсами информационных систем, маршруты передвижения, показы и просмотры баннеров, видео, активация разделов, полей и т.д.);
· данные, характеризующие аудиторные сегменты;
· результаты ответов на вопросы анкет и диагностических опросов, тестов, расположенных на сайте;
· иные сведения о субъекте ПДн в зависимости от оказываемых Оператором услуг и осуществляемых операций.
6.2.7.Категория: иные лица, обработка ПДн которых необходима для наступления и/или исполнения договорных и иных гражданско-правовых отношений с Оператором.
В состав обрабатываемых ПДн могут входить:
· фамилия, имя, отчество;
· пол;
· число, месяц, год рождения, место рождения, страна рождения;
· данные документа, удостоверяющего личность (вид документа, серия, номер, когда и кем выдан, код подразделения);
· место жительства;
· адрес регистрации;
· данные об образовании;
· гражданство; статус (резидент/нерезидент);
· сведения об ИНН, СНИЛС;
· реквизиты счетов субъектов ПДн;
· контактные данные (телефон, электронный адрес, почтовый адрес);
· фото и видеоизображения;
· данные геолокации;
· IP - адрес устройства с которого осуществлен вход в систему;
· источник перехода на сайт и информация поискового или иного запроса;
· данные о пользовательском устройстве (среди которых разрешение, версия и другие атрибуты, характеризующие пользовательское устройство);
· пользовательское взаимодействие с интерфейсом сайта (логи работы с интерфейсами информационных систем, маршруты передвижения, показы и просмотры баннеров, видео, активация разделов, полей и т.д.);
· данные, характеризующие аудиторные сегменты;
· иные сведения о субъекте ПДн в зависимости от оказываемых Оператору услуг и вида договорных отношений.
6.3.Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором осуществляется только при наличии согласия в письменной форме субъекта ПДн.
6.4.Обработка сведений о состоянии здоровья осуществляется в соответствии с Трудовым кодексом РФ, Федеральным законом от 29 ноября 2010 года № 326-ФЗ «Об обязательном медицинском страховании в РФ», а также п. 1 и п.2.3 ч.2 ст.10 Федерального закона № 152-ФЗ.
6.5.Обработка биометрических персональных данных Оператором осуществляется в соответствии со ст.11 Федерального закона № 152-ФЗ.
6.6.Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПДн (или при отсутствии возможности оценки адекватности защиты), может осуществляться Оператором исключительно в случаях исполнения договора, стороной которого является субъект ПДн, либо при наличии согласия в письменной форме субъекта ПДн на трансграничную передачу его ПДн.
7. Правовые основания обработки персональных данных
7.1.Конституция Российской Федерации, глава 14
Трудового кодекса, Гражданский кодекс РФ, Налоговый кодекс РФ, Федеральный
закон от 29.12.2012 г. № 273-ФЗ «Об образовании в Российской Федерации»,
Федеральный закон от 06.12.2011 г. № 402-ФЗ «О бухгалтерском учете»,
Федеральный закон от 08.08.2001 г. № 129-ФЗ «О государственной регистрации
юридических лиц и индивидуальных предпринимателей», Федеральный закон от
01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в
системе обязательного пенсионного страхования», Федеральный закон от
16.07.1999 г. № 165-ФЗ «Об основах обязательного социального страхования»,
Федеральный закон от 29.12.2006 г. № 255-ФЗ «Об обязательном социальном
страховании на случай временной нетрудоспособности и в связи с материнством»,
Федеральный закон от 24.07.1998 г. № 125-ФЗ «Об обязательном социальном
страховании от несчастных случаев на производстве и профессиональных
заболеваний», Федеральный закон от 28.03.1998 г.
№ 53-ФЗ «О воинской обязанности и военной службе», Федеральный закон от
26.02.1997 г. № 31-ФЗ «О мобилизационной подготовке и мобилизации в
Российской Федерации», Приказ Росархива от 20.12.2019 г. № 236 «Об
утверждении Перечня типовых управленческих архивных документов, образующихся в
процессе деятельности государственных органов, органов местного самоуправления
и организаций, с указанием сроков их хранения»;
7.2.Устав Оператора;
7.3.Гражданско-правовые договоры Оператора, стороной которых либо выгодоприобретателем или поручителем, по которым является субъект ПДн;
7.4.Договоры-поручения по которым Университет является лицом, осуществляющим обработку ПДн;
7.5.Согласия на обработку ПДн.
7.6.Трудовые договоры.
8. Основные права и обязанности Оператора и Субъекта персональных данных:
Субъекты ПДн или их законные представители имеют право:
8.1.Субъекты ПДн или их законные представители имеют право:
- получать полную информацию о своих ПДн и обработке этих данных (в том числе автоматизированной);
- осуществлять свободный бесплатный доступ к своим ПДн, включая право получать копии любой записи, содержащей ПДн субъекта, за исключением случаев, предусмотренных законом;
- требовать исключения или исправления неверных, или неполных ПДн, а также данных, обработка которых ведется с нарушением законодательства, уточнения своих ПДн, их блокирования или уничтожения;
- при отказе Оператора или уполномоченного им лица исключить или исправить ПДн субъекта – заявить в письменной форме о своем несогласии, представив соответствующее обоснование;
- отозвать свое согласие на обработку ПДн;
- требовать от Оператора или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные ПДн субъекта, обо всех произведенных в них изменениях или исключениях из них;
- обжаловать в суде любые неправомерные действия или бездействие Оператора, или уполномоченного им лица, осуществляемые при обработке и защите ПДн субъекта;
- требовать прекратить передачу (распространение, предоставление, доступ) своих ПДн, ранее разрешенных для распространения.
8.2.Субъекты ПДн или их законные представители обязаны:
- предоставлять Оператору ПДн, соответствующие действительности;
- своевременно уведомлять Оператора обо всех изменениях ПДн.
8.3.Оператор имеет право:
- осуществлять обработку ПДн при условии наличия законных оснований, соответствия процессов обработки заявленным целям обработки, требованиям законодательства Российской Федерации, положениям настоящей Политики и иным локальным нормативными актам Оператора;
- обрабатывать ПДн Субъекта ПДн в соответствии с заявленной целью;
- требовать от Субъекта ПДн предоставления достоверных ПДн;
- ограничить доступ Субъекта ПДн к его ПДн в случае, если Обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, или если доступ Субъекта ПДн к его ПДн нарушает законные права и интересы третьих лиц, а также в иных случаях, предусмотренных законодательством Российской Федерации;
- обрабатывать персональные данные, разрешенные субъектом персональных данных для распространения, с соблюдением требований ст. 10.1. Федерального закона №152-ФЗ и обезличенных ПДн физических лиц;
- осуществлять обработку ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации;
- поручить обработку ПДн другому лицу с согласия Субъекта ПДн.
8.4.Оператор обязан:
- за свой счет обеспечить защиту ПДн от неправомерного их использования или утраты в порядке, установленном законодательством Российской Федерации;
- предоставлять субъекту ПДн по его запросу информацию, касающуюся обработки его ПДн, либо на законных основаниях предоставить отказ;
- обеспечить субъекту свободный бесплатный доступ к своим ПДн, включая право на получение копий любой записи, содержащей его ПДн, за исключением случаев, предусмотренных законодательством;
- по требованию субъекта ПДн уточнять обрабатываемые ПДн, блокировать или удалять, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- в случае подтверждения факта неточности ПДн, на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов, уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных;
- вести Журнал учета обращений и запросов субъектов ПДн или их представителей и осуществлять контроль за приемом и обработкой таких обращений и запросов;
- уведомлять субъекта ПДн об обработке ПДн в том случае, если ПДн были получены не от субъекта ПДн;
- в случае достижения цели обработки ПДн незамедлительно прекратить обработку ПДн и уничтожить соответствующие ПДн в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено федеральными закона, в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган;
- в случае выявления неправомерности обработки ПДн, в срок, не превышающий трех рабочих дней с даты этого выявления, прекратить обработку ПДн или обеспечить прекращение обработки ПДн лицом, действующим по поручению оператора;
- в случае, если обеспечить правомерность обработки ПДн невозможно, в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожить такие ПДн или обеспечить их уничтожение;
- в случае уничтожения неправомерно обрабатываемых ПДн уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;
- в случае отзыва субъектом ПДн согласия на обработку своих ПДн прекратить обработку ПДн и уничтожить ПДн в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Оператором и субъектом ПДн;
- предоставлять ПДн Субъекта только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей в соответствии с настоящей Политикой и законодательством Российской Федерации;
- опубликовать в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта ПДн информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц ПДн, разрешенных субъектом ПДн для распространения;
- прекратить по требованию субъекта ПДн передачу (распространение, предоставление, доступ) ПДн, ранее разрешенных им для распространения.
9. Порядок и условия обработки персональных данных
9.1. Обработка ПДн Оператором осуществляется следующими способами:
- неавтоматизированная обработка ПДн;
- автоматизированная обработка ПДн с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка ПДн.
9.2. Перечень действий, совершаемых Оператором с ПДн Субъектов ПДн, включает в себя: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
9.3. Сроки обработки ПДн: до достижения цели обработки ПДн, если иные сроки не предусмотрены в согласиях на обработку ПДн, гражданско-правовых договорах или Трудовых договорах с Субъектами ПДн или иных документах, оформляемых Субъектами ПДн.
9.4. Сроки хранения ПДн: не дольше, чем этого требуют цели обработки ПДн и в пределах, установленных сроками хранения документов, установленных приказом Росархива от 20.12.2019 г. № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», сроками исковой давности или иными требованиями законодательства.
9.5. Все ПДн Оператор получает непосредственно от субъекта ПДн, от его представителя либо от лица, поручившего Оператору обработку ПДн, а также от иных третьих лиц, при условии обеспечения третьим лицом законности передачи ПДн Оператору и/или если получение ПДн Оператором предусмотрено законодательством.
9.6. Обработка ПДн осуществляется с согласия субъекта ПДн, за исключением случаев, предусмотренных законодательством. Согласие может быть выражено в различных формах, позволяющих подтвердить факт его получения, в том числе в конклюдентных действиях, в письменном виде в форме отдельного документа, либо в составе какого-либо документа, подписываемого субъектом. Согласие может быть дано представителем субъекта, при предоставлении им доказательств своих полномочий.
9.7. Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случаях, предусмотренных законодательством, обработка ПДн может быть продолжена после отзыва субъектом согласия на обработку.
9.8. При принятии решений, затрагивающих интересы субъекта, Оператор никогда не основывается на результатах обработки ПДн субъекта, полученных исключительно в результате их автоматизированной обработки или электронного получения.
9.9. ПДн не используются в целях причинения имущественного и/или морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.
9.10. Доступ к ПДн имеют работники Оператора, которым ПДн необходимы в связи с исполнением ими должностных обязанностей.
9.11. Передача ПДн Оператора третьим лицам в том числе, находящимся за пределами Российской Федерации (трансграничная передача), осуществляется только с согласия (в установленных законом случаях письменного согласия) Субъекта ПДн, за исключением случаев, предусмотренных законодательством и только при условии принятия таким лицом письменного обязательства об обеспечении конфиденциальности ПДн, обязательство использовать эти данные лишь в целях, для которых они сообщены и только разрешенными способами, а также обязательство принимать необходимые правовые (включая издание Политики в отношении обработки ПДн), организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн. Требования об оформлении указанного письменного обязательства не распространяется на случаи передачи ПДн государственным и муниципальным органам, Пенсионному фонду и прочим государственным внебюджетным фондам, в порядке и в случаях, предусмотренных действующим законодательством. Конкретное наименование и местонахождение соответствующих третьих лиц, цели осуществляемой передачи, объем передаваемых ПДн, перечень действий по их обработке, способы и иные условия обработки, определяются в согласии Субъекта ПДн на обработку ПДн.
9.12. Оператор при оформлении поручения лицу, осуществляющему обработку ПДн по поручению Оператора, обязан обеспечить соблюдение требований ч. 3 ст. 6 Федерального закона №152-ФЗ, в частности определить в таком поручении:
· перечень ПДн;
· перечень действий (операций) с ПДн;
· цели обработки ПДн;
· обязанность соблюдать конфиденциальность ПДн и требования, предусмотренные ч. 5 ст. 18 и ст. 18.1 Федерального закона №152-ФЗ;
· обязанность по запросу Оператора в течение срока действия поручения предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение требований к защите ПДн, установленных законом и поручением;
· обязанность обеспечивать безопасность ПДн при их обработке;
· требования к защите обрабатываемых ПДн в соответствии со ст. 19 Федерального закона №152-ФЗ;
· требование об уведомлении Оператора о случаях, предусмотренных ч. 3.1 ст. 21 Федерального закона №152-ФЗ.
9.13. Оператор вправе передавать ПДн органам дознания и следствия, налоговым органам, органам статистики, федеральным внебюджетным фондам, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
9.14. Оператор вправе создавать общедоступные источники ПДн, в которые могут включаться ПДн субъекта ПДн с его письменного согласия.
9.15. Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, оформляется отдельно от иных согласий субъекта ПДн на обработку его ПДн. Оператор обязан обеспечить субъекту ПДн возможность определить перечень ПДн по каждой категории ПДн, указанной в согласии на обработку ПДн, разрешенных субъектом ПДн для распространения.
9.16. В согласии на обработку ПДн, разрешенных субъектом ПДн для распространения, субъект ПДн вправе установить запреты на передачу (кроме предоставления доступа) этих ПДн Оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих ПДн неограниченным кругом лиц.
9.17. Обработка ПДн, разрешенных субъектом ПДн для распространения, осуществляется Оператором с соблюдением требований ст. 10.1 Федерального закона № 152-ФЗ.
9.18. ПДн при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях ПДн (далее - материальные носители), в специальных разделах или на полях форм (бланков).
9.19. При фиксации ПДн на материальных носителях не допускается фиксация на одном материальном носителе ПДн, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДн используется отдельный материальный носитель.
9.20. Лица, осуществляющие обработку ПДн без использования средств автоматизации, должны быть проинформированы о факте обработки ими ПДн, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки.
9.21. При использовании типовых форм документов, заполняемых субъектом ПДн собственноручно, характер информации в которых предполагает или допускает включение в них ПДн (далее - типовая форма), соблюдаются следующие условия:
9.21.1. Типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки ПДн, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию имя, отчество и адрес субъекта ПДн, источник получения ПДн, сроки обработки ПДн, перечень действий с ПДн, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки ПДн.
9.21.2. Типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку ПДн, осуществляемую без использования средств автоматизации - при необходимости получения письменного согласия на обработку ПДн.
9.21.3. Типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПДн, содержащихся в документе, имел возможность ознакомиться со своими ПДн, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПДн.
9.21.4. Типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо несовместимы.
9.22. ПДн подлежат уничтожению по достижении целей обработки(утраты необходимости в их достижении), по истечении срока хранения, по получении отзыва согласия субъекта персональных данных на их обработку либо по требованию лица, поручившего обработку ПДн в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, либо получения соответствующего обращения.. Уничтожение осуществляется в присутствии комиссии. По итогам составляется акт об уничтожении.
9.23. ПДн подлежат уничтожению в случае выявления факта неправомерной обработки в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных
9.24. Хранение ПДн осуществляется в форме, позволяющей определить Субъекта ПДн, в течение сроков определяемых в соответствии с п. 9.3 настоящей Политики, если иной срок хранения ПДн не установлен законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект ПДн. При осуществлении хранения ПДн Оператор использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона №152-ФЗ.
9.25. При хранении ПДн, обрабатываемых без использования средств автоматизации, соблюдаются следующие условия:
· осуществляется раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях;
· хранение материальных носителей осуществляется в условиях, обеспечивающих сохранность ПДн и исключающих несанкционированный к ним доступ.
10. Сведения о реализуемых требованиях к защите персональных данных
10.1. Оператор при обработке ПДн принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
10.2. Защита ПДн обеспечивается Оператором в установленном действующим законодательством и локальными актами Оператора порядке, путем выполнения комплекса организационно–технических мероприятий, обеспечивающих их безопасность.
10.3. Все меры защиты при сборе, обработке, хранении и передаче ПДн субъекта распространяются как на бумажные, так и на машинные носители информации. Меры по обеспечению безопасности ПДн при их обработке, применяемые Оператором, планируются и реализуются в целях обеспечения соответствия требованиям Федерального закона №152-ФЗ.
10.4. В дополнение к требованиям Федерального закона №152-ФЗ осуществляется комплекс мероприятий, направленных на защиту информации, Оператор руководствуется требованиями и рекомендациями действующего законодательства Российской Федерации, а также лучшими российскими и международными практиками.
10.5. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения требований законодательства Российской Федерации. Оператор, в частности, принял следующие меры:
· в договорах, заключенных между Оператором и контрагентом, предусматривается обязательство сторон о соблюдении требований конфиденциальности ПДн, установленных ст. 7 Федерального закона №152-ФЗ, а также информация о принятии сторонами мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных»;
· разработана и утверждена настоящая Политика Оператора в отношении обработки ПДн и обеспечен к ней доступ неограниченного круга лиц;
· назначено лицо, ответственное за организацию обработки ПДн;
· назначены должностные лица, ответственные за выполнение подразделениями локальных нормативных документов по вопросам обработки ПДн;
· разработаны и внедрены локальные акты по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
· применяются правовые, организационные и технические меры по обеспечению безопасности ПДн;
· осуществляется внутренний контроль соответствия обработки ПДн Федеральному закону №152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике Оператора в отношении обработки ПДн, локальным актам Оператора;
· производится оценка вреда, который может быть причинен субъектам ПДн в случае нарушения требований законодательства о защите ПДн, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством о защите ПДн;
· работники Оператора, непосредственно осуществляющие обработку ПДн, ознакомлены с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику Оператора в отношении обработки ПДн, локальными актами по вопросам обработки ПДн.
11. Актуализация,
исправление, удаление и уничтожение
персональных данных
11.1. Оператор имеет право внести, дополнить, изменить, блокировать или удалить ПДн в соответствии с действующим законодательством о защите ПДн.
11.2. По запросу Субъекта ПДн Оператор обязан:
11.2.1.предоставить информацию, касающуюся обработки его ПДн, в частности:
· подтверждение факта обработки ПДн Оператором;
· правовые основания и цели обработки ПДн;
· цели и применяемые Оператором способы обработки ПДн;
· наименование и место нахождения Оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании закона;
· обрабатываемые персональные данные, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен законом;
· сроки обработки ПДн, в том числе сроки их хранения;
· порядок осуществления субъектом ПДн прав, предусмотренных законом;
· информацию об осуществленной или о предполагаемой трансграничной передаче данных;
· наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу;
·
информацию о способах
исполнения оператором обязанностей, установленных статьей 18.1 настоящего
Федерального закона
№152-ФЗ;
· иные сведения, предусмотренные законом;
11.2.2.уточнить неполные, устаревшие или неточные и ПДн;
11.2.3.обеспечить блокирование или уничтожение ПДн в случае, если они являются незаконно полученными, не являются необходимыми для заявленной цели обработки или отозвано согласие субъекта ПДн.
11.3. Запрос субъекта ПДн или его представителя направляется Оператору в бумажном виде и должен содержать номер основного документа, удостоверяющего личность Субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Субъекта ПДн в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Оператором, подпись Субъекта ПДн или его представителя. При направлении запроса Субъект ПДн может использовать формы, предусмотренные Приложением № 2 к Политике.
11.4.Запрос Субъекта ПДн может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации на электронную почту: adsu@adygnet.ru. Пользователи цифровых платформ Оператора могут отправить запрос с использованием соответствующих средств и(или) сервисов платформы с использованием данных своей учетной записи и при условии прохождения процедуры идентификации.
11.5.При поступлении запроса обращения Субъектов ПДн и их представителей, уполномоченных органов, ответственный работник Оператора регистрирует такой запрос в соответствующих журналах учета обращений и запросов субъектов ПДн.
11.6.Оператор в течении 10 дней с даты получения запроса уведомляет Субъекта ПДн о принятии его к рассмотрению и сроках такого рассмотрения, если иное не предусмотрено законодательством.