Политика в отношении обработки персональных данных в КИУ
Положение о персональных данных обучающихся в КИУ
Положение о персональных данных поступающих на обучение в КИУ
Положение о персональных данных работников КИУ
Регламент о порядке действий при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных в КИУ
ЗАЯВЛЕНИЕ о согласии посетителя сайта Университета на обработку персональных данных, разрешенных посетителем сайта Университета для распространения Университетом
Политика использования файлов cookie
Политика в отношении обработки ПЕРСОНАЛЬНЫХ ДАННЫХ (далее – Политика) в Казанском инновационном университете имени В.Г. Тимирясова (далее – КИУ, Оператор ПДн) представляет собой изложение основополагающих целей, задач и принципов, которыми КИУ руководствуется в своей основной деятельности в отношении обработки ПДн субъектов ПДн КИУ.
Настоящая Политика является основным локальным нормативным документом, определяющим основные цели, задачи, принципы и требования в отношении обработки ПДн субъектов ПДн в КИУ.
Настоящая Политика подготовлена в целях выработки необходимого минимального объема мер, соблюдение которых позволяет организовать законную обработку и защиту сведений, относящихся к ПДн субъектов ПДн КИУ.
Действие Политики распространяется для всех субъектов ПДн КИУ.
Полный текст Политики должен быть размещен на официальном Интернет-сайте КИУ.
После опубликования Политика и документы, подготовленные на ее основе, должны быть надлежащим образом доведены до сведения всех субъектов ПДн КИУ.
Обработка ПДн в КИУ должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
Цели обработки ПДн в КИУ определяются исходя из требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и целей фактически осуществляемой КИУ деятельности, а также деятельности, которая предусмотрена учредительными документами КИУ, и конкретных бизнес-процессов КИУ в конкретных ИСПДн (по филиалам и структурным подразделениям КИУ и их процедурам в отношении категорий субъектов ПДн, определенных настоящей Политикой). Цели обработки ПДн в КИУ уточняются и конкретизируются требованиями Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор).
Законодательство Российской Федерации в области ПДн основывается на Конституции Российской Федерации, на международных документах и нормативно-правовых документах, регламентирующих деятельность в области обработки, распространения и защиты ПДн в Российской Федерации и состоит, в первую очередь, из Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных»), а также других, определяющих случаи и особенности обработки ПДн, нормативно-правовых документов.
ФЗ «О персональных данных» регулирует отношения, связанные с обработкой ПДн Субъектов ПДн, а также закрепляет требования, предъявляемые к операторам ПДн при обработке ПДн.
Правовым основанием обработки ПДн является совокупность правовых актов, во исполнение которых и в соответствии с которыми, КИУ, как оператор ПДн, осуществляет обработку ПДн.
В качестве правового основания обработки ПДн используются:
При подготовке настоящей Политики использовались следующие нормативно-правовые документы законодательства Российской Федерации, а также локальные правовые акты КИУ:
а также иные нормативно-правовые акты, регулирующие вопросы обработки и защиты ПДн в Российской Федерации и, в частности, в КИУ и в его филиалах.
Для целей настоящей Политики используются следующие основные:
ПЕРСОНАЛЬНЫЕ ДАННЫЕ – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту ПДн).
ПЕРСОНАЛЬНЫЕ ДАННЫЕ, РАЗРЕШЕННЫЕ СУБЪЕКТОМ ПЕРСОНАЛЬНЫХ ДАННЫХ ДЛЯ РАСПРОСТРАНЕНИЯ, – ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном ФЗ «О персональных данных».
Оператор ПДн (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
РАСПРОСТРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ – действия, направленные на раскрытие ПДн неопределенному кругу лиц.
ПРЕДОСТАВЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
БЛОКИРОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ – действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн.
ОБЕЗЛИЧИВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.
ИНФОРМАЦИОННАЯ СИСТЕМА ПЕРСОНАЛЬНЫХ ДАННЫХ – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.
ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
АИС – автоматизированная информационная система;
АРМ – автоматизированное рабочее место;
БД – база данных;
ГК РФ – Гражданский кодекс Российской Федерации;
ЕГРЮЛ – единый государственный реестр юридических лиц;
ИБ – информационная безопасность;
ИС – информационная система;
ИТС – информационно-телекоммуникационная сеть;
ИСПДн – информационная система персональных данных;
КоАП РФ – Кодекс Российской Федерации об административных правонарушениях;
КЗ – контролируемая зона;
ЛВС – локальная вычислительная сеть;
НДВ – недекларированные (недокументированные) возможности;
НПА – нормативные правовые акты;
НСД – несанкционированный доступ;
ПДн – персональные данные;
Роскомнадзор – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций;
Рособрнадзор – Федеральная служба по надзору в сфере образования и науки;
СВТ – средства вычислительной техники;
СЗИ – средство защиты информации;
СЗПДн – система защиты персональных данных;
СМИ – средство массовой информации;
СПО – среднее профессиональное образование;
СФР – Социальный Фонд России;
СУБД – система управления базой данных;
СУИБ – система управления информационной безопасностью;
ТК РФ – Трудовой кодекс Российской Федерации;
ТС – технические средства;
УБПДн – угрозы безопасности ПДн;
УК РФ – Уголовный кодекс Российской Федерации
ФНС – Федеральная налоговая служба Российской Федерации;
ФСБ России – Федеральная служба безопасности Российской Федерации;
ФСС – Фонд социального страхования Российской Федерации
ФСТЭК России – Федеральная служба по техническому и экспортному контролю;
ЭП – электронная подпись.
Понятие Персональные данные определено в статье 3 ФЗ «О персональных данных», а именно:
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту ПДн).
К ним можно отнести:
Перечень действий, совершаемых оператором ПДн с ПДн субъектов ПДн, определяется при обработке ПДн.
Понятие Обработка персональных данных является собирательным понятием, имеющим высокую степень важности. Фактически обработка ПДн подразумевает любые операции с ними – от сбора до полного уничтожения ПДн.
Таким образом, ОБРАБОТКА ПДн, в соответствии со ст. 3 ФЗ «О персональных данных», включает в себя любые действия оператора с ПДн, а именно: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн
Все ПДн субъекта ПДн следует получать у него лично (для работника это определено п. 3 ст. 86 Трудового кодекса РФ), причем это допускается только с согласия субъекта ПДн (п. 1 ч. 1 ст. 6 ФЗ «О персональных данных»).
Решение субъекта ПДн о предоставлении своих ПДн должно быть добровольным, какое-либо давление на него недопустимо (ч. 1 ст. 9 ФЗ «О персональных данных»).
Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе (ч. 1 ст. 9 ФЗ «О персональных данных»).
На КИУ, как оператора ПДн, возлагается обязанность предоставить доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия оснований, указанных в ФЗ «О персональных данных» (ч. 3 ст. 9 ФЗ «О персональных данных»).
Согласие на обработку ПДн должно быть конкретным, предметным, информированным, сознательным и однозначным (ч. 1 ст. 9 ФЗ «О персональных данных»).
Если ПДн субъекта ПДн возможно получить только у третьей стороны, то субъект ПДн должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие (для работника это определено п. 3 ст. 86 Трудового кодекса РФ).
Целями получения ПДн субъекта ПДн у третьего лица являются исключительно соблюдение законов и иных нормативных правовых актов, в том числе, в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества (п. 1 ст. 86 Трудового кодекса РФ).
Передача ПДн работника в КИУ должна осуществляться в соответствии со статьей 88 Трудового кодекса РФ.
В этом случае, при передаче ПДн работника КИУ должен соблюдать следующие требования:
Обработка ПДн, разрешенных субъектом ПДн для распространения, регулируется ст. 10.1 ФЗ «О персональных данных».
Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, оформляется отдельно от иных согласий субъекта ПДн на обработку его ПДн.
КИУ, как оператор ПДн, обязан обеспечить субъекту ПДн возможность определить перечень ПДн по каждой категории ПДн, указанной в согласии на обработку ПДн, разрешенных субъектом ПДн для распространения.
Молчание или бездействие субъекта ПДн ни при каких обстоятельствах не может считаться согласием на обработку ПДн, разрешенных субъектом ПДн для распространения.
Содержание и объем обрабатываемых в КИУ ПДн субъектов ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.
Конфиденциальность ПДн определяется статьей 7 ФЗ «О персональных данных» и, в соответствии с ней, КИУ, как оператор ПДн, и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством РФ.
Сведения о ПДн субъектов ПДн КИУ относятся к числу конфиденциальных, составляющих охраняемую законом тайну КИУ.
Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников ПДн по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов.
К общедоступной информации, в соответствии со статьей 7 Федерального Закона РФ от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации» № 149-ФЗ, относятся общеизвестные сведения и иная информация, доступ к которой не ограничен.
Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.
Обладатель информации, ставшей общедоступной по его решению, вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации.
Информация, размещаемая ее обладателями в ИТС «Интернет» в формате, допускающем автоматизированную обработку без предварительных изменений человеком в целях повторного ее использования, является общедоступной информацией, размещаемой в форме открытых данных.
Информация в форме открытых данных размещается в ИТС «Интернет» с учетом требований законодательства Российской Федерации о государственной тайне. В случае, если размещение информации в форме открытых данных может привести к распространению сведений, составляющих государственную тайну, размещение указанной информации в форме открытых данных должно быть прекращено по требованию органа, наделенного полномочиями по распоряжению такими сведениями.
В случае, если размещение информации в форме открытых данных может повлечь за собой нарушение прав обладателей информации, доступ к которой ограничен в соответствии с федеральными законами, или нарушение прав субъектов ПДн, размещение указанной информации в форме открытых данных должно быть прекращено по решению суда. В случае, если размещение информации в форме открытых данных осуществляется с нарушением требований Федерального закона «О персональных данных» от 27 июля 2006 года № 152-ФЗ, размещение информации в форме открытых данных должно быть приостановлено или прекращено по требованию Роскомнадзор’а.
Создание общедоступных источников ПДн в КИУ регламентируется статьей 8 ФЗ «О персональных данных»:
Трансграничная передача ПДн осуществляется в соответствии со статьей 12 ФЗ «О персональных данных» и международными договорами Российской Федерации.
Роскомнадзор утверждает перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн. В перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн, включаются государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн, а также иностранные государства, не являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн, при условии соответствия положениям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер по обеспечению конфиденциальности и безопасности ПДн при их обработке.
Оператор ПДн до начала осуществления деятельности по трансграничной передаче ПДн обязан уведомить уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять трансграничную передачу ПДн. Указанное уведомление направляется отдельно от уведомления о намерении осуществлять обработку ПДн, предусмотренного статьей 22 ФЗ «О персональных данных».
Уведомление, предусмотренное ч. 3 ст. 12 ФЗ «О персональных данных», направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.
Трансграничная передача ПДн может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства, защиты экономических и финансовых интересов Российской Федерации, обеспечения дипломатическими и международно-правовыми средствами защиты прав, свобод и интересов граждан Российской Федерации, суверенитета, безопасности, территориальной целостности Российской Федерации и других ее интересов на международной арене с даты принятия Роскомнадзор'ом решения, предусмотренного ч. 12 ст. 12 ФЗ «О персональных данных».
В соответствии со статьей 3 ФЗ «О персональных данных»:
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
Принципы обработки ПДн устанавливаются ст. 5 ФЗ «О персональных данных», а именно:
Обработка ПДн должна осуществляться с соблюдением принципов и правил, предусмотренных статьей 6 ФЗ «О персональных данных», а именно:
В целях обеспечения прав и свобод человека и гражданина КИУ, как работодатель, и его представители при обработке ПДн работника обязаны соблюдать общие требования при обработке ПДн работника и гарантии их защиты согласно статьи 86 Трудового кодекса РФ:
В случаях, непосредственно связанных с вопросами трудовых отношений и в соответствии со статьей 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
Источником информации обо всех ПДн субъекта ПДн, обрабатываемых в КИУ, является непосредственно сам субъект ПДн.
Обработка ПДн работника может осуществляться исключительно в целях соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения их личной безопасности, контроля количества и качества выполняемой работы и сохранности имущества (статья 86 Трудового кодекса РФ).
КИУ, как Оператор ПДн, не имеет права получать и обрабатывать ПДн субъекта ПДн о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.
В КИУ ПДн субъектов ПДн обрабатываются только для решения и достижения следующих целей:
Указанные цели заявлены КИУ, как Оператором ПДн, в уведомлении в Роскомнадзор о своем намерении осуществлять обработку ПДн субъектов ПДн КИУ.
При предоставлении сведений в Роскомнадзор, предусмотренных ч. 3 ст.22 ФЗ «О персональных данных», КИУ, как Оператор ПДн, для каждой из целей обработки ПДн указывает:
К категориям субъектов ПДн, ПДн которых обрабатываются в КИУ, относятся:
Обработка специальных категорий ПДн регулируется ст. 10 ФЗ «О персональных данных».
Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПДн, не допускается.
Специальную категорию ПДн можно обрабатывать только при наличии согласия в письменной форме субъекта ПДн, за исключением случаев, предусмотренных ч. 2 ст. 10 ФЗ «О персональных данных».
КИУ, как Оператор ПДн, не обрабатывает специальные категории ПДн.
Обработка биометрических категорий ПДн регулируется статьей 11 ФЗ «О персональных данных».
Сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность, т.е. биометрические ПДн, и которые используются КИУ для установления личности субъекта ПДн, могут обрабатываться только при наличии согласия в письменной форме субъекта ПДн, за исключением случаев, предусмотренных ч. 2 ст. 11 ФЗ «О персональных данных».
КИУ, как Оператор ПДн, не обрабатывает биометрические категории ПДн.
фамилия, имя, отчество; дата рождения; место рождения; пол; фотография; семейное положение; сведения о браке; гражданство; социальное положение; сведения о знании иностранного языка; сведения об образовании; сведения о послевузовском профессиональном образовании; сведения об основной профессии; сведения о другой имеющейся профессии; сведения о стаже работы (общий, непрерывный, дающий право на надбавку за выслугу лет); сведения, содержащиеся в личном деле работника; сведения, содержащиеся в карточке унифицированной формы Т-2, утвержденной постановлением Госкомстата России от 05 января 2004 г. № 1; информация, характеризующая лицо как специалиста и позволяющая судить о его профессиональных и иных качествах; сведения в документах о результатах медицинского обследования на предмет годности к осуществлению трудовых обязанностей; сведения о состоянии здоровья (сведения об инвалидности и т.п.); сведения, содержащиеся в документах, связанных с переводом и перемещением работника; сведения, содержащиеся в документах о присвоении почетных званий, ученой степени, награждении государственными наградами; сведения, содержащиеся в наградных листах; сведения, содержащиеся в аттестационных листах; характеристиках и рекомендательных письмах; адрес места жительства (по паспорту, фактический); дата регистрации по месту жительства; номер домашнего телефона; номер мобильного телефона; адрес электронной почты; сведения, находящиеся в бесконтактном цифровом пропуске; отношение к воинской обязанности; сведения о воинском учете (при их наличии); сведения о приеме на работу и переводы на другую работу; сведения об аттестации; сведения о повышении квалификации; сведения о профессиональной переподготовке; сведения о наградах (поощрениях), почетных званиях; сведения из документов, содержащих информацию, необходимую для предоставления гарантий и компенсаций, установленных действующим законодательством; индивидуальный номер налогоплательщика (ИНН); страховой номер индивидуального лицевого счета (СНИЛС); вид работы (основная, по совместительству); сведения о заключенном трудовом договоре (дополнительном соглашении к нему); сведения, содержащиеся в трудовой книжке работника; сведения о составе семьи; сведения, содержащиеся в паспорте или ином документе, удостоверяющем личность; сведения, содержащиеся в свидетельстве о рождении; сведения, содержащиеся в свидетельствах о рождении детей; сведения, содержащиеся в водительском удостоверении; сведения, содержащиеся в справке о наличии (отсутствии) судимости; сведения, содержащиеся в справке о том, является или не является лицо подвергнутым административному наказанию за потребление наркотических средств или психотропных веществ без назначения врача либо новых потенциально опасных психоактивных веществ; сведения о смене фамилии, имени, отчества; список научных трудов; сведения об отпусках; сведения о социальных льготах, на которые работник имеет право в соответствии с законодательством; основание прекращения трудового договора (увольнения); сведения из организационно-распорядительных документов Университета, касающихся трудовой деятельности работника; сведения, собираемые посредством метрических программ.
При предоставлении сведений в уведомлении в Роскомнадзор, предусмотренных ч. 3 ст.22 ФЗ «О персональных данных», КИУ, как оператор ПДн, указал следующие правовые основания обработки ПДн:
При предоставлении сведений в уведомлении в Роскомнадзор, предусмотренных ч. 3 ст. 22 ФЗ «О персональных данных», КИУ, как Оператор ПДн, указал следующий перечень действий при обработке ПДн:
При работе с ПДн субъектов ПДн в КИУ используются следующие способы обработки ПДн:
Сроки прекращения обработки ПДн – согласно договора / письменного согласия.
Условия прекращения обработки ПДн – прекращение деятельности КИУ, как юридического лица.
Для обеспечения безопасности ПДн должны применяться организационные и технические меры по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимые для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн, разработана система защиты информации КИУ.
КИУ, как оператор ПДн, при обработке ПДн обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
Обеспечение безопасности ПДн достигается, согласно п. 2 ст. 19 ФЗ «О персональных данных»:
В соответствии с «Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденном Постановлением Правительства РФ от 15 сентября 2008 г. № 687:
ПДн при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм (бланков).
При фиксации ПДн на материальных носителях не допускается фиксация на одном материальном носителе ПДн, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДн должен использоваться отдельный материальный носитель.
Лица, осуществляющие обработку ПДн без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором ПДн), должны быть проинформированы о факте обработки ими ПДн, обработка которых осуществляется оператором ПДн без использования средств автоматизации, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).
Обработка ПДн, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории ПДн можно было определить места хранения ПДн (материальных носителей) и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.
Необходимо обеспечивать раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях.
При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются КИУ, как оператором ПДн.
Согласно статьи 3 ФЗ «О персональных данных» под автоматизированной обработкой понимается обработка данных с помощью средств вычислительной техники.
Обработка ПДн не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что эти данные содержались в ИСПДн либо были извлечены из нее.
ПДн субъектов ПДн КИУ обрабатывает уполномоченный на это представитель КИУ, который при этом также должен руководствоваться правилами, предусмотренными для обработки ПДн без использования средств автоматизации.
Хранение ПДн, согласно ч. 7 ст. 5 ФЗ «О персональных данных», должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.
Сохранность документов по учету труда и его оплаты должна обеспечиваться работодателем в соответствии со сроками ее хранения, определяемые «Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», утвержденный приказом Федерального архивного агентства от 20 декабря 2019 г. № 236.
При сборе ПДн, в том числе посредством ИТС «Интернет», КИУ, как Оператор ПДн, в соответствии с ч. 5 ст. 18 ФЗ «О персональных данных», обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
Обрабатываемые ПДн, согласно ч. 7 ст. 5 ФЗ «О персональных данных», подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Понятие распространения ПДн определено п. 5 ст. 3 ФЗ «О персональных данных»:
РАСПРОСТРАНЕНИЕ персональных данных – действия, направленные на раскрытие ПДн неопределенному кругу лиц.
В соответствии с п. 1.1 ст. 3 ФЗ «О персональных данных»:
ПЕРСОНАЛЬНЫЕ ДАННЫЕ, РАЗРЕШЕННЫЕ СУБЪЕКТОМ ПЕРСОНАЛЬНЫХ ДАННЫХ ДЛЯ РАСПРОСТРАНЕНИЯ, – ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном ФЗ «О персональных данных».
Операторы и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом (на основании статьи 7 ФЗ «О персональных данных»).
В КИУ ПДн, разрешенные субъектом ПДн для распространения, обрабатываются только для решения и достижения следующих целей:
Указанные цели заявлены КИУ, как Оператором ПДн, в уведомлении в Роскомнадзор о своем намерении осуществлять обработку ПДн субъектов ПДн КИУ.
КИУ передаются на обработку следующий перечень ПДн, разрешенный субъектом ПДн для распространения:
фамилия, имя, отчество; пол; фотография; наименование структурного подразделения; должность; ученая степень; ученое звание; уровень образования; номер рабочего телефона; адрес рабочей электронной почты.
Особенности обработки ПДн, разрешенных субъектом ПДн для распространения определены статьей 10.1 ФЗ «О персональных данных».
Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, оформляется отдельно от иных согласий субъекта ПДн на обработку его ПДн. Оператор ПДн обязан обеспечить субъекту ПДн возможность определить перечень ПДн по каждой категории ПДн, указанной в согласии на обработку ПДн, разрешенных субъектом ПДн для распространения.
В случае раскрытия ПДн неопределенному кругу лиц самим субъектом ПДн без предоставления оператору ПДн согласия, предусмотренного статьей 10.1 ФЗ «О персональных данных», обязанность предоставить доказательства законности последующего распространения или иной обработки таких ПДн лежит на каждом лице, осуществившем их распространение или иную обработку.
Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, может быть предоставлено оператору ПДн:
Требования к содержанию документа заявления о согласии на обработку Пдн, разрешенных субъектом ПДн для распространения, указаны в соответствующем документе, утвержденном приказом Роскомнадзор’а от 24 февраля 2021 г. № 18.
В согласии на обработку ПДн, разрешенных субъектом ПДн для распространения, субъект ПДн вправе установить запреты на передачу (кроме предоставления доступа) этих ПДн оператором ПДн неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих ПДн неограниченным кругом лиц. Отказ оператора ПДн в установлении субъектом ПДн запретов и условий, предусмотренных статьей 10.1 ФЗ «О персональных данных», не допускается.
Установленные субъектом ПДн запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) ПДн разрешенных субъектом ПДн для распространения, не распространяются на случаи обработки ПДн в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.
Действие согласия субъекта ПДн на обработку ПДн, разрешенных субъектом ПДн для распространения, прекращается с момента поступления оператору ПДн требования, указанного в ч. 12 ст. 10.1 ФЗ «О персональных данных».
Понятие уничтожения ПДн определено п. 8 ст.3 ФЗ «О персональных данных»:
УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ – действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн;
Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
ФЗ «О персональных данных» не регламентирует процедуру уничтожения ПДн.
Требования к подтверждению уничтожения ПДн, утверждены приказом Роскомнадзор’а от 28 октября 2022 года № 179.
Оператор ПДн обязан уничтожить обрабатываемые ПДн в следующих случаях, определенных ФЗ «О персональных данных».
К данным случаям относятся:
Порядок документальной фиксации уничтожения ПДн субъекта ПДн определяется оператором ПДн самостоятельно. Уничтожение ПДн субъекта ПДн осуществляется комиссией (либо иным должностным лицом), созданной (уполномоченным) на основании приказа оператора ПДн.
Документальной фиксацией уничтожения ПДн субъекта ПДн является:
Согласно ч. 7 ст. 5 ФЗ «О персональных данных» достижение целей обработки ПДн или утрата необходимости в достижении этих целей является одним из оснований для их уничтожения.
Способом документальной фиксации уничтожения ПДн субъекта ПДн является оформление соответствующего акта. Роскомнадзор определил нормы этих документов в документе «Требованиях к подтверждению уничтожения персональных данных».
Подтверждающим документом уничтожения ПДн является акт об уничтожении ПДн и / или материальных носителей, содержащих ПДн субъектов ПДн. При обработке данных с использованием средств автоматизации также должна использоваться выгрузка из журнала регистрации событий в ИСПДн.
Документы уничтожения ПДн и выгрузка из журнала регистрации событий в ИСПДн подлежат хранению в течение 3 (трех) лет с момента уничтожения ПДн.
В соответствии с ч. 7 ст. 14 ФЗ «О персональных данных» субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
Указанные сведения должны быть предоставлены субъекту ПДн оператором ПДн в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.
В соответствии со статьями 14 и 20 ФЗ «О персональных данных» КИУ, как Оператор ПДн, в случае поступления соответствующего запроса от субъекта ПД:
«Политика в отношении обработки ПДн» – основополагающий обязательный локальный нормативный акт КИУ для применения и соблюдения в информационной среде КИУ требований по обработке ПДн субъектов ПДн, а также для регламентации порядка действий (операций) с ПДн субъектов ПДн. Она устанавливает необходимый минимальный объем мер, соблюдение которых позволяет организовать законную и справедливую обработку и защиту сведений, относящихся к ПДн субъектов ПДн.
Регулирование вопросов обработки ПДн в КИУ осуществляют соответствующие локальные нормативные акты КИУ. Основным из них является «Положение о персональных данных КИУ».
На основе настоящей Политики в КИУ должны быть разработаны и соответствующим образом введены в действие локальные нормативные акты «Положения о персональных данных КИУ» для следующих категорий субъектов ПДн:
Все остальные локальные нормативные документы КИУ в отношении обработки ПДн вышеуказанных категорий субъектов ПДн разрабатываются в соответствии с подготовленными и утвержденными «Положениями о персональных данных КИУ».
Регулирование вопросов ответственности работников за нарушение режима конфиденциальности ПДн в КИУ должно быть определено в локальном нормативном акте КИУ – «Положение об ответственности работников за нарушение режима конфиденциальности ПДн в КИУ».
Действие данного Положения распространяется на всех работников КИУ, имеющих доступ к ПДн субъектов ПДн КИУ, чьи ПДн обрабатываются в КИУ.
Условия реагирования на запросы / обращения субъектов ПДн и их представителей должны быть определены в соответствующем локальном нормативном акте КИУ.
Данный документ подлежит применению исключительно в случаях обращений либо при получении запросов субъектов ПДн или их законных представителей, а также уполномоченного органа по защите прав субъектов ПДн в рамках ФЗ «О персональных данных».
Он должен быть разработан в целях обеспечения прав субъектов ПДн при обращении субъекта ПДн или его законного представителя при организации работ по обработке и защите сведений, относящихся к ПДн субъектов ПДн КИУ.
В данном документе должен быть представлен регламент реагирования на запросы / обращения субъектов ПДн и их представителей, уполномоченных органов по поводу неточности ПДн, неправомерности их обработки, отзыва согласия и доступа субъекта ПДн к своим данным, а также в нем должны быть размещены соответствующие формы запросов / обращений.
«Политика в отношении обработки персональных данных В КАЗАНСКОМ ИННОВАЦИОННОМ УНИВЕРСИТЕТЕ ИМЕНИ В.Г. ТИМИРЯСОВА» подготовлена и разработана руководителем службы защиты информации ЧОУ ВО «Казанский инновационный университет имени В.Г. Тимирясова» Нагаевым Н.Х.