Документы по персональным данным:

Политика в отношении обработки персональных данных в КИУ
Положение о персональных данных обучающихся в КИУ
Положение о персональных данных поступающих на обучение в КИУ
Положение о персональных данных работников КИУ
Регламент о порядке действий при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных в КИУ
ЗАЯВЛЕНИЕ о согласии посетителя сайта Университета на обработку персональных данных, разрешенных посетителем сайта Университета для распространения Университетом
Политика использования файлов cookie

ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ в Казанском инновационном университете имени В.Г. Тимирясова

I. Общие положения

1.1. Назначение и область применения

Политика в отношении обработки ПЕРСОНАЛЬНЫХ ДАННЫХ (далее – Политика) в Казанском инновационном университете имени В.Г. Тимирясова (далее – КИУ, Оператор ПДн) представляет собой изложение основополагающих целей, задач и принципов, которыми КИУ руководствуется в своей основной деятельности в отношении обработки ПДн субъектов ПДн КИУ.

Настоящая Политика является основным локальным нормативным документом, определяющим основные цели, задачи, принципы и требования в отношении обработки ПДн субъектов ПДн в КИУ.

Настоящая Политика подготовлена в целях выработки необходимого минимального объема мер, соблюдение которых позволяет организовать законную обработку и защиту сведений, относящихся к ПДн субъектов ПДн КИУ.

Действие Политики распространяется для всех субъектов ПДн КИУ.

Полный текст Политики должен быть размещен на официальном Интернет-сайте КИУ.

После опубликования Политика и документы, подготовленные на ее основе, должны быть надлежащим образом доведены до сведения всех субъектов ПДн КИУ.

1.2. Цели сбора ПДн

Обработка ПДн в КИУ должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.

Цели обработки ПДн в КИУ определяются исходя из требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и целей фактически осуществляемой КИУ деятельности, а также деятельности, которая предусмотрена учредительными документами КИУ, и конкретных бизнес-процессов КИУ в конкретных ИСПДн (по филиалам и структурным подразделениям КИУ и их процедурам в отношении категорий субъектов ПДн, определенных настоящей Политикой). Цели обработки ПДн в КИУ уточняются и конкретизируются требованиями Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор).

1.3. Правовые основания обработки ПДн

Законодательство Российской Федерации в области ПДн основывается на Конституции Российской Федерации, на международных документах и нормативно-правовых документах, регламентирующих деятельность в области обработки, распространения и защиты ПДн в Российской Федерации и состоит, в первую очередь, из Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных»), а также других, определяющих случаи и особенности обработки ПДн, нормативно-правовых документов.

ФЗ «О персональных данных» регулирует отношения, связанные с обработкой ПДн Субъектов ПДн, а также закрепляет требования, предъявляемые к операторам ПДн при обработке ПДн.

Правовым основанием обработки ПДн является совокупность правовых актов, во исполнение которых и в соответствии с которыми, КИУ, как оператор ПДн, осуществляет обработку ПДн.

В качестве правового основания обработки ПДн используются:

  • федеральные законы и принятые на их основе нормативно-правовые акты, регулирующие отношения, связанные с деятельностью КИУ, как оператора ПДн;
  • уставные документы КИУ;
  • договоры, заключенные между оператором ПДн и субъектом (субъектами) ПДн;
  • согласие на обработку ПДн (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора ПДн).

При подготовке настоящей Политики использовались следующие нормативно-правовые документы законодательства Российской Федерации, а также локальные правовые акты КИУ:

  • Конституция Российской Федерации;
  • Гражданский Кодекс Российской Федерации;
  • Трудовой Кодекс Российской Федерации;
  • Кодекс Российской Федерации об административных правонарушениях;
  • Налоговый Кодекс Российской Федерации;
  • Уголовный Кодекс Российской Федерации;
  • Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных ETS № 108 (Страсбург, 28 января 1981 г.);
  • Федеральный закон от 19 декабря 2005 г. №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
  • Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
  • Федеральный закон от 29 декабря 2012 г. № 273-ФЗ «Об образовании в Российской Федерации»;
  • Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства Российской Федерации от 15 сентября 2008 г. №687;
  • Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные Постановлением Правительства Российской Федерации от 1 ноября 2012 г. №1119;
  • Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденные приказом ФСБ РФ от 10 июля 2014 г. № 378;
  • Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденный приказом Федерального архивного агентства от 20 декабря 2019 г. № 236;
  • Правила размещения на официальном сайте образовательной организации в информационно-телекоммуникационной сети «Интернет» и обновления информации об образовательной организации, утвержденные Постановлением Правительства Российской Федерации от 20 октября 2021 г. № 1801;
  • Требования к структуре официального сайта образовательной организации в информационно-телекоммуникационной сети «Интернет» и формату представления информации, утвержденные приказом Федеральной службы по надзору в сфере образования и науки от 04 августа 2023 г. № 1493;
  • Перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, утвержденный приказом Федеральной службы по надзору в сфере связи, информационных технологий массовых коммуникаций от 5 августа 2022 г. № 128;
  • Требования к подтверждению уничтожения персональных данных, утвержденные приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28 октября 2022 г. № 179;
  • Устав ЧОУ ВО «Казанский инновационный университет имени В.Г. Тимирясова (ИЭУП)»;
  • лицензия на осуществление образовательной деятельности ЧОУ ВО «Казанский инновационный университет имени В.Г. Тимирясова (ИЭУП)» от 07 декабря 2017 года № 2684;
  • договоры, заключаемые между КИУ, как оператором ПДн, с субъектами ПДн КИУ;
  • заявления о согласии субъектов ПДн КИУ на обработку ПДн субъектов ПДн;
  • заявления о согласии субъектов ПДн КИУ на обработку ПДн, разрешенных субъектами ПДн для распространения КИУ;
  • обязательства работников КИУ, имеющих доступ к ПДн субъектов ПДн КИУ, о неразглашении ПДн субъектов ПДн КИУ,

а также иные нормативно-правовые акты, регулирующие вопросы обработки и защиты ПДн в Российской Федерации и, в частности, в КИУ и в его филиалах.

1.4. Глоссарий

Для целей настоящей Политики используются следующие основные:

1.4.1. Термины и определения

ПЕРСОНАЛЬНЫЕ ДАННЫЕ – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту ПДн).

ПЕРСОНАЛЬНЫЕ ДАННЫЕ, РАЗРЕШЕННЫЕ СУБЪЕКТОМ ПЕРСОНАЛЬНЫХ ДАННЫХ ДЛЯ РАСПРОСТРАНЕНИЯ, – ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном ФЗ «О персональных данных».

Оператор ПДн (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

РАСПРОСТРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ – действия, направленные на раскрытие ПДн неопределенному кругу лиц.

ПРЕДОСТАВЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.

БЛОКИРОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).

УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ – действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн.

ОБЕЗЛИЧИВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.

ИНФОРМАЦИОННАЯ СИСТЕМА ПЕРСОНАЛЬНЫХ ДАННЫХ – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.4.2. Перечень сокращений

АИС – автоматизированная информационная система;

АРМ – автоматизированное рабочее место;

БД – база данных;

ГК РФ – Гражданский кодекс Российской Федерации;

ЕГРЮЛ – единый государственный реестр юридических лиц;

ИБ – информационная безопасность;

ИС – информационная система;

ИТС – информационно-телекоммуникационная сеть;

ИСПДн – информационная система персональных данных;

КоАП РФ – Кодекс Российской Федерации об административных правонарушениях;

КЗ – контролируемая зона;

ЛВС – локальная вычислительная сеть;

НДВ – недекларированные (недокументированные) возможности;

НПА – нормативные правовые акты;

НСД – несанкционированный доступ;

ПДн – персональные данные;

Роскомнадзор – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций;

Рособрнадзор – Федеральная служба по надзору в сфере образования и науки;

СВТ – средства вычислительной техники;

СЗИ – средство защиты информации;

СЗПДн – система защиты персональных данных;

СМИ – средство массовой информации;

СПО – среднее профессиональное образование;

СФР – Социальный Фонд России;

СУБД – система управления базой данных;

СУИБ – система управления информационной безопасностью;

ТК РФ – Трудовой кодекс Российской Федерации;

ТС – технические средства;

УБПДн – угрозы безопасности ПДн;

УК РФ – Уголовный кодекс Российской Федерации

ФНС – Федеральная налоговая служба Российской Федерации;

ФСБ России – Федеральная служба безопасности Российской Федерации;

ФСС – Фонд социального страхования Российской Федерации

ФСТЭК России – Федеральная служба по техническому и экспортному контролю;

ЭП – электронная подпись.

II. Общие сведения в отношении обработки ПДн

2.1. Понятие ПДн субъекта ПДн

Понятие Персональные данные определено в статье 3 ФЗ «О персональных данных», а именно:

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту ПДн).

К ним можно отнести:

  • фамилию, имя, отчество;
  • пол, возраст;
  • образование, квалификацию, профессиональную подготовку и сведения о повышении квалификации;
  • место жительства;
  • семейное положение, наличие детей, родственные связи;
  • прочие сведения, которые могут однозначно идентифицировать человека.

2.2. Основные операции с ПДн

Перечень действий, совершаемых оператором ПДн с ПДн субъектов ПДн, определяется при обработке ПДн.

Понятие Обработка персональных данных является собирательным понятием, имеющим высокую степень важности. Фактически обработка ПДн подразумевает любые операции с ними – от сбора до полного уничтожения ПДн.

Таким образом, ОБРАБОТКА ПДн, в соответствии со ст. 3 ФЗ «О персональных данных», включает в себя любые действия оператора с ПДн, а именно: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн

2.3. Получение ПДн

Все ПДн субъекта ПДн следует получать у него лично (для работника это определено п. 3 ст. 86 Трудового кодекса РФ), причем это допускается только с согласия субъекта ПДн (п. 1 ч. 1 ст. 6 ФЗ «О персональных данных»).

Решение субъекта ПДн о предоставлении своих ПДн должно быть добровольным, какое-либо давление на него недопустимо (ч. 1 ст. 9 ФЗ «О персональных данных»).

2.3.1. Получение ПДн от субъекта ПДн

Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе (ч. 1 ст. 9 ФЗ «О персональных данных»).

На КИУ, как оператора ПДн, возлагается обязанность предоставить доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия оснований, указанных в ФЗ «О персональных данных» (ч. 3 ст. 9 ФЗ «О персональных данных»).

Согласие на обработку ПДн должно быть конкретным, предметным, информированным, сознательным и однозначным (ч. 1 ст. 9 ФЗ «О персональных данных»).

2.3.2. Получение ПДн работника от третьих лиц

Если ПДн субъекта ПДн возможно получить только у третьей стороны, то субъект ПДн должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие (для работника это определено п. 3 ст. 86 Трудового кодекса РФ).

Целями получения ПДн субъекта ПДн у третьего лица являются исключительно соблюдение законов и иных нормативных правовых актов, в том числе, в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества (п. 1 ст. 86 Трудового кодекса РФ).

2.4. Передача ПДн работника

Передача ПДн работника в КИУ должна осуществляться в соответствии со статьей 88 Трудового кодекса РФ.

В этом случае, при передаче ПДн работника КИУ должен соблюдать следующие требования:

  • не сообщать ПДн работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных трудовым законодательством или иными федеральными законами;
  • не сообщать ПДн работника в коммерческих целях без его письменного согласия;
  • предупредить лиц, получающих ПДн работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПДн работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен ПДн работников в порядке, установленном трудовым законодательством и иными федеральными законами;
  • осуществлять передачу ПДн работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
  • разрешать доступ к ПДн работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПДн работника, которые необходимы для выполнения конкретных функций;
  • не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
  • передавать ПДн работника представителям работников в порядке, установленном трудовым законодательством и иными федеральными законами, и ограничивать эту информацию только теми ПДн работника, которые необходимы для выполнения указанными представителями их функций.

2.5. Обработка ПДн, разрешенных субъектом ПДн для распространения

Обработка ПДн, разрешенных субъектом ПДн для распространения, регулируется ст. 10.1 ФЗ «О персональных данных».

Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, оформляется отдельно от иных согласий субъекта ПДн на обработку его ПДн.

КИУ, как оператор ПДн, обязан обеспечить субъекту ПДн возможность определить перечень ПДн по каждой категории ПДн, указанной в согласии на обработку ПДн, разрешенных субъектом ПДн для распространения.

Молчание или бездействие субъекта ПДн ни при каких обстоятельствах не может считаться согласием на обработку ПДн, разрешенных субъектом ПДн для распространения.

2.6. Определение содержания и объема обрабатываемых ПДн

Содержание и объем обрабатываемых в КИУ ПДн субъектов ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.

2.7. Конфиденциальность ПДн

Конфиденциальность ПДн определяется статьей 7 ФЗ «О персональных данных» и, в соответствии с ней, КИУ, как оператор ПДн, и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством РФ.

Сведения о ПДн субъектов ПДн КИУ относятся к числу конфиденциальных, составляющих охраняемую законом тайну КИУ.

2.8. Общедоступная информация

Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников ПДн по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов.

2.8.1. Отнесение информации к общедоступной информации

К общедоступной информации, в соответствии со статьей 7 Федерального Закона РФ от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации» № 149-ФЗ, относятся общеизвестные сведения и иная информация, доступ к которой не ограничен.

Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.

Обладатель информации, ставшей общедоступной по его решению, вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации.

Информация, размещаемая ее обладателями в ИТС «Интернет» в формате, допускающем автоматизированную обработку без предварительных изменений человеком в целях повторного ее использования, является общедоступной информацией, размещаемой в форме открытых данных.

Информация в форме открытых данных размещается в ИТС «Интернет» с учетом требований законодательства Российской Федерации о государственной тайне. В случае, если размещение информации в форме открытых данных может привести к распространению сведений, составляющих государственную тайну, размещение указанной информации в форме открытых данных должно быть прекращено по требованию органа, наделенного полномочиями по распоряжению такими сведениями.

В случае, если размещение информации в форме открытых данных может повлечь за собой нарушение прав обладателей информации, доступ к которой ограничен в соответствии с федеральными законами, или нарушение прав субъектов ПДн, размещение указанной информации в форме открытых данных должно быть прекращено по решению суда. В случае, если размещение информации в форме открытых данных осуществляется с нарушением требований Федерального закона «О персональных данных» от 27 июля 2006 года № 152-ФЗ, размещение информации в форме открытых данных должно быть приостановлено или прекращено по требованию Роскомнадзор’а.

2.8.2. Общедоступные источники ПДн

Создание общедоступных источников ПДн в КИУ регламентируется статьей 8 ФЗ «О персональных данных»:

  • В целях информационного обеспечения КИУ могут создаваться общедоступные источники ПДн (в том числе справочники, адресные книги). В общедоступные источники персональных данных КИУ, с письменного согласия субъекта ПДн, могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн, сообщаемые субъектом ПДн.
  • Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников ПДн по требованию субъекта ПДн, либо по решению суда или иных уполномоченных государственных органов.

2.9. Трансграничная передача ПДн

Трансграничная передача ПДн осуществляется в соответствии со статьей 12 ФЗ «О персональных данных» и международными договорами Российской Федерации.

Роскомнадзор утверждает перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн. В перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн, включаются государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн, а также иностранные государства, не являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн, при условии соответствия положениям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер по обеспечению конфиденциальности и безопасности ПДн при их обработке.

Оператор ПДн до начала осуществления деятельности по трансграничной передаче ПДн обязан уведомить уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять трансграничную передачу ПДн. Указанное уведомление направляется отдельно от уведомления о намерении осуществлять обработку ПДн, предусмотренного статьей 22 ФЗ «О персональных данных».

Уведомление, предусмотренное ч. 3 ст. 12 ФЗ «О персональных данных», направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.

Трансграничная передача ПДн может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства, защиты экономических и финансовых интересов Российской Федерации, обеспечения дипломатическими и международно-правовыми средствами защиты прав, свобод и интересов граждан Российской Федерации, суверенитета, безопасности, территориальной целостности Российской Федерации и других ее интересов на международной арене с даты принятия Роскомнадзор'ом решения, предусмотренного ч. 12 ст. 12 ФЗ «О персональных данных».

III. Порядок и условия обработки пдн В КИУ

3.1. Понятие обработки ПДн

В соответствии со статьей 3 ФЗ «О персональных данных»:

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

3.2. Требования к обработке ПДн

3.2.1. Принципы обработки ПДн

Принципы обработки ПДн устанавливаются ст. 5 ФЗ «О персональных данных», а именно:

  1. Обработка ПДн должна осуществляться на законной и справедливой основе.
  2. Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
  3. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
  4. Обработке подлежат только ПДн, которые отвечают целям их обработки.
  5. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДне не должны быть избыточными по отношению к заявленным целям их обработки.
  6. При обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Оператор ПДн должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных, или неточных данных.
  7. Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.2.2. Требования к условиям обработки ПДн субъектов ПДн

Обработка ПДн должна осуществляться с соблюдением принципов и правил, предусмотренных статьей 6 ФЗ «О персональных данных», а именно:

  1. обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
  2. обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора ПДн функций, полномочий и обязанностей;
  3. обработка ПДн необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта ПДн на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
  4. обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом ПДн договор не может содержать положения, ограничивающие права и свободы субъекта ПДн, устанавливающие случаи обработки ПДн несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта ПДн;
  5. обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
  6. обработка ПДн необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта ПДн;
  7. обработка ПДн осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 ФЗ «О персональных данных», при условии обязательного обезличивания ПДн;
  8. осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

3.2.3. Требования к условиям обработки ПДн работников КИУ

В целях обеспечения прав и свобод человека и гражданина КИУ, как работодатель, и его представители при обработке ПДн работника обязаны соблюдать общие требования при обработке ПДн работника и гарантии их защиты согласно статьи 86 Трудового кодекса РФ:

  1. обработка ПДн работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
  2. при определении объема и содержания обрабатываемых ПДн работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом РФ и иными федеральными законами;
  3. все ПДн работника следует получать у него самого. Если ПДн работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения ПДн, а также о характере подлежащих получению ПДн и последствиях отказа работника дать письменное согласие на их получение;
  4. работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области ПДн к специальным категориям ПДн, за исключением случаев, предусмотренных Трудовым кодексом РФ и другими федеральными законами;
  5. работодатель не имеет права получать и обрабатывать ПДне работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом РФ или иными федеральными законами;
  6. при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на ПДн работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
  7. защита ПДн работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном Трудовым кодексом РФ и иными федеральными законами;
  8. работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки ПДн работников, а также об их правах и обязанностях в этой области;
  9. работники не должны отказываться от своих прав на сохранение и защиту тайны;
  10. работодатели, работники и их представители должны совместно вырабатывать меры защиты ПДн работников.

3.3. Особенности обработки ПДн субъектов ПДн в КИУ

В случаях, непосредственно связанных с вопросами трудовых отношений и в соответствии со статьей 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

Источником информации обо всех ПДн субъекта ПДн, обрабатываемых в КИУ, является непосредственно сам субъект ПДн.

Обработка ПДн работника может осуществляться исключительно в целях соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения их личной безопасности, контроля количества и качества выполняемой работы и сохранности имущества (статья 86 Трудового кодекса РФ).

КИУ, как Оператор ПДн, не имеет права получать и обрабатывать ПДн субъекта ПДн о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

3.3.1. Цели обработки ПДн

В КИУ ПДн субъектов ПДн обрабатываются только для решения и достижения следующих целей:

  1. ведение кадрового и бухгалтерского учета КИУ;
  2. обеспечение соблюдения трудового законодательства РФ;
  3. обеспечение соблюдения налогового законодательства РФ;
  4. обеспечение соблюдения пенсионного законодательства РФ;
  5. соблюдение законодательства РФ в сфере образования;
  6. осуществление профессиональной деятельности журналиста и / или законной деятельности средства массовой информации;
  7. осуществление научной, литературной или иной творческой деятельности;
  8. обеспечение пропускного режима на территорию КИУ.

Указанные цели заявлены КИУ, как Оператором ПДн, в уведомлении в Роскомнадзор о своем намерении осуществлять обработку ПДн субъектов ПДн КИУ.

При предоставлении сведений в Роскомнадзор, предусмотренных ч. 3 ст.22 ФЗ «О персональных данных», КИУ, как Оператор ПДн, для каждой из целей обработки ПДн указывает:

  • категории ПДн, обрабатываемых в КИУ;
  • категории субъектов ПДн, ПДн которых обрабатываются в КИУ;
  • правовое основание обработки ПДн;
  • перечень действий с ПДн;
  • способы обработки ПДн.

3.3.2. Категории ПДн субъектов ПДн, обрабатываемые в КИУ

3.3.2.1. Категории субъектов ПДн, ПДн которых обрабатываются в КИУ

К категориям субъектов ПДн, ПДн которых обрабатываются в КИУ, относятся:

  • работники КИУ;
  • соискатели (кандидаты на замещение вакантных должностей в КИУ),
  • родственники работников КИУ;
  • уволенные из КИУ работники;
  • контрагенты (или их законные представители) КИУ;
  • клиенты КИУ;
  • выгодоприобретатели по договорам;
  • субъекты ПДн КИУ, предоставившие согласие на трансграничную передачу ПДн;
  • обучающиеся в КИУ по основным образовательным программам (студенты), их родители (или законные представители);
  • обучающиеся в КИУ по программе подготовки научных и научно-педагогических кадров (аспиранты, докторанты);
  • поступающие на обучение в КИУ по основным образовательным программам (абитуриенты), их родители (или законные представители);
  • обучающиеся в КИУ по дополнительным образовательным программам (слушатели) или их законные представители;
  • члены редколлегии журналов КИУ;
  • авторы журналов КИУ;
  • рецензенты журналов КИУ;
  • посетители сайтов журналов КИУ;
  • участники конференций КИУ (члены программных комитетов, докладчики конференций);
  • участники научных, научно-практических или общественных мероприятий, организуемых на базе КИУ;
  • участники научных исследований, осуществляемых совместно с КИУ, работниками КИУ или обучающимися в КИУ;
  • посетители сайтов конференций КИУ;
  • заказчики обучения;
  • заявители с обращениями (жалобами) к КИУ;
  • физические и юридические лица, состоящие в иных договорных отношениях с КИУ.

3.3.2.2. Специальные категории ПДн

Обработка специальных категорий ПДн регулируется ст. 10 ФЗ «О персональных данных».

Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПДн, не допускается.

Специальную категорию ПДн можно обрабатывать только при наличии согласия в письменной форме субъекта ПДн, за исключением случаев, предусмотренных ч. 2 ст. 10 ФЗ «О персональных данных».

КИУ, как Оператор ПДн, не обрабатывает специальные категории ПДн.

3.3.2.3. Биометрические категории ПДн

Обработка биометрических категорий ПДн регулируется статьей 11 ФЗ «О персональных данных».

Сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность, т.е. биометрические ПДн, и которые используются КИУ для установления личности субъекта ПДн, могут обрабатываться только при наличии согласия в письменной форме субъекта ПДн, за исключением случаев, предусмотренных ч. 2 ст. 11 ФЗ «О персональных данных».

КИУ, как Оператор ПДн, не обрабатывает биометрические категории ПДн.

3.3.2.4. Перечень общих категорий ПДн работников, обрабатываемых в КИУ

фамилия, имя, отчество; дата рождения; место рождения; пол; фотография; семейное положение; сведения о браке; гражданство; социальное положение; сведения о знании иностранного языка; сведения об образовании; сведения о послевузовском профессиональном образовании; сведения об основной профессии; сведения о другой имеющейся профессии; сведения о стаже работы (общий, непрерывный, дающий право на надбавку за выслугу лет); сведения, содержащиеся в личном деле работника; сведения, содержащиеся в карточке унифицированной формы Т-2, утвержденной постановлением Госкомстата России от 05 января 2004 г. № 1; информация, характеризующая лицо как специалиста и позволяющая судить о его профессиональных и иных качествах; сведения в документах о результатах медицинского обследования на предмет годности к осуществлению трудовых обязанностей; сведения о состоянии здоровья (сведения об инвалидности и т.п.); сведения, содержащиеся в документах, связанных с переводом и перемещением работника; сведения, содержащиеся в документах о присвоении почетных званий, ученой степени, награждении государственными наградами; сведения, содержащиеся в наградных листах; сведения, содержащиеся в аттестационных листах; характеристиках и рекомендательных письмах; адрес места жительства (по паспорту, фактический); дата регистрации по месту жительства; номер домашнего телефона; номер мобильного телефона; адрес электронной почты; сведения, находящиеся в бесконтактном цифровом пропуске; отношение к воинской обязанности; сведения о воинском учете (при их наличии); сведения о приеме на работу и переводы на другую работу; сведения об аттестации; сведения о повышении квалификации; сведения о профессиональной переподготовке; сведения о наградах (поощрениях), почетных званиях; сведения из документов, содержащих информацию, необходимую для предоставления гарантий и компенсаций, установленных действующим законодательством; индивидуальный номер налогоплательщика (ИНН); страховой номер индивидуального лицевого счета (СНИЛС); вид работы (основная, по совместительству); сведения о заключенном трудовом договоре (дополнительном соглашении к нему); сведения, содержащиеся в трудовой книжке работника; сведения о составе семьи; сведения, содержащиеся в паспорте или ином документе, удостоверяющем личность; сведения, содержащиеся в свидетельстве о рождении; сведения, содержащиеся в свидетельствах о рождении детей; сведения, содержащиеся в водительском удостоверении; сведения, содержащиеся в справке о наличии (отсутствии) судимости; сведения, содержащиеся в справке о том, является или не является лицо подвергнутым административному наказанию за потребление наркотических средств или психотропных веществ без назначения врача либо новых потенциально опасных психоактивных веществ; сведения о смене фамилии, имени, отчества; список научных трудов; сведения об отпусках; сведения о социальных льготах, на которые работник имеет право в соответствии с законодательством; основание прекращения трудового договора (увольнения); сведения из организационно-распорядительных документов Университета, касающихся трудовой деятельности работника; сведения, собираемые посредством метрических программ.

3.3.3. Правовое основание обработки ПДн

При предоставлении сведений в уведомлении в Роскомнадзор, предусмотренных ч. 3 ст.22 ФЗ «О персональных данных», КИУ, как оператор ПДн, указал следующие правовые  основания обработки ПДн:

  • обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
  • обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом ПДн договор не может содержать положения, ограничивающие права и свободы субъекта ПДн;
  • обработка ПДн необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности КИУ при условии, что при этом не нарушаются права и законные интересы субъекта ПДн.

3.3.4. Перечень действий с обрабатываемыми ПДн

При предоставлении сведений в уведомлении в Роскомнадзор, предусмотренных ч. 3 ст. 22 ФЗ «О персональных данных», КИУ, как Оператор ПДн, указал следующий перечень действий при обработке ПДн:

  • сбор;
  • запись;
  • систематизация;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передача (предоставление, доступ);
  • блокирование;
  • удаление;
  • уничтожение;
  • распространение.

3.3.5. Способы обработки ПДн

При работе с ПДн субъектов ПДн в КИУ используются следующие способы обработки ПДн:

  • смешанный (автоматизированный и неавтоматизированный) способ обработки ПДн (на бумажных, на электронных носителях информации и в ИСПДн);
  • с передачей по ИТС «Интернет»,
  • с передачей по корпоративной вычислительной сети КИУ.

3.3.6. Сроки (условия прекращения) обработки ПДн

Сроки прекращения обработки ПДн – согласно договора / письменного согласия.

Условия прекращения обработки ПДн – прекращение деятельности КИУ, как юридического лица.

3.3.7. Обеспечение безопасности ПДн

Для обеспечения безопасности ПДн должны применяться организационные и технические меры по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимые для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн, разработана система защиты информации КИУ.

3.3.8. Меры по обеспечению безопасности ПДн при их обработке

КИУ, как оператор ПДн, при обработке ПДн обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

Обеспечение безопасности ПДн достигается, согласно п. 2 ст. 19 ФЗ «О персональных данных»:

  1. определением угроз безопасности ПДн при их обработке в ИПДн;
  2. применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;
  3. применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  4. применением для уничтожения ПДн прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации;
  5. оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
  6. учетом машинных носителей ПДн;
  7. обнаружением фактов НСД к ПДн и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них;
  8. восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  9. установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
  10. контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.

3.4. Обработка ПДн без использования средств автоматизации

В соответствии с «Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденном Постановлением Правительства РФ от 15 сентября 2008 г. № 687:

  • обработка ПДн, содержащихся в ИСПДн либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с ПДн, как использование, уточнение, распространение, уничтожение ПДн в отношении каждого из субъектов ПДн, осуществляются при непосредственном участии человека;
  • обработка ПДн не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что ПДн содержатся в ИСПДн либо были извлечены из нее.

3.4.1. Особенности организации обработки ПДн, осуществляемой без использования средств автоматизации

ПДн при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм (бланков).

При фиксации ПДн на материальных носителях не допускается фиксация на одном материальном носителе ПДн, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДн должен использоваться отдельный материальный носитель.

Лица, осуществляющие обработку ПДн без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором ПДн), должны быть проинформированы о факте обработки ими ПДн, обработка которых осуществляется оператором ПДн без использования средств автоматизации, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

3.4.2. Меры по обеспечению безопасности ПДн при их обработке, осуществляемой без использования средств автоматизации

Обработка ПДн, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории ПДн можно было определить места хранения ПДн (материальных носителей) и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.

Необходимо обеспечивать раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях.

При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются КИУ, как оператором ПДн.

3.5. Обработка ПДн с использованием средств автоматизации

Согласно статьи 3 ФЗ «О персональных данных» под автоматизированной обработкой понимается обработка данных с помощью средств вычислительной техники.

Обработка ПДн не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что эти данные содержались в ИСПДн либо были извлечены из нее.

ПДн субъектов ПДн КИУ обрабатывает уполномоченный на это представитель КИУ, который при этом также должен руководствоваться правилами, предусмотренными для обработки ПДн без использования средств автоматизации.

3.6. Хранение и резервирование ПДн

Хранение ПДн, согласно ч. 7 ст. 5 ФЗ «О персональных данных», должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.

3.6.1. Сроки хранения ПДн

Сохранность документов по учету труда и его оплаты должна обеспечиваться работодателем в соответствии со сроками ее хранения, определяемые «Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», утвержденный приказом Федерального архивного агентства от 20 декабря 2019 г. № 236.

3.6.2. Хранение баз данных с ПДн

При сборе ПДн, в том числе посредством ИТС «Интернет», КИУ, как Оператор ПДн, в соответствии с ч. 5 ст. 18 ФЗ «О персональных данных», обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

3.7. Уничтожение ПДн

Обрабатываемые ПДн, согласно ч. 7 ст. 5 ФЗ «О персональных данных», подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

IV. РАСПРОСТРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Понятие распространения ПДн

Понятие распространения ПДн определено п. 5 ст. 3 ФЗ «О персональных данных»:

РАСПРОСТРАНЕНИЕ персональных данных – действия, направленные на раскрытие ПДн неопределенному кругу лиц.

В соответствии с п. 1.1 ст. 3 ФЗ «О персональных данных»:

ПЕРСОНАЛЬНЫЕ ДАННЫЕ, РАЗРЕШЕННЫЕ СУБЪЕКТОМ ПЕРСОНАЛЬНЫХ ДАННЫХ ДЛЯ РАСПРОСТРАНЕНИЯ, – ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном ФЗ «О персональных данных».

Операторы и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом (на основании статьи 7 ФЗ «О персональных данных»).

4.2. Особенности обработки ПДн, разрешенных субъектом ПДн для распространения КИУ

4.2.1. Цели обработки ПДн, разрешенных субъектом ПДн для распространения КИУ

В КИУ ПДн, разрешенные субъектом ПДн для распространения, обрабатываются только для решения и достижения следующих целей:

  1. ведение кадрового и бухгалтерского учета КИУ;
  2. обеспечение соблюдения трудового законодательства РФ;
  3. обеспечение соблюдения налогового законодательства РФ;
  4. обеспечение соблюдения пенсионного законодательства РФ;
  5. соблюдение законодательства РФ в сфере образования;
  6. осуществление профессиональной деятельности журналиста и / или законной деятельности средства массовой информации;
  7. осуществление научной, литературной или иной творческой деятельности.

Указанные цели заявлены КИУ, как Оператором ПДн, в уведомлении в Роскомнадзор о своем намерении осуществлять обработку ПДн субъектов ПДн КИУ.

4.2.2. Перечень ПДн, разрешенных субъектом ПДн для распространения КИУ

КИУ передаются на обработку следующий перечень ПДн, разрешенный субъектом ПДн для распространения:

фамилия, имя, отчество; пол; фотография; наименование структурного подразделения; должность; ученая степень; ученое звание; уровень образования; номер рабочего телефона; адрес рабочей электронной почты.

4.3. Особенности обработки ПДн, разрешенных субъектом ПДн для распространения

Особенности обработки ПДн, разрешенных субъектом ПДн для распространения определены статьей 10.1 ФЗ «О персональных данных».

Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, оформляется отдельно от иных согласий субъекта ПДн на обработку его ПДн. Оператор ПДн обязан обеспечить субъекту ПДн возможность определить перечень ПДн по каждой категории ПДн, указанной в согласии на обработку ПДн, разрешенных субъектом ПДн для распространения.

В случае раскрытия ПДн неопределенному кругу лиц самим субъектом ПДн без предоставления оператору ПДн согласия, предусмотренного статьей 10.1 ФЗ «О персональных данных», обязанность предоставить доказательства законности последующего распространения или иной обработки таких ПДн лежит на каждом лице, осуществившем их распространение или иную обработку.

4.4. Формы предоставления оператору ПДн согласия на обработку ПДн, разрешенных субъектом ПДн для распространения

Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, может быть предоставлено оператору ПДн:

  • непосредственно;
  • с использованием информационной системы Роскомнадзора.

4.5. Согласие субъекта ПДн на обработку ПДн, разрешенных субъектом ПДн для распространения

Требования к содержанию документа заявления о согласии на обработку Пдн, разрешенных субъектом ПДн для распространения, указаны в соответствующем документе, утвержденном приказом Роскомнадзор’а от 24 февраля 2021 г. № 18.

В согласии на обработку ПДн, разрешенных субъектом ПДн для распространения, субъект ПДн вправе установить запреты на передачу (кроме предоставления доступа) этих ПДн оператором ПДн неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих ПДн неограниченным кругом лиц. Отказ оператора ПДн в установлении субъектом ПДн запретов и условий, предусмотренных статьей 10.1 ФЗ «О персональных данных», не допускается.

Установленные субъектом ПДн запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) ПДн разрешенных субъектом ПДн для распространения, не распространяются на случаи обработки ПДн в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

Действие согласия субъекта ПДн на обработку ПДн, разрешенных субъектом ПДн для распространения, прекращается с момента поступления оператору ПДн требования, указанного в ч. 12 ст. 10.1 ФЗ «О персональных данных».

V. УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Понятие уничтожения ПДн

Понятие уничтожения ПДн определено п. 8 ст.3 ФЗ «О персональных данных»:

УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ – действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн;

Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

5.2. Требования к подтверждению уничтожения ПДн

ФЗ «О персональных данных» не регламентирует процедуру уничтожения ПДн.

Требования к подтверждению уничтожения ПДн, утверждены приказом Роскомнадзор’а от 28 октября 2022 года № 179.

5.2.1. Обязательные случаи уничтожения ПДн

Оператор ПДн обязан уничтожить обрабатываемые ПДн в следующих случаях, определенных ФЗ «О персональных данных».

К данным случаям относятся:

  • незаконное получение ПДн или отсутствие необходимости в этих данных (ч. 1 ст. 14 и ч. 3 ст. 20 ФЗ «О персональных данных»);
  • неправомерная обработка ПДн (ч. 3 ст. 21 ФЗ «О персональных данных»);
  • достижение цели обработки ПДн (ч. 4 ст. 21 ФЗ «О персональных данных»);
  • отзыв субъектом ПДн согласия на их обработку (ч. 5 ст. 21 ФЗ «О персональных данных»).

5.2.2. Документальная фиксация уничтожения ПДн

Порядок документальной фиксации уничтожения ПДн субъекта ПДн определяется оператором ПДн самостоятельно. Уничтожение ПДн субъекта ПДн осуществляется комиссией (либо иным должностным лицом), созданной (уполномоченным) на основании приказа оператора ПДн.

Документальной фиксацией уничтожения ПДн субъекта ПДн является:

  • оформление соответствующего акта о прекращении обработки (уничтожения) ПДн;
  • регистрация факта уничтожения ПДн в специальном журнале.

Согласно ч. 7 ст. 5 ФЗ «О персональных данных» достижение целей обработки ПДн или утрата необходимости в достижении этих целей является одним из оснований для их уничтожения.

5.2.3. Оформление акта уничтожения ПДн

Способом документальной фиксации уничтожения ПДн субъекта ПДн является оформление соответствующего акта. Роскомнадзор определил нормы этих документов в документе «Требованиях к подтверждению уничтожения персональных данных».

5.2.4. Хранение документов об уничтожении ПДн

Подтверждающим документом уничтожения ПДн является акт об уничтожении ПДн и / или материальных носителей, содержащих ПДн субъектов ПДн. При обработке данных с использованием средств автоматизации также должна использоваться выгрузка из журнала регистрации событий в ИСПДн.

Документы уничтожения ПДн и выгрузка из журнала регистрации событий в ИСПДн подлежат хранению в течение 3 (трех) лет с момента уничтожения ПДн.

VI. ПРАВОМЕРНОСТЬ ОБРАБОТКИ ПДн

6.1. Права субъекта ПДн

В соответствии с ч. 7 ст. 14 ФЗ «О персональных данных» субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:

  1. подтверждение факта обработки ПДн оператором ПДн;
  2. правовые основания и цели обработки ПДн;
  3. цели и применяемые оператором ПДн способы обработки ПДн;
  4. наименование и место нахождения оператора ПДн, сведения о лицах (за исключением работников оператора ПДн), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором ПДн или на основании федерального закона;
  5. обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  6. сроки обработки ПДн, в том числе сроки их хранения;
  7. порядок осуществления субъектом ПДн прав, предусмотренных ФЗ «О персональных данных»;
  8. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора ПДн, если обработка поручена или будет поручена такому лицу;
  10. информацию о способах исполнения оператором ПДн обязанностей, установленных статьей 18.1 ФЗ «О персональных данных»;
  11. иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами.

Указанные сведения должны быть предоставлены субъекту ПДн оператором ПДн в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.

6.2. Обязанности оператора ПДн при поступлении запроса субъекта ПДн

В соответствии со статьями 14 и 20 ФЗ «О персональных данных» КИУ, как Оператор ПДн, в случае поступления соответствующего запроса от субъекта ПД:

  • Обязан сообщить в порядке, предусмотренном ч. 3 ст. 14 ФЗ «О персональных данных», субъекту ПДн или его представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с этими ПДн при обращении субъекта ПДн или его представителя.
  • Сведения, указанные в ч. 7 ст. 14 ФЗ «О персональных данных» (подраздел 6.1. настоящей Политики), должны быть предоставлены субъекту ПДн оператором ПДн в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.
  • В случае отказа в предоставлении информации о наличии ПДн о соответствующем субъекте ПДн или ПДн субъекту ПДн или его представителю при их обращении либо при получении запроса субъекта ПДн или его представителя оператор ПДн обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение ч. 8 ст. 14 ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа.
  • Обязан предоставить безвозмездно субъекту ПДн или его представителю возможность ознакомления с ПДн, относящимися к этому субъекту ПДн (на основании ч. 3 ст. 20 ФЗ «О персональных данных»).

VII. ДОКУМЕНТАЛЬНОЕ ПОДТВЕРЖДЕНИЕ ОБРАБОТКИ ПДн В КИУ

7.1 Документационное обеспечение обработки ПДн в КИУ

«Политика в отношении обработки ПДн» – основополагающий обязательный локальный нормативный акт КИУ для применения и соблюдения в информационной среде КИУ требований по обработке ПДн субъектов ПДн, а также для регламентации порядка действий (операций) с ПДн субъектов ПДн. Она устанавливает необходимый минимальный объем мер, соблюдение которых позволяет организовать законную и справедливую обработку и защиту сведений, относящихся к ПДн субъектов ПДн.

Регулирование вопросов обработки ПДн в КИУ осуществляют соответствующие локальные нормативные акты КИУ. Основным из них является «Положение о персональных данных КИУ».

На основе настоящей Политики в КИУ должны быть разработаны и соответствующим образом введены в действие локальные нормативные акты «Положения о персональных данных КИУ» для следующих категорий субъектов ПДн:

  • работники КИУ;
  • обучающиеся в КИУ;
  • поступающие на обучение в КИУ.

Все остальные локальные нормативные документы КИУ в отношении обработки ПДн вышеуказанных категорий субъектов ПДн разрабатываются в соответствии с подготовленными и утвержденными «Положениями о персональных данных КИУ».

7.2. Ответственность работников КИУ за нарушение режима конфиденциальности ПДн

Регулирование вопросов ответственности работников за нарушение режима конфиденциальности ПДн в КИУ должно быть определено в локальном нормативном акте КИУ – «Положение об ответственности работников за нарушение режима конфиденциальности ПДн в КИУ».

Действие данного Положения распространяется на всех работников КИУ, имеющих доступ к ПДн субъектов ПДн КИУ, чьи ПДн обрабатываются в КИУ.

7.3. Реагирование на запросы / обращения субъектов ПДн и их законных представителей

Условия реагирования на запросы / обращения субъектов ПДн и их представителей должны быть определены в соответствующем локальном нормативном акте КИУ.

Данный документ подлежит применению исключительно в случаях обращений либо при получении запросов субъектов ПДн или их законных представителей, а также уполномоченного органа по защите прав субъектов ПДн в рамках ФЗ «О персональных данных».

Он должен быть разработан в целях обеспечения прав субъектов ПДн при обращении субъекта ПДн или его законного представителя при организации работ по обработке и защите сведений, относящихся к ПДн субъектов ПДн КИУ.

В данном документе должен быть представлен регламент реагирования на запросы / обращения субъектов ПДн и их представителей, уполномоченных органов по поводу неточности ПДн, неправомерности их обработки, отзыва согласия и доступа субъекта ПДн к своим данным, а также в нем должны быть размещены соответствующие формы запросов / обращений.

«Политика в отношении обработки персональных данных В КАЗАНСКОМ ИННОВАЦИОННОМ УНИВЕРСИТЕТЕ ИМЕНИ В.Г. ТИМИРЯСОВА» подготовлена и разработана руководителем службы защиты информации ЧОУ ВО «Казанский инновационный университет имени В.Г. Тимирясова» Нагаевым Н.Х.





Подпишись на новости, будь в курсе вместе с "КИУ" (ИЭУП)

Версия сайта для слабовидящих присутствует