Положение об обработке и защите персональных данных в РГУФКСМиТ

 

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Субъект персональных данных – физическое лицо, персональные данные которого обрабатываются Оператором.

Законный представитель субъекта ПДн – это гражданин, который в силу закона выступает во всех учреждениях и организациях от имени и в защиту личных и имущественных прав и законных интересов недееспособных, ограниченно дееспособных граждан, либо дееспособных, но в силу своего физического состояния (по возрасту, болезни и т.п.) не могущих лично осуществлять свои права и выполнять свои обязанности. В качестве законных представителей выступают родители, усыновители, опекуны и попечители. Далее по тексту настоящего Положения под субъектом ПДн будет подразумеваться также законный представитель субъекта ПДн.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Целостность информации – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.

Доступность информации – состояние информации (ресурсов информационной системы), при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно.

Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Врачебная тайна – соблюдение конфиденциальности информации о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иных сведений, полученных при его обследовании и лечении.

Специальные категории ПДн – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

 

Настоящее Положение разработано в соответствии с требованиями следующих нормативно-правовых документов в области защиты ПДн:

• Федеральный закон Российской Федерации от 27 июля 2006 г. №152-ФЗ «О персональных данных»;

• Федеральный закон Российской Федерации от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»;

• Постановление Правительства Российской Федерации от 1 ноября 2012г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

• Постановление Правительства Российской Федерации от 15.09.2008г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

• Приказ ФСТЭК России от 18 февраля 2013г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

• Приказ Роскомнадзора от 05.09.2013г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных».

 

 

1.1. Настоящее  Положение  об  обработке и защите персональных данных (далее – Положение) в Федеральном государственном бюджетном образовательном учреждении высшего образования «Российский государственный университет физической культуры, спорта, молодежи и туризма (ГЦОЛИФК)» (далее – Оператор, РГУФКСМиТ) определяет принципы сбора, обработки,  хранения, передачи и защиты персональных данных (далее – ПДн) физических лиц (далее – субъекты ПДн), реализуемые в РГУФКСМиТ.

1.2. Цель сбора и обработки ПДн – осуществление и выполнение функций, полномочий и обязанностей, возложенных на РГУФКСМиТ законодательством Российской Федерации, Уставом РГУФКСМиТ для обеспечение следующих видов деятельности:

• образовательной;

• научной;

• финансовой;

• кадровой;

• медицинской;

• деятельности при выполнении гражданско-правовых договоров.

1.3. Действие  настоящего  Положения  распространяется  на  все  процессы  по  сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передаче (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению ПДн, осуществляемых как с использованием средств автоматизации, так без использования таких средств.

1.4. Настоящее Положение вступает в силу с момента его утверждения ректором университета и действует бессрочно. Все изменения в Положение вносятся приказом ректора.

1.5. Все работники, допущенные к обработке ПДн, должны быть ознакомлены с настоящим Положением под роспись. 

 

 

2.1. Состав  ПДн  соответствует  целям  сбора  ПДн  согласно  пункту 1.2. настоящего Положения и зависит от категорий субъектов ПДн.

 

2.2. Категории субъектов ПДн, обрабатываемых в РГУФКСМиТ:

• работники – физические лица, вступившие в трудовые отношения с работодателем РГУФКСМиТ;

• поступающие (абитуриенты) – физические лица, поступающие в РГУФКСМиТ;

• обучающиеся – физические лица (слушатели курсов, студенты, аспиранты, экстерны и т.п.);

• выпускники – физические лица, завершившие освоение образовательной программы в РГУФКСМиТ;

• контрагенты – физические лица и лица, представляющие юридических лиц, с которыми заключаются договора;

• посетители – физические лица, не являющиеся работниками или обучаемыми РГУФКСМиТ, осуществляющие посещение территории РГУФКСМиТ на разовой или временной основе;

• соискатели – физические лица, подавшие свои резюме на соискание вакансий или ученой степени;

• пациенты – физические лица, обратившиеся в поликлинику РГУФКСМиТ с целью получения медицинского обслуживания;

• участники мероприятий – физические лица, принимающие участие в научных, спортивных, культурно-массовых мероприятиях и олимпиадах, организованных и проводимых в РГУФКСМиТ; 

• законные представители субъектов персональных данных.

 

2.3. Состав ПДн для различных категорий субъектов приведен в формах Согласия для различных категорий субъектов,  Приложение 1 настоящего Положения.

 

 

3.1. Основные условия и принципы проведения обработки ПДн.

3.1.1. Обработка ПДн может осуществляться исключительно в целях обеспечения соблюдения Конституции Российской Федерации, законов и иных нормативных правовых актов Российской Федерации, содействия субъектам ПДн в трудоустройстве, продвижении по службе, обучении, контроля количества и качества выполняемой работы, обеспечения личной безопасности субъекта ПДн и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества и имущества Оператора.

3.1.2. ПДн не могут быть использованы в целях причинения имущественного и/или морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.

3.1.3. Получение  информации  о  здоровье субъектов ПДн, кроме пациентов,  производится  только  в  объеме, необходимом для определения возможности выполнения трудовых обязанностей или для определения возможности выполнения учебной программы.

3.1.4. При принятии решений, затрагивающих интересы субъекта ПДн, нельзя основываться на ПДн, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.1.5. Субъекты ПДн в обязательном порядке должны быть ознакомлены с настоящим Положением. 

3.1.6. Субъекты ПДн, не являющиеся работниками имеют право ознакомиться с документами Университета, устанавливающими порядок обработки ПДн субъектов, а также об их правах и обязанностях в этой области, в том числе на официальном сайте Оператора.

3.1.7. Субъекты ПДн не должны отказываться от своих прав на сохранение и защиту тайны.

3.1.8. Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей, не допускается обработка ПДн, несовместимая с целями сбора ПДн.

3.1.9. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

3.1.10. Обработке подлежат только ПДн, которые отвечают целям их обработки.

3.1.11. При обработке ПДн обеспечена точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн, Оператор принимает необходимые меры по удалению или уточнению неполных или неточных данных.

3.1.12. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются статьями 10 и 11 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".

3.1.13. В целях информационного обеспечения могут создаваться общедоступные источники ПДн (в том числе справочники, адресные книги). В общедоступные источники ПДн с письменного согласия субъекта ПДн могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом ПДн.

3.1.14. Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение Оператора). Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом. В поручении Оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со статьей 19 Федерального закона.

3.1.15. Лицо, осуществляющее обработку ПДн по поручению Оператора, не обязано получать согласие субъекта ПДн на обработку его персональных данных.

3.1.16. В случае, если Оператор поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Оператор. Лицо, осуществляющее обработку ПДн по поручению Оператора, несет ответственность перед Оператором.

3.1.17. Сведения о факте обращения пациента за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну.

3.1.18. Разглашение сведений, составляющих врачебную тайну, допускается только с письменного согласия пациента или его законного представителя, либо в случаях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных".

 

3.2. Получение персональных данных.

3.2.1. Сбор, накопление, хранение, изменение, использование и передача ПДн осуществляется только при условии наличия согласия субъекта ПДн  (Приложение 1). ПДн, необходимые для трудоустройства, предоставляются субъектом ПДн лично.

3.2.2. Обработка ПДн без получения письменного согласия субъекта ПДн допускается в соответствии с действующим законодательством, а именно:

• обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством на Оператора функций, полномочий и обязанностей;

• обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

• обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;

• обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;

• обработка ПДн необходима для осуществления прав и законных интересов Оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;

• обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;

• обработка ПДн необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта ПДн;

• обработка ПДн осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПДн. Исключение составляет обработка ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации;

• осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн, либо по его просьбе;

• осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

3.2.4. Согласие на обработку ПДн может быть отозвано субъектом ПДн. Форма отзыва согласия на обработку ПДн представлена в Приложении 2 к настоящему Положению.

3.2.5. В случаях, когда Оператор может получить необходимые ПДн субъекта только у третьей стороны, субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. В уведомлении Оператор обязан сообщить о целях, способах и источниках получения ПДн, а также о характере подлежащих получению ПДн и возможных последствиях отказа субъекта дать письменное согласие на их получение. Согласие оформляется в письменной форме в двух экземплярах, один из которых предоставляется субъекту, второй хранится у Оператора. Форма согласия субъекта на получение его ПДн от третьей стороны представлена в Приложении 3 к настоящему Положению.

3.2.6. Оператор не вправе требовать ПДн субъекта, раскрывающие информацию о его национальности и расовой принадлежности, политических и религиозных убеждениях и о его частной жизни.

 

3.3. Обработка персональных данных и организация внутреннего доступа работников к персональным данным

3.3.1. Обработка ПДн в РГУФКСМиТ осуществляется следующими способами:

• автоматизированная (с использованием средств автоматизации, в информационных системах персональных данных (ИСПДн);

• неавтоматизированная (без использования средств автоматизации, на бумажных носителях).

3.3.2. Правила обработки и использования ПДн устанавливаются инструкциями и другими внутренними нормативными документами для персонала по обеспечению безопасности ПДн при их обработке.

3.3.3. Перечень структурных подразделений, в которых осуществляется обработка ПДн, приведен в Приложении 4 к настоящему Положению.

3.3.4. Право доступа к персональным данным имеют работники РГУФКСМиТ, которым ПДн необходимы для исполнения их непосредственных должностных обязанностей. Список должностей работников РГУФКСМиТ, имеющих доступ к ПДн приведен в Приложении 5 к настоящему Положению.

3.3.5. Работник РГУФКСМиТ допускается к обработке ПДн только после ознакомления с положениями законодательства Российской Федерации о персональных данных, с внутренними нормативными документами РГУФКСМиТ, регламентирующими обработку ПДн, под роспись в Листах ознакомления, а также после подписания Обязательства о неразглашении ПДн. Формы Листа ознакомления и Обязательства представлены в Приложениях 6 и 7 к настоящему Положению.

 

3.4. Хранение персональных данных

3.4.1. Хранение персональных данных субъектов осуществляется на бумажных и/или электронных носителях с соблюдением предусмотренных нормативно правовыми актами Российской Федерации мер по защите ПДн.

3.4.2. Перечень структурных подразделений, в которых осуществляется хранение ПДн, приведен в Приложении 8 к настоящему Положению.

3.4.3. Срок хранения ПДн субъектов определяется целями обработки ПДн. Обрабатываемые ПДн подлежат уничтожению по достижении целей обработки, или в случае утраты необходимости в достижении этих целей.

3.4.4. ПДн, для которых предусмотрено архивное хранение, приобретают статус архивного документа. Срок хранения архивных документов составляет 50 лет. По истечении срока хранения они подлежат уничтожению.

 

3.5. Передача персональных данных третьим лицам и внешний доступ к персональным данным

3.5.1. Оператор обязуется и обязует иных лиц, получивших доступ к ПДн, не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законом.

3.5.2. Внешний доступ к персональным данным субъекта может осуществляться в случаях межведомственного запроса о представлении документов и информации, необходимых для предоставления государственных и муниципальных услуг, в рамках межведомственного информационного взаимодействия, в соответствии с требованиями статьи 7.2 Федерального закона № 210-ФЗ от 27 июля 2010 г. «Об организации предоставления государственных и муниципальных услуг».

3.5.3. Страховые общества, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения, в которые субъект может осуществлять перечисления денежных средств, могут получить доступ к персональным данным субъекта только в случае письменного согласия субъекта.

 

3.6. Трансграничная передача персональных данных

3.6.1. РГУФКСМиТ не производит трансграничную передачу ПДн.

 

3.7. Уничтожение персональных данных

3.7.1. В случае достижения цели обработки Оператор прекращает обработку ПДн, если иное не предусмотрено договором между Оператором и субъектом ПДн.

3.7.2. В случае отзыва субъектом ПДн согласия на обработку своих ПДн Оператор прекращает их обработку, если иное не предусмотрено договором между Оператором и субъектом ПДн, либо если Оператор вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных законодательством Российской Федерации.

3.7.3. В случае выявления неправомерной обработки Оператор предпринимает меры по блокированию таких ПДн и обеспечивает уничтожение ПДн в срок, не превышающий 5-ти рабочих дней со дня выявления неправомерной обработки ПДн, если иной срок не установлен законодательством Российской Федерации.

3.7.4. В случае если уничтожение ПДн было произведено по результатам обработки обращения субъекта ПДн и (или) запроса уполномоченного органа по защите прав субъектов ПДн, о предпринятых действиях Оператор уведомляет субъекта ПДн и (или) уполномоченный орган по защите прав субъектов ПДн.

3.7.5. Уничтожение ПДн производится в соответствии с актуальными внутренними процессами РГУФКСМиТ.

3.7.6. Уничтожение ПДн при неавтоматизированной обработке:

• уничтожение части ПДн, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (например, вымарыванием);

• уничтожение бумажных носителей ПДн осуществляется механическим способом (например, с помощью шредера);

• после уничтожения материальных носителей подписывается Акт об уничтожении по форме, приведенной в Приложении 9 к настоящему Положению;

• накапливаемые для уничтожения документы, копии документов, черновики, содержащие ПДн, хранятся отдельно.

3.7.7. Уничтожение ПДн при автоматизированной обработке:

• уничтожение ПДн на электронных носителях осуществляется с помощью удаления файлов содержащих ПДн, без физического уничтожения носителя, например, путем стирания информации с использованием сертифицированного программного обеспечения с гарантированным уничтожением;

• после уничтожения электронных носителей подписывается Акт об уничтожении (Приложение 9).

 

3.8. Защита персональных данных

3.8.1. При обработке ПДн Оператор принимает необходимые организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн в порядке, установленном законодательством Российской Федерации.

3.8.2. Обеспечение безопасности ПДн достигается, в частности:

• определение угроз безопасности ПДн при их обработке в  информационных  системах ПДн;

• применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн;

• предотвращение внедрения в информационные системы вредоносных программ;

• использование, при необходимости, защищенных каналов связи;

• определение мест хранения материальных носителей ПДн;

• обнаружением фактов несанкционированного доступа к ПДн и принятием необходимых мер;

• контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.

 

 

4.1. Субъекты ПДн в целях обеспечения защиты своих персональных данных имеют право:

• получать полную информацию о своих ПДн и обработке этих данных (в том числе, автоматизированной);

• осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей ПДн работника, за исключением случаев, предусмотренных федеральным законом;

• требовать исключения или исправления неверных или неполных ПДн, а также данных, обработанных с нарушением законодательства;

• при отказе Оператора или уполномоченного им лица исключить или исправить ПДн субъекта – заявить в письменной форме о своем несогласии, представив соответствующее обоснование;

• дополнить ПДн оценочного характера заявлением, выражающим его собственную точку зрения;

• требовать от Оператора или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные ПДн субъекта, обо всех произведенных в них изменениях или исключениях из них;

• обжаловать в суд любые неправомерные действия или бездействие Оператора или уполномоченного им лица при обработке и защите ПДн субъекта.

4.2. Субъект ПДн обязуется предоставлять персональные данные, соответствующие действительности.

 

 

5.1. В целях обеспечения защиты ПДн субъектов Оператор обязан:

• ознакомить работника или его представителей с настоящим Положением и его правами в области защиты ПДн под расписку;

• ознакомить субъекта ПДн, не являющегося работником, или в случае недееспособности либо несовершеннолетия субъекта, его законных представителей с настоящим Положением и его правами в области защиты ПДн;

• осуществлять передачу ПДн субъекта только в соответствии с настоящим Положением и законодательством Российской Федерации;

• предоставлять ПДн субъекта только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей в соответствии с настоящим Положением и  законодательством Российской Федерации;

• обеспечить субъекту свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его ПДн, за исключением случаев, предусмотренных законодательством;

• по требованию субъекта предоставить ему полную информацию о его ПДн и обработке этих данных.

5.2. Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации.

5.3. Оператор обязан проводить мероприятия по защите ПДн, согласно разделу 3.8. настоящего Положения с соблюдением предусмотренных нормативно правовыми актами Российской Федерации мер по защите ПДн.

 

 

6.1. Лица, виновные в нарушении норм, регулирующих порядок получения, обработки и защиты ПДн, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами Российской Федерации.

6.2. Ответственность за соблюдение требований законодательства Российской Федерации при обработке и использовании ПДн возлагается на руководителей структурных подразделений и конкретных должностных лиц, обрабатывающих ПДн.