ГБПОУ ДЗМ «МК № 2»        Тел: +7 (495) 476-36-17        E-mail: mk2@zdrav.mos.ru
МК № 2 / ПОЛИТИКА ГБПОУ ДЗМ «МК № 2» в отношении обработки персональных данных
     

СОГЛАСОВАНА

Профсоюзным комитетом

ГБПОУ ДЗМ «МК № 2»

(протокол от 03.02.2023 г. № 15)

УТВЕРЖДЕНА

приказом ГБПОУ ДЗМ «МК № 2»

от «13» февраля 2023 г. № 29-о

ПОЛИТИКА

ГБПОУ ДЗМ «МК № 2» в отношении обработки персональных данных

1. Общие положения

1.1. Политика ГБПОУ ДЗМ «МК № 2» в отношении обработки персональных данных (далее - Политика) разработана во исполнение требований Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных) в целях выполнения ГБПОУ ДЗМ «МК № 2» (далее – Оператор) обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами.

1.2. Настоящая Политика определяет для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

1.3. Настоящая Политика действует в отношении всех персональных данных, которые обрабатывает Оператор.

1.4. В Политике Оператора используются следующие основные понятия:

- персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

- оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

- обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

- автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

- распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

- предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

- блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

- уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

- обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

- информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

- трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.5. Основные права и обязанности Оператора.

1.5.1. Оператор имеет право:

- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;

- поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Законом о персональных данных, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;

- в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.

1.5.2. Оператор обязан:

- организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;

- отвечать на обращения и запросы субъекта персональных данных или его представителя в соответствии с требованиями Закона о персональных данных;

- сообщать при получении запроса уполномоченного органа по защите прав субъектов персональных данных необходимую информацию в соответствии с требованиями Закона о персональных данных;

- устранять нарушения законодательства, допущенные при обработке персональных данных при обращении или запросу субъектов персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных в соответствии с требованиями Закона о персональных данных;

- уведомлять уполномоченный орган по защите прав персональных данных о своем намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных, а также о необходимости внесения изменений в сведения об Операторе, содержащихся в реестре операторов.

1.6. Основные права субъекта персональных данных.

1.6.1. Субъект персональных данных имеет право:

- получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами;

- требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

1.7. Контроль исполнения требований настоящей Политики возлагается на ответственного за организацию обработки персональных данных у Оператора.

2. Цели сбора персональных данных

2.1. Обработка персональных данных Оператором ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.2. Обработке подлежат только персональные данные, которые отвечаютцелям их обработки.

2.3. Оператор, в соответствии с лицензией на образовательную деятельность, производит обработку персональных данных при осуществлении и выполнении возложенных законодательством РФ на него функций, полномочий и обязанностей с целью:удовлетворения общественной потребности в подготовке квалифицированных кадров среднего и младшего медицинского персонала, реализации основных образовательных программ среднего профессионального образования; основных образовательных программ профессионального обучения; дополнительных профессиональных программ (программ повышения квалификации и программ профессиональной переподготовки); дополнительных общеобразовательных программ.

3. Правовые основания обработки персональных данных

3.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:

- Конституция Российской Федерации;

- Гражданский кодекс Российской Федерации;

- Трудовой кодекс Российской Федерации;

- Налоговый кодекс Российской Федерации;

- Федеральный закон от 12.02.1998 г. № 28-ФЗ «О гражданской обороне»;

- Федеральный закон от 26.02.1997 г. № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации»;

- Федеральный закон от 28.03.1998 г. № 53-ФЗ «О воинской обязанности и военной службе»;

- Федеральный закон от 31.05.1996 г. № 61-ФЗ «Об обороне»;

- Федеральный закон от 21.12.1994 г. № 69-ФЗ «О пожарной безопасности»;

- Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информатизации, информационных технологиях и защите информации»;

- Федеральный закон от 15.12.2001 г. № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;

- Федеральный закон от 29.12.2012 г. № 273-ФЗ «Об образовании в Российской Федерации»;

- Федеральный закон от 06.12.2011 г. № 402-ФЗ «О бухгалтерском учете»;

- Устав Оператора;

- иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора;

- договоры, заключаемые между Оператором и субъектами персональных данных с согласием субъектов персональных данных на обработку персональных данных;

- согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Оператора).

4. Объемы и категории обрабатываемых персональных данных, категории субъектов персональных данных

4.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренных настоящей Политикой. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

4.2. Оператор в рамках исполнения п. 2.3. настоящей Политики может обрабатывать следующие персональные данные категорий субъектов персональных данных:

4.2.1. Работников Оператора, в том числе бывших:

- фамилия, имя, отчество (при наличии) (в том числе прежние в случае их изменения);

- число, месяц, год рождения;

- место рождения;

- личная фотография;

- сведения о гражданстве (в том числе о предыдущих гражданствах, иных гражданствах);

- вид, серия, номер документа, удостоверяющего личность гражданина Российской Федерации, дата выдачи, наименование органа, выдавшего его;

- адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;

- номер телефона или сведения о других способах связи;

- адрес электронной почты;

- реквизиты страхового свидетельства обязательного пенсионного страхования;

- идентификационный номер налогоплательщика;

- реквизиты страхового медицинского полиса обязательного медицинского страхования;

- реквизиты свидетельства государственной регистрации актов гражданского состояния;

- реквизиты свидетельства о рождении ребенка;

- сведения о семейном положении;

- сведения о составе семьи: степень родства, фамилии, имена, отчества (при наличии), даты рождения, места рождения;

- сведения о трудовой деятельности, включая работу по совместительству, предпринимательскую и иную деятельность, военную службу;

- сведения о воинском учете и реквизиты документов воинского учета (серия, номер, дата выдачи документов воинского учета, наименование органа, выдавшего его);

- сведения об образовании (когда и какие образовательные, научные и иные организации окончил, номера документов об образовании, направление подготовки или специальность по документу об образовании, квалификация);

- сведения о послевузовском профессиональном образовании: аспирантура, адъюнктура, докторантура и другие (наименование образовательного или научного учреждения, год окончания);

- сведения об ученой степени и ученом звании (когда присвоено, номера дипломов, аттестатов);

- сведения о наличии (отсутствии) у гражданина заболеваний, результаты обязательных медицинских осмотров (обследований), а также обязательного психиатрического освидетельствования;

- сведения о наличии (отсутствии) судимости;

- сведения об оформленных допусках к государственной тайне (форма, номер, дата);

- сведения о государственных наградах, иных наградах и знаках отличия;

- сведения о профессиональной переподготовке и (или) повышении квалификации;

- сведения о ежегодных оплачиваемых отпусках, учебных отпусках, отпусках по беременности и родам, отпусках по уходу за ребенком и отпусках без сохранения денежного содержания;

- номер расчетного счета;

- сведения о доходах;

- иные сведения, которые субъект персональных данных пожелал сообщить о себе и которые отвечают целям их обработки.

4.2.2. Кандидатов на замещение вакантных должностей Оператора:

- фамилия, имя, отчество (при наличии) (в том числе прежние в случае их изменения);

- число, месяц, год рождения;

- место рождения;

- личная фотография;

- сведения о гражданстве (в том числе о предыдущих гражданствах, иных гражданствах);

- вид, серия, номер документа, удостоверяющего личность гражданина Российской Федерации, дата выдачи, наименование органа, выдавшего его;

- адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;

- номер телефона или сведения о других способах связи;

- адрес электронной почты;

- реквизиты страхового свидетельства обязательного пенсионного страхования;

- идентификационный номер налогоплательщика;

- реквизиты страхового медицинского полиса обязательного медицинского страхования;

- реквизиты свидетельства государственной регистрации актов гражданского состояния;

- реквизиты свидетельства о рождении ребенка;

- сведения о семейном положении;

- сведения о составе семьи: степень родства, фамилии, имена, отчества (при наличии), даты рождения, места рождения;

- сведения о трудовой деятельности, включая работу по совместительству, предпринимательскую и иную деятельность, военную службу;

- сведения о воинском учете и реквизиты документов воинского учета (серия, номер, дата выдачи документов воинского учета, наименование органа, выдавшего его);

- сведения об образовании (когда и какие образовательные, научные и иные организации окончил, номера документов об образовании, направление подготовки или специальность по документу об образовании, квалификация);

- сведения о послевузовском профессиональном образовании: аспирантура, адъюнктура, докторантура и другие (наименование образовательного или научного учреждения, год окончания);

- сведения об ученой степени и ученом звании (когда присвоено, номера дипломов, аттестатов);

- сведения о наличии (отсутствии) у гражданина заболеваний, результаты обязательных медицинских осмотров (обследований), а также обязательного психиатрического освидетельствования;

- сведения о наличии (отсутствии) судимости;

- сведения о государственных наградах, иных наградах и знаках отличия;

- сведения о профессиональной переподготовке и (или) повышении квалификации;

- иные сведения, которые субъект персональных данных пожелал сообщить о себе и которые отвечают целям их обработки.

4.2.3. Родственников работников, в том числе бывших:

- фамилия, имя, отчество (при наличии) (в том числе прежние в случае их изменения);

- число, месяц, год рождения;

- место рождения;

- сведения о гражданстве (в том числе о предыдущих гражданствах, иных гражданствах);

- вид, серия, номер документа, удостоверяющего личность гражданина Российской Федерации, дата выдачи, наименование органа, выдавшего его;

- адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;

- номер телефона или сведения о других способах связи;

- адрес электронной почты;

- реквизиты страхового свидетельства обязательного пенсионного страхования;

- идентификационный номер налогоплательщика;

- реквизиты страхового медицинского полиса обязательного медицинского страхования;

- реквизиты свидетельства государственной регистрации актов гражданского состояния;

- реквизиты свидетельства о рождении ребенка;

- сведения о семейном положении;

- сведения о составе семьи: степень родства, фамилии, имена, отчества (при наличии), даты рождения, места рождения;

- сведения о трудовой деятельности, включая работу по совместительству, предпринимательскую и иную деятельность, военную службу;

- сведения о воинском учете и реквизиты документов воинского учета (серия, номер, дата выдачи документов воинского учета, наименование органа, выдавшего его);

- сведения об образовании (когда и какие образовательные, научные и иные организации окончил, номера документов об образовании, направление подготовки или специальность по документу об образовании, квалификация);

- сведения о послевузовском профессиональном образовании: аспирантура, адъюнктура, докторантура и другие (наименование образовательного или научного учреждения, год окончания);

- сведения об ученой степени и ученом звании (когда присвоено, номера дипломов, аттестатов);

- сведения о наличии (отсутствии) у гражданина заболеваний, результаты обязательных медицинских осмотров (обследований), а также обязательного психиатрического освидетельствования;

- сведения о наличии (отсутствии) судимости;

- сведения об оформленных допусках к государственной тайне (форма, номер, дата);

- сведения о государственных наградах, иных наградах и знаках отличия;

- сведения о профессиональной переподготовке и (или) повышении квалификации;

- сведения о ежегодных оплачиваемых отпусках, учебных отпусках, отпусках по беременности и родам, отпусках по уходу за ребенком и отпусках без сохранения денежного содержания;

- номер расчетного счета;

- сведения о доходах;

- иные сведения, которые субъект персональных данных пожелал сообщить о себе и которые отвечают целям их обработки.

4.2.4. Обучающихся:

- фамилия, имя, отчество (при наличии) (в том числе прежние в случае их изменения);

- число, месяц, год рождения;

- место рождения;

- личная фотография;

- сведения о гражданстве;

- вид, серия, номер документа, удостоверяющего личность гражданина Российской Федерации, дата выдачи, наименование органа, выдавшего его;

- адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;

- номер телефона или сведения о других способах связи;

- адрес электронной почты;

- реквизиты страхового свидетельства обязательного пенсионного страхования;

- идентификационный номер налогоплательщика;

- реквизиты страхового медицинского полиса обязательного медицинского страхования;

- реквизиты свидетельства государственной регистрации актов гражданского состояния;

- сведения о семейном положении;

- сведения о доходах;

- сведения о составе семьи: степень родства, фамилии, имена, отчества (при наличии), даты рождения, места рождения, места работы, адреса регистрации по месту жительства (месту пребывания), адреса фактического проживания близких родственников (отец, мать, братья, сестры и дети);

- сведения о воинском учете и реквизиты документов воинского учета (серия, номер, дата выдачи документов воинского учета, наименование органа, выдавшего его);

- сведения об образовании (когда и какие образовательные, научные и иные организации окончил, номера документов об образовании, направление подготовки или специальность по документу об образовании, квалификация);

- сведения о послевузовском профессиональном образовании: аспирантура, адъюнктура, докторантура (наименование образовательного или научного учреждения, год окончания);

- сведения о состоянии здоровья;

- номер расчетного счета;

- иные сведения, которые субъект персональных данных пожелал сообщить о себе и которые отвечают целям их обработки.

4.2.5. Родителей (законных представителей) несовершеннолетних обучающихся:

- фамилия, имя, отчество (при наличии);

- число, месяц, год рождения;

- место рождения;

- сведения о гражданстве (в том числе о предыдущих гражданствах, иных гражданствах);

- вид, серия, номер документа, удостоверяющего личность гражданина Российской Федерации, дата выдачи, наименование органа, выдавшего его;

- адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;

- номер телефона или сведения о других способах связи;

- адрес электронной почты;

- иные сведения, которые субъект персональных данных пожелал сообщить о себе и которые отвечают целям их обработки.

4.2.6. Абитуриентов:

- фамилия, имя, отчество (при наличии) (в том числе прежние в случае их изменения);

- число, месяц, год рождения;

- место рождения;

- личная фотография;

- сведения о гражданстве;

- вид, серия, номер документа, удостоверяющего личность гражданина Российской Федерации, дата выдачи, наименование органа, выдавшего его;

- вид, серия, номер документа, удостоверяющего личность иностранного гражданина;

- нотариально заверенный перевод документа, удостоверяющего личность иностранного гражданина;

- адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;

- номер телефона или сведения о других способах связи;

- адрес электронной почты;

- реквизиты страхового свидетельства обязательного пенсионного страхования;

- идентификационный номер налогоплательщика;

- реквизиты страхового медицинского полиса обязательного медицинского страхования;

- реквизиты свидетельства государственной регистрации актов гражданского состояния;

- сведения о законном представителе: фамилии, имени, отчества (при наличии), телефоне, адресе электронной почты;

- сведения о воинском учете и реквизиты документов воинского учета (серия, номер, дата выдачи документов воинского учета, наименование органа, выдавшего его);

- сведения об образовании (когда и какие образовательные, научные и иные организации окончил, номера документов об образовании, направление подготовки или специальность по документу об образовании, квалификация);

- нотариально заверенный перевод документа об образовании иностранного гражданина;

- сведения о состоянии здоровья;

- иные сведения, которые субъект персональных данных пожелал сообщить о себе и которые отвечают целям их обработки.

4.2.7. Родителей (законных представителей) несовершеннолетних абитуриентов:

- фамилия, имя, отчество (при наличии);

- число, месяц, год рождения;

- вид, серия, номер документа, удостоверяющего личность гражданина Российской Федерации, дата выдачи, наименование органа, выдавшего его;

- вид, серия, номер документа, удостоверяющего личность гражданина Российской Федерации за пределами Российской Федерации, дата выдачи, наименование органа, выдавшего его;

- нотариально заверенный перевод документа, удостоверяющего личность иностранного гражданина – родителя (законного представителя);

- адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;

- номер телефона или сведения о других способах связи;

- адрес электронной почты;

- сведения о семейном положении;

- иные сведения, которые субъект персональных данных пожелал сообщить о себе и которые отвечают целям их обработки.

4.2.8. Физических лиц либо их уполномоченных представителей, представителей юридических лиц (контрагентов/потенциальных контрагентов) по гражданско-правовым договорам:

- фамилия, имя, отчество (при наличии);

- число, месяц, год рождения;

- вид, серия, номер документа, удостоверяющего личность гражданина Российской Федерации, дата выдачи, наименование органа, выдавшего его;

- адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;

- номер телефона или сведения о других способах связи;

- адрес электронной почты;

- реквизиты страхового свидетельства обязательного пенсионного страхования;

- идентификационный номер налогоплательщика;

- реквизиты счета карты;

- иные сведения, которые субъект персональных данных пожелал сообщить о себе и которые отвечают целям их обработки.

4.2.9. Физических лиц, указанных в заявлениях (согласиях, доверенностях и т.п.) обучающихся и родителей (законных представителей) несовершеннолетних обучающихся:

- фамилия, имя, отчество (при наличии);

- число, месяц, год рождения;

- место рождения;

- вид, серия, номер документа, удостоверяющего личность гражданина Российской Федерации, дата выдачи, наименование органа, выдавшего его;

- адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;

- номер телефона или сведения о других способах связи;

- адрес электронной почты.

- иные сведения, которые субъект персональных данных пожелал сообщить о себе и которые отвечают целям их обработки.

4.2.10. Физических лиц – посетителей:

- фамилия, имя, отчество (при наличии);

- вид, серия, номер документа, удостоверяющего личность;

4.2.11. Физических лиц – пользователей официального сайта образовательной организации в информационно-телекоммуникационной сети «Интернет»:

- фамилия, имя, отчество (при наличии) (в том числе прежние в случае их изменения);

- номер телефона;

- адрес электронной почты.

- иные сведения, которые субъект персональных данных пожелал сообщить о себе и которые отвечают целям их обработки.

5. Порядок и условия обработки персональных данных

5.1. Обработка персональных данных осуществляется Оператором в соответствии с Законом о персональных данных и настоящей Политикой.

5.2. Обработка персональных данных Оператором осуществляется с согласия субъекта персональных данных на обработку его персональных данных в письменной форме.

5.3. Субъект персональных данных принимает решение о предоставлении его персональных данных Оператору и дает согласие на их обработку свободно, своей волей и в своем интересе.

5.4. Типовая письменная форма согласия субъекта персональных данных на обработку его персональных данных утверждается локальным нормативным актом Оператора.

5.5. Если предоставление персональных данных является обязательным в соответствии с Законом о персональных данных, субъекту персональных данных разъясняются юридические последствия отказа предоставить свои персональные данные.

5.6. Типовая письменная форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные утверждается локальным нормативным актом Оператора.

5.7. При реализации Оператором возложенных на него законодательством Российской Федерации функций, полномочий и обязанностей для достижения цели обработки персональных данных, указанной в п. 2.3. настоящей Политики согласия на обработку персональных данных категорий субъектов персональных данных, указанных в п.п. 4.2.1. – 4.2.11. настоящей Политики не требуется.

5.8. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных Законом о персональных данных.

5.9. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

5.10. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных.

5.11. Типовая форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утверждается локальным нормативным актом Оператора в случае необходимости оформления такого согласия.

5.12. Оператор обязан в срок не позднее трех дней с момента получения согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

5.13. Требования п.п. 5.9. настоящей Политики не применяются в случае реализации Оператором возложенных на него законодательством Российской Федерации функций, полномочий и обязанностей для достижения цели обработки персональных данных, указанной в п. 2.3. настоящей Политики.

5.14. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются Оператором для установления личности субъекта персональных данных, обрабатываются только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных Законом о персональных данных.

5.15. Предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, предусмотренных Законом о персональных данных. Оператор не вправе отказывать в обслуживании в случае отказа субъекта персональных данных предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если в соответствии с федеральным законом получение Оператором согласия на обработку персональных данных не требуется.

5.16. Форма согласия субъекта персональных данных на обработку биометрических персональных данных утверждается локальным нормативным актом Оператора.

5.17. Обработка биометрических персональных данных осуществляется для следующих категорий субъектов персональных данных:

- работников, в том числе бывших;

- кандидатов на замещение вакантных должностей Оператора;

- обучающихся;

- абитуриентов.

5.18. Обработка персональных данных выполняется с использованием средств автоматизации или без использования таких средств и включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов персональных данных, персональные данные которых обрабатываются Оператором.

5.19. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем:

- получения оригиналов документов либо их копий;

- копирования оригиналов документов;

- внесения сведений в учетные формы на бумажных и электронных носителях;

- создания документов, содержащих персональные данные, на бумажных и электронных носителях;

- внесения персональных данных в информационные системы персональных данных (при необходимости).

5.20. К обработке персональных данных допускаются работники Оператора, в обязанности которых входит непосредственная обработка персональных данных.

5.21. В случае обработки персональных данных непосредственно в информационных системах персональных данных доступ работников Оператора, имеющих право осуществлять обработку персональных данных, к такой информационной системе предоставляется в соответствии с полномочиями, предусмотренными соответствующими трудовыми функциями, на основании локального нормативного акта Оператора.

5.22. Оператор, получивший доступ к персональным данным, обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Законом о персональных данных.

5.23. Оператор не осуществляет трансграничной передачи персональных данных.

5.24. Оператор в случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных может передавать персональные данные в адрес третьих лиц в соответствии с договорами поручения на обработку персональных данных.

5.25. Оператор вправе передавать персональные данные субъектов органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным Законом о персональных данных.

5.26. Оператор в соответствии с требованиями Закона о персональных данных самостоятельно определяет состав и перечень необходимых и достаточных мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

5.27. К мерам защиты персональных данных, обрабатываемых Оператором, относятся:

- назначение локальным нормативным актом Оператора, ответственного за организацию обработки персональных данных;

- утверждение локальным нормативным актом Оператора, документа определяющего политику Оператора в отношении обработки персональных данных;

- размещение документа, определяющего политику Оператора в отношении обработки персональных данных на странице официального сайта Оператора в информационно-телекоммуникационной сети «Интернет»;

- утверждение локальным нормативным актом Оператора инструкции ответственного за организацию обработки персональных данных;

- утверждение локальным нормативным актом Оператора правил внутреннего контроля соответствия обработки персональных данных мерам по защите персональных данных;

- утверждение локальным нормативным актом Оператора перечня должностей (работников), замещение которых предусматривает непосредственное осуществление обработки персональных данных;

- утверждение локальным нормативным актом Оператора инструкции работникам, непосредственно допущенных к обработке персональных данных;

- утверждение локальным нормативным актом Оператора порядка доступа работников в помещения, в которых ведется обработка персональных данных;

- утверждение локальным нормативным актом Оператора правил обработки персональных данных без использования средств автоматизации;

- утверждение локальным нормативным актом Оператора инструкции работникам, непосредственно допущенных к обработке персональных данных, по заполнению типовой формы (журнала, реестра, карточки и т.п.);

- утверждение локальным нормативным актом Оператора порядка уничтожения персональных данных;

- утверждение локальным нормативным актом Оператора перечня должностей (работников), замещение которых предусматривает обязанность по уничтожению персональных данных субъектов персональных данных;

- утверждение локальным нормативным актом Оператора перечня помещений, в которых разрешена обработка персональных данных;

- ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями Закона о персональных данных, с политикой Оператора в отношении обработки персональных данных, локальными нормативными актами Оператора по вопросам обработки персональных данных;

- ознакомление работников Оператора – субъектов персональных данных с локальным нормативным актом, определяющим политику Оператора в отношении обработки персональных данных;

- организация учета машинных носителей персональных данных;

- утверждение локальным нормативным актом Оператора соответствующих типовых форм документов, необходимых для реализации мер защиты персональных данных;

- разработка и применение иных организационных и технических мер по обеспечению безопасности персональных данных при обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных.

5.28. Условием прекращения обработки персональных данных является достижение целей обработки персональных данных, истечение срока согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

5.29. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом, договором.

5.30. Персональные данные на бумажных носителях хранятся у Оператора в течение сроков хранения документов, для которых эти сроки предусмотрены нормативными правовыми актами Российской Федерации и локальными нормативными актами Оператора.

5.31. Хранение согласий на обработку персональных данных осуществляется вместе с персональными данными на бумажных носителях, полученных от субъектов персональных данных.

5.32. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

5.33. При осуществлении хранения персональных данных Оператор персональных данных использует базы данных, находящиеся на территории Российской Федерации в соответствии с Законом о персональных данных.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

6.1. При обработке персональных данных Оператор обеспечивает точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор обязан принимать необходимые меры по удалению или уточнению неполных или неточных данных.

6.2. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.3. Оператор обязан сообщить субъекту персональных данных информацию о наличии персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных в течение десяти рабочих дней с даты получения запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором мотивированного уведомления с указанием причин продления срока субъекту персональных данных.

6.4. Запрос должен содержать:

- номер основного документа, удостоверяющего личность субъекта персональных данных;

- сведения о дате выдачи указанного документа и выдавшем его органе;

- сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;

- подпись субъекта персональных данных или его представителя.

6.5. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

6.6. Субъекты персональных данных в соответствии с Законом о персональных данных имеют право на получение информации от Оператора, касающейся обработки их персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных Оператором;

- правовые основания и цели обработки персональных данных;

- цели и применяемые способы обработки персональных данных;

- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных;

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество (при наличии) и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

- информацию о способах исполнения Оператором обязанностей, установленных Законом о персональных данных;

- иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами.

6.7. Информация должна быть предоставлена субъекту персональных данных Оператором в доступной форме и в ней не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

6.8. Оператор предоставляет информацию субъекту персональных данных или его представителю в той форме, в которой направлен соответствующий запрос, если иное не указано в запросе.

6.9. В случае, если информация, а также обрабатываемые персональные данные, были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения информации и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

6.10. Субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения информации, а также в целях ознакомления с обрабатываемыми персональными данными до истечения тридцати дней, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос также должен содержать обоснование направления повторного запроса.

6.11. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 6.9 и 6.10 настоящей Политики. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.

6.12. В случае отказа в предоставлении информации о наличии персональных данных субъекту персональных данных Оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на Закон о персональных данных с даты получения запроса, указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока.

6.13. Оператор обязан предоставить безвозмездно субъекту персональных данных возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных сведений подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки. Оператор обязан уведомить субъекта персональных данных о внесенных изменениях.

6.14. Оператор обязан осуществлять блокирование персональных данных в следующих случаях:

- в случае выявления неправомерной обработки персональных данных, при обращении субъекта неправомерно обрабатываемых персональных данных – с момента такого обращения;

- в случае выявления неточных персональных данных, при обращении субъекта персональных данных, к которому эти данные относятся – с момента такого обращения.

6.15. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных, обязан уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

6.16. В случае выявления неправомерной обработки персональных данных, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления обязан прекратить неправомерную обработку персональных данных.

6.17. При обращении субъекта персональных данных с требованием о прекращении обработки персональных данных Оператор обязан в срок, не превышающий десяти рабочих дней с даты получения соответствующего требования, прекратить их обработку, за исключением случаев, предусмотренных п. 2.3. настоящей Политики. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором мотивированного уведомления с указанием причин продления срока.

6.18. Оператор обязан прекратить обработку персональных данных субъекта и уничтожить его персональные данные в следующих случаях:

- при достижении цели обработки персональных данных – в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, иным соглашением либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или другими федеральными законами;

- в случае отзыва субъектом персональных данных согласия на обработку его персональных данных и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных – в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или другими федеральными законами;

- в случае предоставления субъектом персональных данных сведений, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки – уничтожить персональные данные в срок, не превышающий семи рабочих дней со дня представления субъектом данных сведений, а также уведомить субъекта персональных данных о внесенных изменениях и предпринятых мерах.

6.19. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пункте 6.18 настоящей Политики, Оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

6.20. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока.

6.21. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан с момента выявления такого инцидента уведомить уполномоченный орган по защите прав субъектов персональных данных:

- в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие по вопросам, связанным с выявленным инцидентом;

- в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

6.22. Уничтожение персональных данных осуществляют назначенные локальным нормативным актом Оператора работники с оформлением акта об уничтожении персональных данных.

6.23. Форма акта об уничтожении персональных данных утверждается локальным нормативным актом Оператора.

6.24. Уничтожение материальных (бумажных) носителей, содержащих персональные данные, производится путем измельчения в шредере.

6.25. Персональные данные на машинных носителях уничтожаются путем стирания или форматирования носителей.