1. Область применения

Настоящая «Политика в отношении обработки персональных данных» (далее – Политика) разработана в целях реализации требований Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет общие принципы обеспечения безопасности персональных данных и организационно-технические меры по их защите и обработке в федеральном государственном бюджетном образовательном учреждении высшего образования «Ярославский государственный университет им. П.Г. Демидова» с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств.

2. Нормативные ссылки

В настоящем Положении использованы нормативные ссылки на следующие документы: Конституция Российской Федерации;
Трудовой кодекс Российской Федерации;
Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»; Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера»;
Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных;
Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
Постановление Правительства Российской Федерации от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
Устав федерального государственного бюджетного образовательного учреждения высшего образования «Ярославский государственный университет им. П.Г. Демидова»;
ЯрГУ-СК-МИ-4.2-01-2009 «Нормативная документация. Порядок разработки, структура, оформление и введение в действие», утвержденная приказом ректора ЯрГУ от 30.03.2009 № 145.

3. Термины и определения

В настоящем документе применены следующие термины и определения:
автоматизированная обработка персональных данных: Обработка персональных данных с помощью средств вычислительной техники;
блокирование персональных данных: Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); информационная система персональных данных: Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
информация: Сведения (сообщения, данные) независимо от формы их представления; обезличивание персональных данных: Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
обработка персональных данных: Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
обучающийся: Физическое лицо, осваивающее образовательную программу в Университете; персональные данные: Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Политика: Политика Университета в отношении обработки персональных данных;
предоставление персональных данных: Действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
работник: Физическое лицо, вступившее в трудовые отношения с Университетом; распространение персональных данных: Действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
трансграничная передача персональных данных: Передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
угрозы безопасности персональных данных: Совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных;
Университет: Федеральное государственное бюджетное образовательное учреждение высшего образования «Ярославский государственный университет им. П.Г. Демидова»;
уничтожение персональных данных: Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Федеральный закон о персональных данных: Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;

4. Общие положения

4.1. В соответствии с Федеральным законом о персональных данных Университет является оператором персональных данных.
4.2. Персональные данные являются конфиденциальной, охраняемой информацией и на них распространяются все требования, установленные локальными нормативными актами Университета к защите конфиденциальной информации.
4.3. Настоящая Политика является систематизированным изложением целей, принципов, способов и условий обработки Университетом персональных данных, перечня субъектов персональных данных, функций Университета при обработке персональных данных, прав субъектов персональных данных, а также сведений о реализуемых Университетом требованиях к защите персональных данных.
4.4. Положения Политики служат основой для разработки локальных нормативных актов Университета, регламентирующих вопросы обработки персональных данных работников, обучающихся и иных субъектов персональных данных.
4.5. Настоящая Политика устанавливает обязательные для работников общие требования и правила работы со всеми видами носителей информации, содержащими персональные данные работников, обучающихся и иных субъектов персональных данных.
4.6. Если в отношениях с Университетом участвуют наследники (правопреемники) и (или) представители субъектов персональных данных, то Университет становится оператором персональных данных лиц, представляющих указанных субъектов. Положения Политики и другие локальные нормативные акты Университета распространяются на случаи обработки и защиты персональных данных наследников (правопреемников) и (или) представителей субъектов персональных данных, даже если эти лица в локальных нормативных актах прямо не упоминаются, но фактически участвуют в правоотношениях с Университетом.

5. Цели и принципы обработки персональных данных

5.1. Целями обработки персональных данных являются:
5.1.1.обеспечение соблюдения Конституции Российской Федерации, федеральных конституционных законов, федеральных законов, иных нормативных правовых актов Российской Федерации, локальных нормативных актов Университета;
5.1.2. осуществление функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Университет, в том числе по предоставлению персональных данных в органы государственной власти, органы местного самоуправления, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные и муниципальные органы;
5.1.3.обеспечение функционирования информационных систем обеспечения и мониторинга трудового процесса, учебной, научной, организационной и финансово-хозяйственной деятельности;
5.1.4.регулирование трудовых отношений с работниками;
5.1.5.регулирование отношений в сфере образования (образовательных отношений); 5.1.6.подготовка, заключение, исполнение и прекращение договоров гражданско-правового характера;
5.1.7.обеспечение пропускного и внутриобъектового режимов на объектах Университета;
5.1.8.формирование справочных материалов для внутреннего информационного обеспечения деятельности Университета;
5.1.9.исполнение судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
5.1.10. осуществление прав и законных интересов Университета в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Университета, или третьих лиц, либо достижение общественно значимых целей;
5.1.11. иные законные цели.
5.2. Принципы обработки персональных данных:
5.2.1.обработка персональных данных осуществляется на законной и справедливой основе; 5.2.2.обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей, не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
5.2.3. содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
5.2.4.Университет в установленных Федеральным законом о персональных данных форме и случаях обеспечивает получение конкретного, информированного и сознательного согласия субъекта на обработку его персональных данных, если иное не предусмотрено законодательством. Формы согласия субъекта персональных данных на обработку персональных данных приведены в Приложениях А, Б. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. Рекомендованные формы заявлений об отзыве согласия на обработку персональных данных приведены в Приложениях В, Г;
5.2.5.не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
5.2.6.обработке подлежат только персональные данные, которые отвечают целям их обработки;
5.2.7.при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
5.2.8.Университет принимает необходимые и достаточные меры по удалению или уточнению неполных или неточных персональных данных;
5.2.9.хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
5.2.10. обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации в области персональных данных;
5.2.11. сроки хранения персональных данных определяются в соответствии со сроком действия трудовых, образовательных и гражданско-правовых отношений между субъектом персональных данных и Университетом, сроком исковой давности, установленными сроками хранения документов, образующихся в процессе деятельности Университета, иными требованиями законодательства Российской Федерации, а также сроком действия согласия субъекта персональных данных на обработку его персональных данных, если иное не установлено законодательством Российской Федерации в области персональных данных.
5.2.12. Университет не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни субъекта персональных данных.
5.3. Основанием для прекращения обработки персональных данных является прекращение деятельности Университета, изменение законодательства Российской Федерации, иные предусмотренные законодательством Российской Федерации в области персональных данных основания.

6. Условия и случаи обработки персональных данных в Университете

6.1. Обработка персональных данных в Университете осуществляется следующими способами:
6.1.1.неавтоматизированная обработка персональных данных;
6.1.2. автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
6.1.3. смешанная обработка персональных данных.
6.2. Условия обработки персональных данных в Университете:
6.2.1.обработка персональных данных в Университете осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.
6.2.2.Университет без согласия субъекта персональных данных не предоставляет третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.
6.2.3.В целях внутреннего информационного обеспечения Университет может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.
6.3. Обработка персональных данных в Университете допускается в случаях, если:
6.3.1.обработка персональных данных осуществляется с согласия субъекта персональных данных;
6.3.2. обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Университет функций, полномочий и обязанностей;
6.3.3. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
6.3.4.обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
6.3.5.обработка персональных данных необходима для осуществления прав и законных интересов Университета или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
6.3.6.обработка персональных данных необходима для осуществления научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
6.3.7.обработка персональных данных осуществляется в исследовательских, статистических или иных целях при условии обязательного обезличивания персональных данных;
6.3.8.осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
6.3.9.осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законом.

7. Перечень субъектов, обработка персональных данных которых осуществляется Университетом

7.1. Университет обрабатывает персональные данные следующих категорий субъектов персональных данных:
- работники;
- обучающиеся;
- кандидаты на замещение вакантных должностей – физические лица, претендующие на замещение вакантных должностей в Университете;
- абитуриенты;
- граждане, направившие обращение в Университет;
- иные субъекты персональных данных (для обеспечения реализации целей, указанных в пункте 5.1 раздела 5 Политики).

8. Доступ к обрабатываемым персональным данным

8.1. Доступ работников к обрабатываемым персональным данным осуществляется в соответствии с их должностными обязанностями и требованиями локальных нормативных актов Университета.
8.2. Доступ к обрабатываемым Университетом персональным данным имеют:
8.2.1.работники, занимающие должности, включенные в перечень должностей структурных подразделений Университета, при замещении которых осуществляется обработка персональных данных;
8.2.2.лица, которым Университет поручил обработку персональных данных на основании заключенного договора;
8.2.3.лица, чьи персональные данные подлежат обработке.
8.3. Доступ к персональным данным, обрабатываемым в ходе исполнения функций, полномочий и обязанностей, закрепленных за конкретным структурным подразделением Университета, могут иметь только работники этого структурного подразделения. Доступ работников к персональным данным, связанным с деятельностью другого структурного подразделения, разрешается только для подготовки обобщенных материалов в части вопросов, касающихся структурного подразделения этих работников.
8.4. Допущенные к обработке персональных данных работники под роспись знакомятся с локальными нормативными актами Университета, устанавливающими порядок обработки персональных данных, включая документы, устанавливающие права и обязанности конкретных работников.

9. Права субъекта персональных данных и способ их реализации

9.1. В соответствии с положениями Федерального закона о персональных данных субъект персональных данных имеет следующие права в отношении своих персональных данных:
9.1.1.право на ознакомление с персональными данными, принадлежащими субъекту персональных данных, обрабатываемыми Университетом;
9.1.2.право на получение информации, касающейся обработки его персональных данных;
9.1.3.право требования от Университета уточнения его персональных данных, их блокирования или уничтожения, в случае, если персональные данные являются неполными, устаревшими (неактуальными), неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. В случае изменения сведений, составляющих персональные данные субъекта, субъект персональных данных должен незамедлительно предоставить данные сведения Университету;
9.1.4.право на отзыв согласия на обработку персональных данных (если такое согласие было дано Университету).
9.2. Субъект персональных данных может реализовать свои права на получение сведений, касающихся обработки его персональных данных Университетом, и на ознакомление с персональными данными, принадлежащими субъекту, обрабатываемыми Университетом, путем обращения (лично или через законного представителя) по адресу: 150003, г. Ярославль, ул. Советская, д. 14, либо путем направления письменного запроса по адресу: 150003, г. Ярославль, ул. Советская, д. 14. Запрос может быть направлен в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации, по адресу: rectorat@uniyar.ac.ru. Рекомендуемые формы запросов субъектов персональных данных или их представителей приведены в Приложениях Д, Е.
9.3. Университет при обработке персональных данных обеспечивает необходимые условия для беспрепятственной реализации субъектом персональных данных своих прав.
9.4. Если субъект персональных данных считает, что Университет осуществляет обработку его персональных данных с нарушением требований Федерального закона о персональных данных или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Университета в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
9.5. В целях обеспечения достоверности персональных данных субъект персональных данных обязан предоставить Университету полные и достоверные данные о себе.

10. Права и обязанности Университета при обработке персональных данных

10.1. Университет при обработке персональных данных выполняет обязанности оператора персональных данных, предусмотренные Федеральным законом о персональных данных.
10.2. Университет при обработке персональных данных имеет право:
10.2.1. предоставлять персональные данные третьим лицам при наличии согласия на это субъекта персональных данных, если иное не предусмотрено Федеральным законом о персональных данных;
10.2.2. продолжать обработку персональных данных после отзыва согласия субъектом персональных данных в случаях, предусмотренных Федеральным законом о персональных данных;
10.2.3. мотивированно отказать субъекту персональных данных (его представителю) в удовлетворении запроса о предоставлении информации, касающейся обработки персональных данных субъекта, при наличии оснований, предусмотренных законодательством Российской Федерации в области персональных данных.
10.3. Университет обязуется:
10.3.1. обеспечить защиту персональных данных от их неправомерного использования или утраты в порядке, установленном законодательством Российской Федерации в области персональных данных;
10.3.2. обеспечить возможность субъекту персональных данных или его представителю ознакомиться с настоящей Политикой и его правами в области защиты персональных данных. Электронная версия Политики общедоступна на сайте Университета в сети Интернет http://www.uniyar.ac.ru/.
10.3.3. в случае реорганизации или ликвидации Университета обеспечить учет и сохранность документов, содержащих персональные данные, порядок передачи их на государственное хранение в соответствии с правилами, предусмотренными законодательством Российской Федерации;
10.3.4. по заявлению субъекта персональных данных или его представителя предоставить полную информацию, касающуюся обработки персональных данных субъекта, если иное не предусмотрено законом.

11. Обязанности и ответственность работников

11.1. Работники, занимающие должности, включенные в перечень должностей структурных подразделений Университета, при замещении которых осуществляется обработка персональных данных, обязаны:
11.1.1. знать и неукоснительно выполнять требования законодательства Российской Федерации и локальные нормативные акты Университета в области персональных данных;
11.1.2. обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;
11.1.3. не разглашать персональные данные, полученные в результате выполнения своих должностных обязанностей, а также ставшие им известными по роду своей деятельности;
11.1.4. пресекать действия третьих лиц, которые могут привести к разглашению (уничтожению, искажению) персональных данных;
11.1.5. выявлять факты разглашения (уничтожения, искажения) персональных данных и информировать об этом непосредственного руководителя.
11.2. Работникам, допущенным к обработке персональных данных, запрещается несанкционированное и нерегламентированное копирование персональных данных на материальные носители информации, не предназначенные для хранения персональных данных. 11.3. Лица, виновные в нарушении требований законодательства Российской Федерации и локальных нормативных актов Университета в области персональных данных, несут дисциплинарную, материальную, гражданско-правовую, административную или уголовную ответственность.

12. Сведения о реализуемых Университетом требованиях к защите персональных данных и мерах, принимаемых для обеспечения выполнения обязанностей оператора при обработке персональных данных

12.1. Если иное не установлено федеральными законами, Университет самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения безопасности персональных данных и выполнения обязанностей, предусмотренных Федеральным законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами: 12.1.1. определяет угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
12.1.2. принимает правовые, организационные и технические меры для обеспечения защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении персональных данных;
12.1.3. назначает лицо, ответственное за организацию обработки персональных данных в Университете;
12.1.4. издает локальные нормативные акты, определяющие политику и порядок обработки и защиты персональных данных в Университете;
12.1.5. получает согласие субъекта персональных данных на обработку его персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
12.1.6. осуществляет ознакомление работников, занимающих должности, включенные в перечень должностей структурных подразделений Университета, при замещении которых осуществляется обработка персональных данных, с положениями законодательства Российской Федерации и локальных нормативных актов Университета в области персональных данных, в том числе с требованиями к защите персональных данных, и обучение указанных работников;
12.1.7. публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;
12.1.8. сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации;
12.1.9. обеспечивает обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях персональных данных;
12.1.10. обеспечивает раздельное хранение персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных;
12.1.11. обеспечивает хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
12.1.12. осуществляет внутренний контроль соответствия порядка обработки персональных данных требованиям, установленным Федеральным законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, локальными нормативными актами Университета;
12.1.13. прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Российской Федерации в области персональных данных;
12.1.14. совершает иные действия, предусмотренные законодательством Российской Федерации в области персональных данных.

13. Внутренний контроль за соблюдением законодательства Российской Федерации и локальных нормативных актов Университета в области персональных данных

13.1. Персональная ответственность за соблюдение требований законодательства Российской Федерации и локальных нормативных актов Университета в области персональных данных в структурном подразделении Университета, а также за обеспечение конфиденциальности и безопасности персональных данных в структурных подразделениях Университета возлагается на их руководителей.
13.2. Контроль за соблюдением структурными подразделениями Университета законодательства Российской Федерации и локальных нормативных актов Университета в области персональных данных, в том числе требований к защите персональных данных, определения эффективности принимаемых мер, направленных на предотвращение и выявление нарушений законодательства Российской Федерации в области персональных данных, выявление возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений осуществляется комиссией, образованной приказом ректора Университета.