Положение об обработке и защите персональных данных в федеральном государственном бюджетном образовательном учреждении высшего профессионального образования «Оренбургский государственный университет» утверждено решением Ученого совета от 18 июня 2010 г.
Скачать 349.13 Kb.
|
5 Порядок обработки персональных данных, осуществляемых без использования средств автоматизации и с использованием таких средств 5.1 Обработка персональных данных без использования средств автоматизации. 5.1.1 Обработка персональных данных на материальных носителях считается осуществленной без использования средств автоматизации (неавтоматизированной). 5.1.2 При неавтоматизированной обработке персональных данных на бумажных носителях: 5.1.2.1 Не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо не совместимы. 5.1.2.2 Персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков). 5.1.2.3 Документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных. 5.1.2.4 Дела с документами, содержащими персональные данные, должны иметь внутренние описи документов. 5.1.3 При использовании типовых форм или унифицированных форм документов (далее – типовая форма), характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться следующие условия: 5.1.3.1 Типовая форма должна содержать наименование университета, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных. 5.1.3.2 Типовая форма должна предусматривать графу, в которой субъект персональных данных ставит собственноручную подпись, выражая тем самым свое согласие на обработку персональных данных. 5.1.3.3 Типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащих в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных. 5.1.4 Копирование документов, содержащих персональные данные субъекта персональных данных, должно осуществляться в порядке, исключающим возможность нарушения прав и законных интересов иных субъектов персональных данных, то есть копия документа не должна содержать персональные данные, относящиеся к другим субъектам персональных данных. 5.1.5 Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными. 5.1.6 Неавтоматизированная обработка персональных данных в электронном виде осуществляется на внешних носителях информации (флэш-накопитель, компакт-диск и др.). 5.1.7 При отсутствии технологической возможности осуществления неавтоматизированной обработки персональных данных в электронном виде на внешних носителях информации необходимо принимать организационные (охрана помещений) и технические меры (установка сертифицированных средств защиты информации), исключающие возможность несанкционированного доступа к персональным данным лиц, не допущенных к их обработке. 5.1.8 Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). 5.2 Обработка персональных данных с использованием средств автоматизации. 5.2.1 Обработка персональных данных, содержащихся в базах данных информационной системы, осуществляется с помощью технических средств. 5.2.2 Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации: – при отсутствии установленных и настроенных сертифицированных средств защиты информации для ИСПДн, попадающих под эти требования в соответствии с законодательством Российской Федерации; – при отсутствии утвержденных организационных документов о порядке эксплуатации информационной системы персональных данных.
Не допускается утеря ключей или передача лицами, уполномоченными на получение, обработку, хранение, передачу и другое использование персональных данных, своих ключей на хранение другими лицам.
Проведение уборки помещений, в которых хранятся материальные носители, содержащие персональные данные, должно производиться в присутствии лица, уполномоченного на получение, обработку, хранение, передачу и другое использование персональных данных.
Находящиеся в архиве документы, по которым истек срок, установленный сводной номенклатурой дел, отбираются к уничтожению. Работу по отбору дел (нарядов) к уничтожению осуществляют работники архива. Акты на выделенные к уничтожению дела (наряды) рассматриваются экспертной комиссией университета. 6.6 В отношении некоторых документов действующим законодательством Российской Федерации могут быть установлены иные требования хранения, чем предусмотрено настоящим Положением. В таких случаях следует руководствоваться правилами, установленными соответствующим нормативным актом. 6.7 Защита персональных данных субъектов персональных данных от неправомерного их использования или утраты обеспечивается университетом за счет его средств в порядке, установленном Трудовым кодексом Российской Федерации и федеральными законами. 6.8 Внутренняя защита. 6.8.1 В целях обеспечения сохранности и конфиденциальности персональных данных субъектов персональных данных все операции по сбору, накоплению, систематизации и хранению данной информации должны выполняться только лицами, уполномоченными на получение, обработку, хранение, передачу и другое использование персональных данных. Все лица, уполномоченные на получение, обработку, хранение, передачу и другое использование персональных данных, обязаны подписать обязательство о неразглашении конфиденциальной информации (персональных данных), не содержащей сведений, составляющих государственную тайну. 6.8.2 Ответы на запросы (письменные обращения) юридических лиц в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке университета и в том объеме, который позволяет не разглашать излишний объем персональных данных о субъектах персональных данных. Если же юридическое лицо, обратившееся с запросом, не уполномочено федеральным законом на получение персональных данных субъектов персональных данных, либо отсутствует письменное согласие субъекта персональных данных на предоставление его персональных данных, лицо, уполномоченные на получение, обработку, хранение, передачу и другое использование персональных данных обязано отказать в предоставлении персональных данных юридическому лицу. 6.8.3 Электронно-вычислительные машины, средствами которых осуществ-ляется работа с персональными данными, должны иметь парольную систему доступа. 6.9 Внешняя защита. 6.9.1 Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. 6.9.2 Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в структурных подразделениях, уполномоченных на обработку персональных данных. 6.9.3 Для обеспечения внешней защиты персональных данных необходимо разрабатывать и соблюдать организационные меры и использовать технические средства и системы в соответствии законодательством Российской Федерации. 7 Допуск к персональным данным 7.1 Внутренний доступ (доступ внутри организации). 7.1.1 Право доступа к персональным данным субъекта персональных данных имеют: – ректор; – проректоры; – руководители структурных подразделений по направлению деятельности (доступ к персональным данным только работников своего подразделения); – лица, уполномоченные на получение, обработку, хранение, передачу и другое использование персональных данных; – субъект персональных данных. 7.1.2 В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией ректора или проректора, доступ к персональным данным может быть предоставлен иному работнику, который не назначен лицом, уполномоченным на получение, обработку, хранение, передачу и другое использование персональных данных. 7.1.3 Доступ субъекта персональных данных к своим персональных данным предоставляется при личном обращении к лицу, уполномоченному на получение, обработку, хранение, передачу и другое использование персональных данных или через законного представителя, а также путем направления им запроса. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя (Приложение № 3). При личном обращении субъект персональных данных или его законный представитель должен предъявить документ, удостоверяющий его личность, на основании которого лицо, уполномоченное на получение, обработку, хранение и передачу персональных данных, произведет идентификацию личности субъекта или его законного представителя. 7.2 Внешний доступ. 7.2.1 Получателями персональных данных субъектов персональных данных в пределах полномочий, установленных федеральными законами, являются: – Фонд социального страхования Российской Федерации; – Пенсионный фонд Российской Федерации; – налоговые органы; – Федеральная инспекция труда; – военные комиссариаты; – правоохранительные органы (суды общей юрисдикции, арбитражные суды, Конституционный суд, прокуратура, следственный комитет при прокуратуре, Федеральная миграционная служба, Федеральная служба безопасности, Федеральная таможенная служба, Федеральная служба судебных приставов, органы внутренних дел); – профессиональные союзы и иные органы. 7.2.2 Организации, в которые субъект персональных данных может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения и т.п.), могут получать доступ к персональным данным работника (обучающегося) только в случае его письменного разрешения. 7.2.3 Сведения об уже уволенном работнике могут быть предоставлены сторонним организациям только на основании письменного запроса на официальном бланке организации, с приложением копии заявления работника (Приложение № 4). Аналогичное правило применяется в отношении отчисленных обучающихся. 7.2.4 Родственники и члены семей. Персональные данные субъекта персональных данных могут быть предоставлены родственникам или членам его семьи только с письменного согласия самого субъекта персональных данных. 8 Передача персональных данных 8.1 При передаче персональных данных субъекта персональных данных лицо, уполномоченное на получение, обработку, хранение, передачу и другое использование персональных данных должно соблюдать следующие требования: 8.1.1 Не сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в других случаях, предусмотренных Трудовым кодексом или иными федеральными законами. 8.1.2 Не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия. 8.1.3 Предупредить лиц, получающих персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта персональных данных, обязаны соблюдать режим конфиденциальности. 8.1.4 Осуществлять передачу персональных данных субъектов персональных данных в пределах университета в соответствии с настоящим Положением. 8.1.5 Разрешать доступ к персональным данным субъектов персональных данных только лицам, уполномоченным на получение, обработку, хранение, передачу и другое использование персональных данных, при этом указанные лица должны иметь право получать только те персональные данные субъекта персональных данных, которые необходимы для выполнения конкретных функций. 8.1.6 Не запрашивать информацию о состоянии здоровья работника (обучающегося), за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции (возможности обучения). 8.1.7 Передавать персональные данные субъекта персональных данных его законному представителю в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, и ограничивать эту информацию только теми персональными данными субъекта персональных данных, которые необходимы для выполнения указанными законными представителями их функций. 8.1.8 Передавать персональные данные субъекта персональных данных третьей стороне в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных. 8.1.9 При передаче персональных данных субъекта персональных данных за пределы университета не сообщать эти данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных или в случаях, установленных федеральным законом. 8.1.10 Не отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу. 8.1.11 По возможности персональные данные обезличивать. Лицо, уполномоченное на получение, обработку, хранение, передачу и другое использование персональных данных для проведения научных, статистических, социологических, медицинских и других исследований обязано обезличить их посредством вывода из персональных данных части данных, которые позволяют идентифицировать физическое лицо, придавая им форму анонимных сведений, которые не могут быть ассоциированы идентифицированной или идентифицируемой личностью. 9 Права и обязанности субъекта персональных данных 9.1 В целях обеспечения защиты персональных данных, хранящихся в университете, субъект персональных данных имеет право на: – полную информацию о своих персональных данных и обработке этих данных, в том числе автоматизированной; – свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных федеральным законом; – определение своих представителей для защиты своих персональных данных; – доступ к относящимся к нему медицинским данным с помощью медицинского специалиста по его выбору; – требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса Российской Федерации или иного федерального закона; – требование об извещении всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях; – обжалование в суд любых неправомерных действий или бездействия при обработке и защите его персональных данных. 9.2 В целях обеспечения достоверности персональных данных субъект персональных данных обязан: – предоставить полные достоверные данные о себе; – в случае изменения сведений, составляющих персональные данные, незамедлительно известить университет о соответствующих изменениях. |
Похожие:
 | Настоящее Положение определяет порядок оформления, ведения, учета и хранения студенческих билетов и зачетных книжек в федеральном... | | Работа), обучающихся по программам подготовки бакалавров и специалистов в Федеральном государственном бюджетном образовательном учреждении... |
| Устава федерального государственного бюджетного образовательного учреждения высшего профессионального образования «Дальневосточный... | | Федеральном государственном бюджетном образовательном учреждении высшего профессионального образования |
| Федеральном государственном бюджетном образовательном учреждении высшего профессионального образования | | Настоящее положение определяет порядок перевода, восстановления, отчисления студентов, предоставление академического отпуска в федеральном... |
| Работа выполнена в Федеральном государственном бюджетном образовательном учреждении высшего профессионального образования «Тюменский... | | Огарёва» (далее – Положение) определяет порядок выбора и дальнейшего освоения элективных и факультативных дисциплин в федеральном... |
| Положение об ускоренном обучении по образовательным программам высшего образования в федеральном государственном бюджетном образовательном... | | Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования |