Глава 2. Принципы и условия обработки персональных данных
Статья 5. Принципы обработки персональных данных
1. В комментируемой статье определены принципы обработки ПД.
Необходимо отметить, что общие принципы обработки ПД были сформулированы в Директиве 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 г. "О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных" (см. ст. 6 упомянутого документа). А согласно ст. 7 Директивы 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 г. "О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных" государства-участники обязаны обеспечить, чтобы личные данные обрабатывались только в случаях, если:
- субъект данных недвусмысленно дал свое согласие;
- или обработка необходима для исполнения контракта, в котором субъект данных является стороной или для принятия мер до заключения контракта по просьбе субъекта данных;
- или обработка необходима для выполнения юридического обязательства, субъектом которого является контролер (физическое или юридическое лицо, официальный орган, агентство или иной орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных);
- или обработка необходима для защиты жизненных интересов субъекта данных;
- или обработка необходима в целях обеспечения законных интересов контролера или третьей стороны (сторон), которым раскрыты данные, кроме случаев, когда такие интересы перекрываются интересами фундаментальных прав и свобод субъекта данных, защита которых требуется согласно п. 1 ст. 1 упомянутого документа (государства-участники защищают фундаментальные права и свободы физических лиц, и, в частности, их право на неприкосновенность частной жизни применительно к обработке персональных данных).
Итак, ПД должны обрабатываться в первую очередь на основе принципа законности целей и способов обработки ПД и добросовестности. Анализ норм комментируемого Закона позволяет сформулировать некоторые основные практические советы, которыми должен руководствоваться оператор при обработке ПД для соблюдения требований действующего законодательства:
- должна быть обеспечена конфиденциальность ПД;
- ПД не должны передаваться третьим лицам без согласия субъекта данных;
- ПД должны быть защищены от несанкционированного доступа и распространения;
- ПД должны использоваться только для тех целей, для которых они были собраны и храниться не дольше, чем это требуется для достижения целей обработки;
- обработка ПД возможна только при условии согласия субъекта;
- оператор должен направить уведомление об обработке ПД в Уполномоченный орган (за исключением ряда случаев, о которых будет рассказано в комментарии к п. 2 ст. 22 Закона), а также иметь документ, в котором отражена политика обработки ПД;
- субъект ПД должен иметь возможность знакомиться с данными о себе;
- оператор должен информировать граждан о факте обработки ПД, предоставлять сведения о целях и способах обработки;
- граждане имеют право требовать уточнения информации, а также блокирования и уничтожения неточных ПД;
- обработка специальных категорий ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни допускается только в исключительных случаях и при соблюдении определенных условий.
Законодатель требует, чтобы ПД обрабатывались также с соблюдением принципа соответствия целей обработки ПД целям, заранее определенным и заявленным при сборе ПД, а также полномочиям оператора. Поэтому в организациях, обрабатывающих ПД, целесообразно иметь документ, который будет отражать политику организации в отношении обработки ПД. Это может быть Положение об обработке персональных данных. Такой документ может определять:
- цели и способы обработки ПД;
- категории, типы обрабатываемых ПД;
- категории субъектов, ПД которых обрабатываются;
- правовое основание обработки ПД;
- перечень действий с ПД;
- условия прекращения обработки ПД;
- порядок получения доступа к ПД;
- условия раскрытия и объем ПД, доступных партнерам и третьим лицам;
- перечень лиц, ответственных за рассмотрение жалоб и запросов.
Примерный образец приказа об утверждении Положения о защите персональных данных работников
ООО "ГЕРДА-М"
Приказ N 35
5 мая 2010 г. г. Волгоград
Об утверждении Положения
о защите персональных данных работников
В целях обеспечения защиты персональных данных работников организации, в соответствии с Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" и иными федеральными законами
приказываю:
1) утвердить Положение о защите персональных данных работников ООО "ГЕРДА-М";
2) ознакомить под роспись всех работников предприятия с текстом данного документа.
Директор _________________ Петров С.В.
Примерный образец Положения об обработке персональных данных студентов
Положение
об обработке персональных данных студентов Уральского технологического института
1. Основные понятия.
1.1. Настоящее Положение (далее - Положение) разработано в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом "Об информации, информационных технологиях и о защите информации", Федеральным законом "О персональных данных", Федеральным законом "Об образовании", Федеральным законом "О высшем и послевузовском профессиональном образовании", международными обязательствами Российской Федерации в сфере соблюдения прав граждан, Уставом Уральского технологического института (далее - Института), Правилами внутреннего распорядка Института и определяет принципы и порядок работы с информацией, содержащей персональные данные, с использованием информационных систем персональных данных Института (далее - ИСПДн Института).
1.2. Понятия, используемые в Положении:
- персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), являющемуся работником Организации, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
- обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
- распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
- использование персональных данных - действия (операции) с персональными данными, совершаемые работодателем в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работника или других лиц, либо иным образом затрагивающих права и свободы работника или других лиц;
- блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
- уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных - система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
- конфиденциальность персональных данных - обязательное для соблюдения работодателем или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия работника или наличия иного законного основания;
- общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами Российской Федерации не распространяется требование соблюдения конфиденциальности.
- Работники Организации - лица, имеющие трудовые отношения с Организацией, либо кандидаты на вакантную должность, вступившие с Организацией в отношения по поводу приема на работу.
- оператор - лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных.
2. Общие положения.
2.1. В настоящем Положении под субъектами персональных данных, данные которых предполагается обрабатывать в ИСПДн Института, понимаются студенты Института (далее - субъекты персональных данных).
2.2. Порядок ввода в действие и изменения Положения:
2.2.1. Настоящее Положение вступает в силу с момента его утверждения ректором Института и действует бессрочно, до замены его новым Положением.
2.2.2. Все изменения в Положение вносятся приказом ректора.
2.2.3. Контроль соблюдения требований настоящего Положения и контроль организационных мероприятий осуществляет Первый проректор Института. Контроль технологических и технических мероприятий, связанных с исполнением норм Федерального закона "О персональных данных" и настоящего Положения, осуществляет руководитель управления информатизации Института.
2.2.4. Все субъекты персональных данных должны быть ознакомлены с настоящим Положением под роспись.
2.2.5. Режим конфиденциальности персональных данных снимается в случаях их обезличивания или по истечении сроков их обработки, или продлевается на основании заключения экспертной комиссии Института, если иное не определено законом.
3. Цели и задачи обработки персональных данных в Институте.
3.1. Институт, являясь оператором персональных данных, определяет цели и содержание обработки персональных данных.
3.2.Обработка персональных данных в Институте осуществляется с целью содействия субъектам персональных данных в осуществлении учебной, научной, трудовой деятельности, обеспечения личной безопасности, учета результатов исполнения договорных обязательств, а также наиболее полного исполнения Институтом обязательств и компетенций в соответствии с Федеральными законами "Об образовании" и "О высшем и послевузовском профессиональном образовании".
3.3. Обработка персональных данных студентов Института осуществляется для решения следующих задач:
- учета информации о студенческом составе вуза и о движении студентов, информации об обучении;
- формирования отчетов по Институту;
- назначения и начисление стипендий и иных выплат;
- обработки данных приемной кампании Института, учета личных данных абитуриентов и участников централизованного тестирования, обработка результатов вступительных испытаний;
- обработки личных дел и индивидуальных планов аспирантов, соискателей и докторантов, анализ деятельности по подготовке и аттестации научных и научно-педагогических кадров;
- комплексного мониторинга деятельности Института, мониторинга качества учебного процесса;
- бухгалтерского учета и контроля финансово-хозяйственной деятельности Института и исполнения финансовых обязательств по заключенным договорам;
- обработки электронных библиотечных карт и читательских билетов, обеспечение учета книговыдачи;
- предоставления субъекту сведений об его обучении в Институте в период обучения и после него;
- поддержания контактов с законными представителями субъекта персональных данных;
- иных задач, необходимых для повышения качества и эффективности деятельности Института.
4. Состав персональных данных субъектов персональных данных, обрабатываемых в Институте.
4.1. Состав персональных данных, обрабатываемых в Институте, определяется настоящим Положением, а также "Перечнем персональных данных" и соответствует целям и задачам сбора, обработки и использования персональных данных в соответствии с разделом 3 настоящего Положения.
4.2. Перечень персональных данных, обрабатываемых в Институте утверждается ректором Института.
При добавлении новых информационных полей, содержащих персональные данные, в базы данных ИСПДн Института проводится дополнительное анкетирование субъектов персональных данных. Если субъект ранее дал согласие на обработку своих персональных данных с использованием автоматизированной информационной системы, то, заполняя дополнительную анкету, он дает согласие на обработку дополнительной информации персонального характера, перечень которой указан в анкете. Форма дополнительной анкеты разрабатывается отдельно и утверждается ректором Института.
5. Права субъектов персональных данных.
5.1. Субъект персональных данных своей волей и в своем интересе принимает решение о предоставлении своих персональных данных и дает согласие на их обработку.
5.2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных по письменному заявлению на имя ректора Института с указанием причин отзыва. При подаче заявления необходимо предъявить основной документ удостоверяющий личность. После отзыва согласия все персональные данные, содержащиеся в ИСПДн с использованием средств автоматизации в течение трех дней уничтожаются без возможности восстановления, о чем субъект персональных данных уведомляется в письменной форме. Данные находящиеся на бумажных носителях передаются в архив и хранятся в течение сроков, установленных законодательством.
5.3. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными.
5.4. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
5.5. Сведения о персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
5.6. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при получении письменного запроса субъекта персональных данных или его законного представителя. Письменный запрос должен быть адресован на имя ректора Института, содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. При подаче заявления субъект персональных данных должен предъявить основной документ удостоверяющий личность для проверки сведений указанных в заявлении.
5.7. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований ФЗ "О персональных данных" или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
5.8. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
6. Порядок сбора, хранения и использования персональных данных.
6.1. Сбор персональных данных осуществляется в соответствии с нормативно-правовыми актами Российской Федерации в области образования, нормативными и распорядительными документами Минобрнауки России, Рособразования и Рособрнадзора, настоящим Положением и приказами Института.
6.2. Информация персонального характера может быть получена непосредственно от субъекта персональных данных и только с его письменного согласия.
6.3. При необходимости сбора персональных данных законных представителей абитуриентов, обучающихся, выпускников законные представители должны дать письменное согласие на обработку их персональных данных.
6.4. Оператор не вправе требовать от субъекта персональных данных предоставления информации о его национальности и расовой принадлежности, политических и религиозных убеждениях и о его частной жизни без его письменного согласия.
6.5. Согласие субъекта персональных данных не требуется получать в следующих случаях:
- обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
- обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
- обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи;
- обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии.
6.6. Субъекты персональных данных при получении от них согласия на обработку персональных данных в ИСПДн Института должны быть ознакомлены с перечнем собираемых и используемых сведений, с целями и задачами сбора, хранения и использования персональных данных.
6.7. Анкеты, содержащие информацию персонального характера, а также согласие на обработку персональных данных с использованием ИСПДн Института должны храниться в личном деле.
6.8. Ввод персональных данных в автоматизированные ИСПДн Института осуществляется сотрудником в соответствии с его должностными обязанностями. На бумажном носителе информации, содержащей персональные данные (анкеты, личные листки и др.) работник, осуществляющий ввод данных, оставляет отметку с информацией о должности, фамилии, имени, отчестве лица, осуществившего ввод данных, а также дату ввода информации.
6.9. Сотрудники, осуществляющие ввод и обработку данных с использованием автоматизированных ИСПДн Института, несут ответственность за полноту введенной информации и не должны вносить изменения, противоречащие информации, полученной непосредственно от субъекта персональных данных.
6.10. Персональные данные могут храниться в бумажном и(или) электронном виде централизованно или в соответствующих структурных подразделениях с соблюдением предусмотренных нормативно-правовыми актами Российской Федерации мер по защите персональных данных. Право на обработку персональных данных предоставляется работникам структурных подразделений и(или) должностным лицам, определенным настоящим Положением, а также "Перечнем сотрудников, допущенных к обработке персональных данных", распорядительными документами или письменными указаниями ректора.
6.11. Хранение и обработка персональных данных в
автоматизированных ИСПДн Института осуществляется на серверах
____________________________ с использованием специализированного
программного обеспечения, отвечающего требованиям информационной
безопасности.
6.12. В случае если для научных, прикладных исследований, для решения задач статистики необходимо сохранить персональные данные, которые больше не используются в тех целях, ради которых они были собраны, эти данные могут сохраняться преимущественно в обезличенной форме в виде анонимных сведений.
6.13. На сайте Института могут быть размещены общедоступные персональные данные, перечень которых определяется настоящим Положением и согласием субъекта персональных данных на момент передачи в открытые источники.
7. Предоставление доступа сотрудников к персональным данным и передача персональных данных третьим лицам.
7.1. Право доступа к персональным данным субъектов персональных данных имеют:
- ректор Института и лица его замещающие;
- сотрудники бухгалтерии;
- сотрудники деканатов;
- кураторы учебных групп (списки студентов, информация о контактных телефонах студентов, либо при отсутствии телефона - информация о фактическом месте проживания);
- руководители и сотрудники структурных подразделений в соответствии со своим направлением деятельности;
- иные сотрудники Института, которым в соответствии с их должностными обязанностями требуется доступ к персональным данным субъектов персональных данных Института в соответствии с "Перечнем сотрудников, допущенных к обработке персональных данных".
7.2. Доступ сотрудников к персональным данным осуществляется по спискам, которые готовятся руководителями структурных подразделений и утверждаются ректором Института. Руководители структурных подразделений несут ответственность за необоснованную выдачу допуска сотрудникам своих подразделений.
7.3. Ознакомление лиц с персональными данными субъектов персональных данных Института должно осуществляться только по необходимости и в тех объемах, которые необходимы для выполнения возложенных на них функций.
7.4. Списки кураторов учебных групп ежегодно в срок до "___" _______________ г. готовятся лицом, ответственным за проведение кураторской работы, и утверждаются ректором Института.
7.5. Порядок передачи информации, содержащей персональные данные, обрабатываемые Институтом, внутри Института определяется должностными обязанностями сотрудников или приказами (распоряжениями) по Институту.
7.6. В соответствии с законодательством Российской Федерации персональные данные, обрабатываемые Институтом, могут быть переданы правоохранительным, судебным органам и другим учреждениям, которые имеют на это право на основании федерального законодательства, а также в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороноспособности страны и безопасности государства без получения согласия субъекта персональных данных.
7.7. Решение о передаче информации, содержащей персональные данные, обрабатываемые Институтом, третьим лицам, принимается ректором Института на основании их письменного запроса, если иное не предусмотрено договором или федеральным законодательством.
7.8. Передача информации третьей стороне возможна только при письменном согласии субъектов персональных данных.
8. Ответственность за нарушение требований настоящего положения.
8.1. Оператор, а также должностные лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность. |
