.png "Санкт-Петербургский национальный университет государственного управления, экономики и права"){kind=logo}
Работа с персональными данными
УТВЕРЖДЕНА
приказом СПбНУ ГУЭП
от 24 марта 2020 № 03.24/9-п
ПОЛИТИКА
в отношении обработки персональных данных в
Санкт-Петербургском национальном университете государственного управления, экономики и права
1.1. Политика в отношении обработки персональных данных в Санкт-Петербургском национальном университете государственного управления, экономики и права (далее – Политика) определяет позицию и намерения Автономной некоммерческой образовательной организации высшего образования Санкт-петербургский национальный университет государственного управления, экономики и права (далее – Университет, оператор) в области обработки и защиты персональных данных лиц, состоящих в договорных отношениях с Университетом, обеспечении их целостности и сохранности.
1.2. Политика разработана в соответствии с пунктом 2 части 1 статьи 18.1 Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных»). Политика содержит сведения, подлежащие раскрытию в соответствии с частью 1 статьи 14 ФЗ «О персональных данных», и является общедоступным документом.
1.3. Политика предназначена для изучения и неукоснительного исполнения руководителями и работниками всех структурных подразделений Университета.
1.4. Основные понятия, используемые в настоящей Политике:
1.4.1. персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
1.4.2. оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, в данном случае оператор – Университет;
1.4.3. обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:
−сбор;
−запись;
−систематизацию;
−накопление;
−извлечение;
−использование;
−передачу (распространение, предоставление, доступ);
−обезличивание;
−блокирование;
−удаление;
−уничтожение;
1.4.4. автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
1.4.5. распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
1.4.6. предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
1.4.7. блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
1.4.8. уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
1.4.9. обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
1.4.10. информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.5. Субъект персональных данных имеет право:
1.5.1. на получение по запросу персональных данных, относящихся к данному субъекту, и информации, касающейся их обработки;
1.5.2. на уточнение, блокирование или уничтожение его персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
1.5.3. на отзыв данного им согласия на обработку персональных данных;
1.5.4. на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке;
1.5.5. на обжалование действий или бездействия оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
1.6. Оператор персональных данных обязан:
1.6.1. опубликовать политику в отношении обработки персональных данных в открытом доступе;
1.6.2. назначить ответственного работника за организацию обработки персональных данных;
1.6.3. обеспечить защиту персональных данных субъектов от неправомерного их использования или утраты;
1.6.4. осуществлять внутренний контроль соответствия обработки персональных данных в соответствии с законодательством о персональных данных;
1.6.5. ознакомить работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, требованиями к защите персональных данных;
1.6.6. проводить обучение указанных работников;
1.6.7. предоставить субъекту информацию о его персональных данных не позднее трех рабочих дней со дня подачи письменного заявления и выдать заявителю копии документов, связанных с работой или обучением, заверенные надлежащим образом;
1.6.8. в срок, не превышающий 7 (семь) рабочих дней со дня предоставления субъектом сведений, подтверждающих, что его персональные данные являются неполными, неточными или неактуальными, внести в них необходимые изменения, а затем уведомить субъекта о внесенных изменениях.
2.1. Целями сбора и обработки персональных данных является реализация прав граждан на поступление в Университет и дальнейшее обучение в соответствии с федеральным законом от 29 декабря 2012 № 273-ФЗ «Об образовании в Российской Федерации», осуществление Университетом образовательной, научной и иной деятельности в соответствии с его Уставом, формирование и ведение информационных систем обеспечения процессов поступления, обучения и иной деятельности Университета, исполнения оператором обязательств по трудовому договору, оказание образовательных услуг, содействие в трудоустройстве, обеспечение личной безопасности.
2.2. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3.1. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение и в соответствии с которыми оператор осуществляет обработку персональных данных, в том числе:
3.1.1. Трудовой кодекс Российской Федерации;
3.1.2. Налоговый кодекс Российской Федерации;
3.1.3. Федеральный закон от 1 апреля 1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
3.1.4. Федеральный закон от 29 декабря 2012 № 273-ФЗ «Об образовании в Российской Федерации»;
3.1.5. Федеральный закон от 27 июля 2006 № 152-ФЗ «О персональных данных»;
3.1.6. Федеральный закон от 27 июля 2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
3.1.7. Федеральный закон от 27 декабря 1991 № 2124-1 «О средствах массовой информации»;
3.1.8. постановление Правительства Российской Федерации от 15 сентября 2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных осуществляемой без использования средств автоматизации»;
3.1.9. постановление Правительства Российской Федерации от 1 ноября 2009 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
3.1.10. приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
3.1.11. согласие субъекта на обработку персональных данных;
3.1.12. Устав Университета.
4.1. Содержание и объем обрабатываемых персональных соответствуют заявленным целям обработки.
4.2. По всем категориям субъектов персональных данных, персональные данные обрабатываются оператором с согласия субъектов персональных данных, предоставляемого либо в письменной форме, либо при совершении конклюдентных действий.
4.3. К категориям субъектов персональных данных, чьи персональные данные обрабатываются оператором относятся:
4.3.1. работники Университета;
4.3.2. лица, поступающие в Университет;
4.3.3. лица, обучающиеся в Университете;
4.3.4. лица, состоящие в договорных отношениях с Университетом;
4.3.5. лица, посещающие объекты Университета;
4.3.6. лица, обратившиеся в Университет с обращением (заявлением, жалобой, предложением);
4.3.7. лица, посещающие официальный сайт Университета в информационно-телекоммуникационной сети «Интернет».
4.4. Оператор обрабатывает следующие персональные данные работников Университета:
4.1.1. фамилия, имя, отчество (при наличии);
4.1.2. документ, удостоверяющий личность, в т.ч. копия документа (реквизиты документа, серия, номер, когда и кем выдан, код подразделения);
4.1.3. пол;
4.1.4. дата и место рождения;
4.1.5. место регистрации (постоянное/временное);
4.1.6. место фактического проживания;
4.1.7. номера контактных телефонов;
4.1.8. индивидуальный налоговый номер (ИНН);
4.1.9. номер свидетельства государственного пенсионного страхования (СНИЛС);
4.1.10. сведения об образовании, данные документа об образовании, в т.ч. копия документа (реквизиты, серия, номер, дата выдачи, вид образования, название учебного учреждения, год окончания, вид обучения, специальность, квалификация);
4.1.11. сведения о повышении квалификации, в т.ч. копия документа (реквизиты, серия, номер, дата выдачи);
4.1.12. основная профессия, специальность, должность в Университете;
4.1.13. подразделение (место работы);
4.1.14. сведения о предыдущих местах и стаже работы, в т.ч. копия трудовой книжки (дата приема и увольнения, место работы, должность);
4.1.15. ученая степень;
4.1.16. семейное положение, в том числе сведения о детях;
4.1.17. ближайшие родственники;
4.1.18. научно-педагогический стаж;
4.1.19. страховой стаж;
4.1.20. наличие и виды наград, достижения, благодарности;
4.1.21. электронная почта (e-mail);
4.1.22. фотография;
4.1.23. сумма, подлежащая начислению;
4.1.24. подпись и расшифровка подписи;
4.1.25. сведения свидетельства о браке, в т.ч. копия документа;
4.1.26. результаты медицинского обследования на предмет годности к осуществлению трудовых функций, в т.ч. копия медицинской книжки;
4.1.27. сведения о наличии/отсутствии судимости, в т.ч. копия справки.
4.2. Оператор обрабатывает следующие персональные данные лиц, поступающих и обучающихся в Университете:
4.2.1. фамилия, имя, отчество (при наличии);
4.2.2. документ, удостоверяющий личность, в т.ч. копия документа (реквизиты документа, серия, номер, когда и кем выдан, код подразделения);
4.2.3. сведения о гражданстве или его отсутствии;
4.2.4. пол;
4.2.5. дата и место рождения;
4.2.6. место регистрации (постоянное/временное);
4.2.7. место фактического проживания;
4.2.8. номера контактных телефонов;
4.2.9. электронная почта (e-mail);
4.2.10. фамилия, имя, отчество (при наличии) родителей, их контактные данные;
4.2.11. сведения об образовании, данные документа об образовании, в т.ч. копия документа (реквизиты, серия, номер, дата выдачи, вид образования, название учебного учреждения, год окончания, вид обучения, специальность, квалификация);
4.2.12. средний балл документа об образовании;
4.2.13. сведения о сдаче единого государственного экзамена (ЕГЭ) и его результатах;
4.2.14. свидетельство о рождении, в т.ч. копия документа (реквизиты документа, серия, номер, когда и кем выдан);
4.2.15. свидетельство о смерти обоих родителей или единственного родителя, в т.ч. копия документа (реквизиты документа, серия, номер, когда и кем выдан);
4.2.16. свидетельство о заключении брака, в т.ч. копия документа (реквизиты документа, серия, номер, когда и кем выдан);
4.2.17. свидетельство о перемене имени, в т.ч. копия документа (реквизиты документа, серия, номер, когда и кем выдан);
4.2.18. справка органа записи актов гражданского состояния (ЗАГС), в т.ч. копия документа (реквизиты документа, серия, номер, когда и кем выдан);
4.2.19. решение суда о лишении обоих или единственного родителя родительских прав, в т.ч. копия документа (реквизиты документа, серия, номер, когда и кем выдан);
4.2.20. решение суда о признании обоих или единственного родителя безвестно отсутствующими, в т.ч. копия документа (реквизиты документа, серия, номер, когда и кем выдан);
4.2.21. удостоверение ветерана боевых действий, в т.ч. копия документа (реквизиты документа, серия, номер, когда и кем выдан);
4.2.22. документы, подтверждающие индивидуальные достижения при приеме на обучение, в т.ч. копия документов (реквизиты документов, серия, номер, когда и кем выдан);
4.2.23. справка, подтверждающая факт установления инвалидности, в т.ч. копия документа (реквизиты документа, серия, номер, когда и кем выдан);
4.2.24. индивидуальная программа реабилитации инвалида, ребенка-инвалида, в т.ч. копия документа (реквизиты документа, серия, номер, когда и кем выдан);
4.2.25. заключение федерального учреждения медико-социальной экспертизы, в т.ч. копия документа (реквизиты документа, серия, номер, когда и кем выдан);
4.2.26. фотография;
4.2.27. номер зачетной книжки;
4.2.28. посещаемость;
4.2.29. успеваемость;
4.2.30. номер читательского билета;
4.2.31. номер студенческого билета;
4.2.32. номер группы;
4.2.33. форма обучения;
4.2.34. направление (специальность) обучения;
4.2.35. сведения о воинском учете;
4.2.36. подпись и расшифровка подписи;
4.2.37. результат медицинского обследования о состоянии здоровья.
4.3. Оператор обрабатывает следующие персональные данные лиц, состоящих в договорных отношениях с Университетом:
4.3.1. фамилия, имя, отчество (при наличии);
4.3.2. документ, удостоверяющий личность, в т.ч. копия документа (реквизиты документа, серия, номер, когда и кем выдан, код подразделения);
4.3.3. дата рождения;
4.3.4. место регистрации (постоянное/временное);
4.3.5. номера контактных телефонов;
4.3.6. электронная почта (e-mail);
4.3.7. индивидуальный налоговый номер (ИНН);
4.3.8. номер свидетельства государственного пенсионного страхования (СНИЛС);
4.3.9. сведения об образовании, данные документа об образовании, в т.ч. копия документа (реквизиты, серия, номер, дата выдачи, вид образования, название учебного учреждения, год окончания, вид обучения, специальность, квалификация);
4.3.10. ученая степень;
4.3.11. научно-педагогический стаж;
4.3.12. результаты медицинского обследования на предмет годности к осуществлению трудовых функций, в т.ч. копия медицинской книжки;
4.3.13. сведения о наличии/отсутствии судимости, в т.ч. копия справки.
4.4. Оператор обрабатывает следующие персональные данные лиц, посещающих объекты Университета:
4.4.1. фамилия, имя, отчество (при наличии).
4.5. Оператор обрабатывает следующие персональные данные лиц, обратившихся в Университет с обращением (заявлением, жалобой, предложением):
4.5.1. фамилия, имя, отчество (при наличии);
4.5.2. почтовый адрес;
4.5.3. номер контактного телефона;
4.5.4. электронная почта (e-mail).
4.6. Оператор обрабатывает следующие персональные данные лиц, посещающих официальный сайт Университета в информационно-телекоммуникационной сети «Интернет»:
4.6.1. фамилия, имя, отчество (при наличии);
4.6.2. номера контактных телефонов;
4.6.3. электронная почта (e-mail);
4.6.4. пользовательские данные:
− сведения о местоположении;
− тип и версия операционной системы;
− тип и версия браузера;
− тип устройства и разрешение его экрана;
− источник откуда пришел пользователь на сайт;
− с какого сайта или по какой рекламе;
− язык операционной системы и браузера;
− какие страницы сайта открывает пользователь и осуществляет переход;
− IP-адрес.
5.1. Оператор обрабатывает персональные данные на законной и справедливой основе для выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей, осуществления прав и законных интересов оператора, субъектов и третьих лиц.
5.2. Оператор получает персональные данные непосредственно у субъектов персональных данных.
5.3. Оператор обрабатывает персональные данные автоматизированным и неавтоматизированным способами, с использованием средств вычислительной техники и без использования таких средств.
5.4. Действия по обработке персональных данных включают в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.
5.5. Базы данных информации, содержащей персональные данные, находятся на территории Российской Федерации, в соответствии с частью 5 статьи 18 Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных».
5.6. Университет и работники Университета, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
5.7. Передача персональных данных третьим лицам, осуществляется по поручению оператора и с письменного согласия субъектов для каждой цели передачи персональных данных.
5.8. Университет вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным законодательством Российской Федерации.
5.9. Условиями прекращения обработки персональных данных являются: достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта на обработку его персональных данных, выявление неправомерной обработки персональных данных.
5.10. Срок хранения персональных данных – до достижения оператором целей обработки или до утраты необходимости в достижении этих целей, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
6.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации оператором, а обработка должна быть прекращена, соответственно.
6.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
6.3. Уничтожение персональных данных производится путем гарантированного удаления с машинных носителей информации при автоматизированной обработке информации.
6.4. При не автоматизированной обработке информации уничтожение материальных носителей производится согласно Порядка уничтожения персональных данных с составлением акта об уничтожении персональных данных.
7.1. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.
7.2. Настоящая Политика может быть изменена оператором в одностороннем порядке путем размещения новой редакции на официальном сайте Университета в информационно-телекоммуникационной сети «Интернет» по адресу https://spbnu.ru.
7.3. Контроль исполнения требования настоящей Политики осуществляется ответственным за организацию обработки персональных данных в Университете.
7.4. Ответственность работников Университета, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и нормативными актами Университета.