Положение об обработке персональных данных в ГУАП

1. Общие положения

Положение об обработке персональных данных (далее – Положение) разработано в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации (далее – ТК РФ), Федеральным законом от 27.07.2006 № 152 ФЗ «О персональных данных» (далее – ФЗ 152), Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и иных нормативных правовых актов Российской Федерации.

Настоящее Положение определяет порядок обработки персональных данных и устанавливает общие требования к обеспечению безопасности персональных данных, обрабатываемых в федеральном государственном автономном учреждении высшего профессионального образования «Санкт-Петербургский государственный университет аэрокосмического приборостроения» (далее – Университет).

Целью настоящего Положения является обеспечение соответствия законодательству Российской Федерации действий работников Университета, направленных на обработку персональных данных работников, обучающихся, третьих лиц (других граждан), а также обеспечение защиты персональных данных от несанкционированного доступа, утраты, неправомерного их использования или распространения и установление ответственности работников Университета за невыполнение требований, регулирующих обработку персональных данных.

Положение вступает в силу с момента его утверждения приказом ГУАП и действует бессрочно, до замены его новым Положением. Все изменения и дополнения Положения вносятся приказом ГУАП.

Действие Положения распространяется на все структурные подразделения Университета. Все работники (обучающиеся) должны быть ознакомлены с ним под роспись.

В Положении используются следующие основные понятия:

работодатель — Государственное автономное учреждение высшего профессионального образования «Санкт-Петербургский государственный университет аэрокосмического приборостроения» (далее – Университет);

работник — физическое лицо, вступившее в трудовые отношения с работодателем;

обучающиеся — студенты, аспиранты, докторанты, слушатели, соискатели, абитуриенты, выпускники Университета;

персональные данные работника (обучающегося) – любая информация, необходимая Университету в связи с трудовыми отношениями (обучением) и касающаяся конкретного работника (обучающегося) Университета, а также сведения о фактах, событиях и обстоятельствах жизни работника (обучающегося), позволяющая идентифицировать его личность.

обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

конфиденциальность персональных данных — обязательное для соблюдения должностным лицом Университета, иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;

защита персональных данных — регламентированный технологический процесс, предупреждающий нарушение доступности, целостности, достоверности, конфиденциальности персональных данных работников (обучающихся) и обеспечивающий надежную безопасность информации о персональных данных в процессе деятельности Университета;

предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

распространение персональных данных — действия, направленные на раскрытие персональных данных работников (обучающихся) неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных работников (обучающихся) в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

использование персональных данных — действия (операции) с персональными данными, совершаемые работником Университета в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работников (обучающихся) либо иным образом затрагивающих их права и свободы или права и свободы других лиц.

блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных работников (обучающихся) в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных работников (обучающихся);

обезличивание персональных данных — действия, в результате которых невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному работнику (обучающемуся);

общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым представлен с согласия работника (обучающегося) или на которые в соответствии с законодательством не распространяется требование соблюдения конфиденциальности.

автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;

трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.

2. Состав персональных данных

К персональным данным относится следующая информация:

– фамилия, имя, отчество;

– дата и место рождения;

– паспортные данные;

– адрес регистрации, адрес места жительства;

– гражданство;

– сведения об образовании, о квалификации или о наличии специальных знаний или специальной подготовки;

– сведения трудовой книжки;

– сведения страхового свидетельства государственного пенсионного страхования;

– данные ИНН;

– данные о воинской обязанности;

– сведения о доходах, включая размер должностного оклада, надбавок, доплат, материальной помощи, стипендии и пр.;

– семейное положение, состав семьи;

– информация медицинского характера, в случаях предусмотренных законодательством, и результаты медицинского обследования работника;

– фотография работника (обучающегося);

– иные персональные сведения;

Данные сведения и документы, содержащие персональные данные, за исключением отнесенных к общедоступным и обезличенным персональным данным, являются конфиденциальными.

Университет осуществляет обработку персональных данных следующих категорий субъектов:

– работников, состоящих в трудовых отношениях с Университетом;

– обучающихся в Университете;

– иных физических лиц, данные о которых обрабатываются во исполнение уставных задач Университета.

Персональные данные работников Университета содержатся в следующих документах (копиях указанных документов):

– заявления работников (о принятии на работу, об увольнении и т.п.);

– паспорт (или иной документ, удостоверяющий личность);

– трудовая книжка;

– страховое свидетельство государственного пенсионного страхования;

– свидетельство о постановке на учёт в налоговый орган и присвоении ИНН;

– документы воинского учёта;

– документы об образовании, о квалификации или наличии специальных знаний, специальной подготовки;

– карточка Т-2;

– автобиография;

– личный листок по учёту кадров;

– медицинское заключение о состоянии здоровья, индивидуальная программа реабилитации, медицинская справка о прохождении медицинских осмотров;

– документы, содержащие сведения об оплате труда;

– другие документы, содержащие персональные данные и предназначенные для использования в служебных целях.

Персональные данные обучающихся Университета могут содержаться в следующих документах (копиях указанных документов):

– личное дело обучающегося;

– личное дело абитуриента;

– заявления абитуриента (о допуске к участию в конкурсе для поступления в Университет и др.);

– заявления обучающихся (в том числе о восстановлении, отчислении; о сдаче академической задолженности, о перезачете (переаттестации) дисциплины, о предоставлении академического отпуска и т.п.);

– личная карточка обучающегося;

– учебная карточка обучающегося;

– договор об обучении с оплатой его стоимости;

– справки (в том числе справки об оплате по договору);

– списки лиц, зачисленных в Университет;

– паспорт или иной документ, удостоверяющий личность;

– страховое свидетельство государственного пенсионного страхования;

– документы воинского учёта;

– документы об образовании, о квалификации или наличии специальных знаний, специальной подготовки (аттестат о среднем (полном) общем образовании с приложением, свидетельство о результатах единого государственного экзамена, дипломы, свидетельства и т.п.);

– медицинские документы, содержащие сведения о состоянии здоровья обучающегося (медицинская справка, врачебно-консультативное заключение, пр.);

– экзаменационные листы, зачетные книжки;

– справки об установлении инвалидности; индивидуальная программа реабилитации инвалида;

– документы, содержащие сведения о стипендии, материальной помощи и иных выплатах;

– документы, подтверждающие право на льготный порядок поступления в Университет (свидетельства о смерти родителей, постановление главы города (распоряжение администрации) об установлении опеки, попечительства над несовершеннолетним, свидетельство о рождении, ходатайства отдела опеки и попечительства, департамента семьи, опеки и попечительства о содействии в поступлении в Университет на имя ректора; решения суда о лишении родительских прав и взыскании алиментов; справки об установлении инвалидности, индивидуальная программа реабилитации лица и т.п.);

– документы, подтверждающие целевое направление лица на обучение;

– приказы по студентам, выписки из приказов;

– другие документы, содержащие персональные данные и предназначенные для использования в целях организации образовательного процесса.

3. Доступ к персональным данным

Работник (обучающийся) Университета вправе иметь свободный доступ к своим персональным данным независимо от вида, места и формы хранения документа Университета, содержащего его персональные данные.

К персональным данным работников (обучающихся) Университета в полном объеме вправе иметь доступ ректор университета и его заместители, Ученый секретарь Университета.

Должностные лица и работники структурных подразделений, которым персональные данные работников (обучающихся) необходимы для выполнения должностных обязанностей в соответствии с конкретными Должностными инструкциями, вправе иметь доступ к таким данным в объеме, необходимом для исполнения должностных обязанностей.

Разрешение на доступ к персональным данным работников (обучающихся) вправе дать только ректор, если соответствующие полномочия отсутствуют в Положении о структурном подразделении или Должностной инструкции работника.

Работники Университета получают доступ к обработке персональных данных для выполнения ими служебных (трудовых) обязанностей, после выполнения следующих мероприятий:

– ознакомления под роспись с документами Университета и нормативными актами Российской Федерации по обработке и обеспечению безопасности персональных данных;

– оформления письменного Обязательства о неразглашении персональных данных, форма которого утверждена приказом Университета (Приложение № 1 к настоящему Положению).

Руководители структурных подразделений Университета вправе иметь доступ к персональным данным работников (обучающихся) только своего конкретного структурного подразделения. При необходимости ректор (в соответствии со своей компетенцией) вправе дать распоряжение о временном допуске работника к общей базе данных работников (обучающихся) Университета.

При приеме на работу в Университет (переводе на другую работу внутри Университета), требующую в соответствии с должностной инструкцией или Положением о структурном подразделении доступа к персональным данным, работник должен в обязательном порядке подписать персональное Обязательство о неразглашении персональных данных, которые, начиная с даты его подписания, действуют бессрочно (Приложение № 1 к настоящему Положению).

4. Порядок сбора и получение персональных данных

Персональные данные Университет получает от работника (обучающегося) лично. Если персональные данные работника (обучающегося) возможно получить только у третьей стороны, то работник (обучающийся) должен быть уведомлен об этом заранее и от него должно быть получено предварительное письменное согласие. При этом работнику (обучающемуся) должно быть сообщено о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника (обучающегося) дать согласие на их получение.

Работник (обучающийся) и его представитель должны быть ознакомлены по их требованию с документами Университета, устанавливающими порядок обработки персональных данных работников (обучающихся), а также определяющими их права и обязанности в этой области.

Университет не имеет права получать и обрабатывать персональные данные работника (обучающегося) Университета о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, членстве в общественных организациях и его профсоюзной деятельности, за исключением случаев, предусмотренных нормативно-правовыми актами.

Университет не имеет права получать и обрабатывать персональные данные работника (обучающегося) о состоянии здоровья, за исключением тех сведений, которые относятся к вопросу о возможности выполнения субъектом трудовой функции (обучения).

Получение и обработка Университетом персональных данных работника (обучающегося) возможна без его согласия исключительно в следующих случаях:

– персональные данные являются общедоступными;

– персональные данные относятся к состоянию здоровья работника (обучающегося) и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов, либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника (обучающегося) невозможно;

– по требованию полномочных государственных органов в случаях, предусмотренных законодательством (Приложение № 2 к настоящему Положению);

– обработка персональных данных осуществляется на основании Трудового кодекса Российской Федерации или иного нормативно-правового акта, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке;

– обработка персональных данных осуществляется в целях исполнения трудового договора (договора на обучение), одной из сторон которых является работник (обучающийся);

– обработка персональных данных осуществляется для статистических или научных целей при условии обязательного обезличивания персональных данных;

– обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи и для рассмотрений претензий пользователей услугами связи;

– обработка ведется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы работника (обучающегося).

Письменное согласие работника (обучающегося) на обработку его персональных данных Университетом должно включать в себя:

– фамилию, имя, отчество, адрес места регистрации работника (обучающегося), реквизиты документа, удостоверяющего личность;

– цели обработки персональных данных;

– объем персональных данных, на обработку которых дает согласие работник (обучающийся);

– перечень действий с персональными данными, на совершение которых дает согласие работник (обучающийся);

– срок, в течении которого действует согласие, а также порядок его отзыва.

Форма бланка заявления работника (обучающегося) о персональных данных приведена в Приложении № 3 к настоящему Положению.

5. Организация обработки и защиты персональных данных

Основополагающие принципы обработки и защиты персональных данных работников (обучающихся):

– при обработке персональных данных работника (обучающегося) Университет вправе определять конкретные способы обработки, хранения и защиты персональных данных работника (обучающегося);

– работники Университета, которые в рамках исполнения должностных обязанностей имеют доступ к персональным данным, обязаны соблюдать режим конфиденциальности персональных данных на всех этапах их обработки;

– наличие в структурном подразделении четкой разрешительной системы доступа конкретного работника подразделения к служебным документам, делам и базам данных;

– систематизация, накопление, уточнение и использование персональных данных осуществляется путем оформления и ведения документов учета и баз данных субъектов персональных данных;

– защита персональных данных от неправомерного их использования или утраты обеспечивается Университетом за счет собственных средств.

5.1 Особенности организации обработки персональных данных, осуществляемой без использования средств автоматизации

Персональные данные при их обработке без использования средств автоматизации обособляются от иной информации путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

При фиксации персональных данных на материальных носителях не допускается запись на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. При обработке различных категорий персональных данных без использования средств автоматизации для каждой категории персональных данных должен использоваться отдельный материальный носитель.

При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться следующие условия:

– типовая форма должна содержать сведения о цели обработки персональных данных, наименование и адрес Университета, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

– типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных – при необходимости получения письменного согласия на обработку персональных данных;

– типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

– типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных.

Уточнение персональных данных при их обработке без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

Лица, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы:

– о факте обработки ими персональных данных, обработка которых осуществляется без использования средств автоматизации;

– о категориях обрабатываемых персональных данных;

– об особенностях и правилах осуществления такой обработки.

При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию Университета, или в иных аналогичных целях, должны соблюдаться следующие условия:

– необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена локальным актом Университета, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию Университета без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;

– копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;

– персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию Университета.

5.2 Порядок обеспечения безопасности при обработке и хранении персональных данных, осуществляемых с использованием средств автоматизации

Безопасность персональных данных работников (обучающихся) при их обработке в автоматизированных информационных системах Университета обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые в информационной системе информационные технологии.

Допуск должностных лиц к обработке персональных данных работников (обучающихся) в автоматизированной информационной системе осуществляется на основании соответствующих разрешительных документов и ключей доступа (паролей).

Размещение автоматизированных информационных систем с персональными данными должно обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого пребывания в соответствующих помещениях посторонних лиц.

Компьютеры и(или) электронные папки, в которых содержатся файлы с персональными данными, для каждого пользователя должны быть защищены индивидуальными паролями доступа, состоящими из 6 и более символов. Работа на компьютерах с персональными данными без паролей доступа или под чужими, а равно общими (одинаковыми) паролями, не допускается.

Пересылка персональных данных без использования специальных средств защиты по общедоступным сетям связи, в том числе Интернет, не допускается.

Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

При обработке персональных данных в информационной системе пользователями должно быть обеспечено:

– использование предназначенных для этого разделов (каталогов) носителей информации, встроенных в технические средства, или съемных маркированных носителей;

– недопущение физического воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

– постоянное использование антивирусного обеспечения для обнаружения зараженных файлов и незамедлительное восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

– недопущение несанкционированных выноса из помещений, установки, подключения оборудования, а также удаления, инсталляции или настройки программного обеспечения.

При осуществлении обработки персональных данных с использованием средств автоматизации для каждой информационной системы персональных данных должен быть назначен администратор, а для систем высоких классов – также администратор системы безопасности. Техническое обслуживание оборудования должно осуществляться соответствующим обслуживающим персоналом.

При обработке персональных данных в автоматизированной информационной системе разработчиками и администраторами систем должны обеспечиваться:

– обучение лиц, использующих средства защиты информации, применяемые в автоматизированных информационных системах, правилами работы с ними;

– учет лиц, допущенных к работе с персональными данными в автоматизированной информационной системе, прав и паролей доступа;

– учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;

– контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

– описание системы защиты персональных данных;

– иные требования по защите персональных данных, установленных инструкциями Университета по их использованию и эксплуатации.

Особенности обеспечения безопасности информации и конфиденциальности персональных данных, связанные с использованием конкретных автоматизированных информационных систем, определяются локальными нормативными документами Университета, регламентирующими порядок использования указанных информационных систем, а также эксплуатационной и инструктивной документацией, касающейся технических средств обработки персональных данных в рамках конкретной автоматизированной информационной системы.

6. Хранение и уничтожение персональных данных

Хранение персональных данных работников (обучающихся) должно осуществляться в форме, позволяющей определить субъект персональных данных. Срок хранения не должен превышать срока, который требуется для обработки персональных данных. Персональные данные подлежат уничтожению по достижении целей обработки.

Хранение персональных данных субъектов осуществляется на бумажных и машинных носителях информации в специально выделенных хранилищах подразделений Университета, а также в информационных системах Университета, обеспечивающих сохранность персональных данных и их защиту от несанкционированного доступа.

Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

Все находящиеся на хранении и в обращении съемные носители с персональными данными подлежат учёту. Каждый съемный носитель с записанными на нем персональными данными должен иметь этикетку, на которой указывается его уникальный учетный номер.

Учет и выдачу съемных носителей персональных данных по утвержденной форме осуществляют работники структурных подразделений, на которых возложены функции хранения носителей персональных данных. Работники Университета получают учтенный съемный носитель персональных данных от уполномоченного лица для выполнения работ на конкретный срок. При получении делаются соответствующие записи в журнале учета. По окончании работ пользователь сдает съемный носитель для хранения уполномоченному должностному лицу, о чем делается соответствующая запись в журнале учета.

Не допускается:

– хранение съемных носителей с персональными данными вместе с носителями открытой информации, на рабочих столах, либо оставление их без присмотра или передача на хранение другим лицам;

– вынос съемных носителей с персональными данными из служебных помещений для работы с ними на дому, в гостиницах и т. д.

При отправке или передаче персональных данных адресатам на съемные носители записываются только предназначенные адресатам данные. Отправка персональных данных адресатам на съемных носителях осуществляется в порядке, установленном для документов имеющих гриф «ДСП» (для служебного пользования). Вынос съемных носителей персональных данных для непосредственной передачи адресату осуществляется только с письменного разрешения руководителя соответствующего структурного подразделения Университета.

Уничтожение персональных данных в информационных системах, на машинных и бумажных носителях информации должно производиться в течение тридцати дней с даты достижения цели обработки (предельного срока хранения) персональных данных. При невозможности уничтожения персональных данных в течение тридцати дней с даты достижения цели обработки персональных данных, обеспечивается их блокирование и обеспечивает их уничтожение в срок, не превышающий шести месяцев.

Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.

О фактах утраты съемных носителей, содержащих персональные данные, либо разглашения содержащихся на них сведений немедленно ставится в известность руководитель соответствующего структурного подразделения Университета.

На утраченные носители составляется акт. Соответствующие отметки вносятся в журналы учета съемных носителей персональных данных.

Съемные носители персональных данных, пришедшие в негодность, или отслужившие установленный срок, подлежат уничтожению. Уничтожение съемных носителей с конфиденциальной информацией осуществляется соответствующей комиссией, состав которой утверждается приказом ректора Университета. По результатам уничтожения носителей составляется акт утвержденной формы.

7. Передача персональных данных

При передаче персональных данных работника (обучающегося) Университета работники Университета должны соблюдать следующие требования:

– не сообщать персональные данные работника (обучающегося) третьим лицам без письменного согласия работника (обучающегося), за исключением случаев, когда в соответствии с законодательством не распространяется требование соблюдения конфиденциальности.

– письменно предупреждать других юридических (физических) лиц, получающих персональные данные работника (обучающегося), о том, что эти данные могут быть использованы лишь в целях, для которых им были сообщены данные.

– осуществлять передачу структурным подразделениям и должностным лицам Университета персональные данные работников (обучающихся) в соответствии с порядком, установленным настоящей инструкцией.

– документировать передаваемые работниками Университета сведения о персональных данных работников (обучающихся) только в письменном виде. Устная передача сведений о персональных данных работников (обучающихся) Университета не допускается.

Передача персональных данных работников (обучающихся) по правомерным письменным запросам российских учреждений (организаций, предприятий) осуществляется по письменному распоряжению ректора или руководителя отдела ДОУ.

Ответ дается в письменной форме на Бланке служебного письма ГУАП, подписывается ректором, подпись которого при необходимости удостоверяется круглой печатью ГУАП с изображением Государственного герба Российской Федерации.

Сведения о персональных данных работника (обучающегося) предоставляются другому юридическому лицу только в случае правильного оформления запроса на служебном бланке юридического лица, который должен содержать номер ОГРН, подписанного его руководителем, подпись которого удостоверяется круглой печатью юридического лица. К запросу должен быть обязательно приложен документ, содержащий решение гражданина — субъекта персональных данных на передачу юридическому лицу конкретной информации о его персональных данных, причем подпись гражданина должна быть нотариально заверена. Для иностранного гражданина в обязательном порядке необходима легализация указанного документа в консульском учреждении Российской Федерации.

Передача Университетом персональных данных работника (обучающегося) Университета отечественным организациям, в которые работник (обучающийся) планирует осуществлять перечисление денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), осуществляется после получения письменного разрешения от работника (обучающегося) на такую передачу.

Передача персональных данных работника (обучающегося) членам его семьи или его родственникам осуществляется только после получения письменного разрешения самого работника (обучающегося) Университета и нотариально заверенной копии документа, подтверждающей степень родства.

В случае официально оформленного развода работника Университета бывшая его супруга (супруг) имеют право обратиться в Университет с письменным запросом о размере заработной платы работника, по которому Университет без согласия работника выдает соответствующую справку.

Трансграничная передача персональных данных осуществляется в следующем порядке:

До начала осуществления трансграничной передачи персональных данных структурное подразделение университета, осуществляющее подготовку документа на трансграничную передачу, обязано убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных — граждан Российской Федерации. При этом особое внимание следует уделять виду передаваемых данных, целям использования данных, стране окончательного назначения и действующим в стране конкретным положениям законодательства о персональных данных граждан, соблюдаемым в стране передачи.

Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав отечественных субъектов персональных данных:

– осуществляется в соответствии с законодательством Российской Федерации;

– может быть запрещена или ограничена в целях защиты здоровья, прав и законных интересов граждан Российской Федерации, обеспечения обороны стран и безопасности государства;

– осуществляется при наличии согласия в письменной форме на передачу персональных данных гражданина — заявление гражданина или иной документ, подписанный гражданином, личная подпись которого должна быть нотариально заверена и осуществлена в установленном порядке легализация в консульском учреждении Российской Федерации, находящемся на территории страны проживания гражданина.

Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав отечественных граждан — субъектов персональных данных, может осуществляться исключительно в случаях:

– при наличии согласия в письменной форме на передачу персональных данных гражданина — заявление гражданина или другой документ, личная подпись которого нотариально заверена, и осуществлена в установленном порядке легализация указанного документа в консульском учреждении Российской Федерации, находящемся на территории страны проживания гражданина;

– предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;

– предусмотренных федеральными законами Российской Федерации, если это необходимо в целях защиты интересов Российской Федерации, обеспечения обороны страны и безопасности государства;

– исполнение конкретного договора, стороной которого является работник (обучающийся) — субъект персональных данных;

Структурное подразделение Университета, осуществляющее подготовку документа на трансграничную передачу, не вправе давать ответы на поступившие запросы о персональных данных работника (обучающегося) по телефону, факсу и электронной почте.

8. Заключительные положения

Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.

Разглашение персональных данных, их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные, а также иные нарушения обязанностей по их защите и обработке, установленных настоящим Положением, другими локальными нормативными актами (приказами, распоряжениями) Университета, влечет наложение на сотрудника, имеющего доступ к персональным данным, дисциплинарного взыскания – замечания, выговора, увольнения.

Работник Университета, имеющий доступ к персональным данным и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба работодателю (п. 7 ст. 243 ТК РФ).

Работники Университета, имеющие доступ к персональным данным, виновные в их незаконном разглашении или использовании без согласия субъектов персональных данных из корыстной или иной личной заинтересованности и причинившие крупный ущерб, несут уголовную ответственность в соответствии со ст. 183 Уголовного кодекса Российской Федерации.