2. Информационная безопасность
  3. Локальные нормативные акты в сфере обеспечения информационной безопасности обучающихся

Локальные нормативные акты в сфере обеспечения информационной безопасности обучающихся

Политика в отношении обработки персональных данных в УПО «Колледж Казанского инновационного университета»

I. Общие положения

1.1. Назначение и область применения

ПОЛитика в отношении обработки ПЕРСОНАЛЬНЫХ ДАННЫХ УПО «Колледж Казанского инновационного университета имени В.Г. Тимирясова» (далее – Политика) представляет собой изложение основополагающих целей, задач и принципов учреждения профессионального образования «Колледж Казанского инновационного университета имени В.Г. Тимирясова» (далее – УПО «Колледж КИУ»), которыми УПО «Колледж КИУ» руководствуется в своей основной деятельности в отношении обработки ПДн.

Настоящая Политика является основным нормативным документом, определяющим основные цели, задачи, принципы и требования в отношении обработки ПДн в УПО «Колледж КИУ».

Настоящая Политика подготовлена в целях выработки необходимого минимального объема мер, соблюдение которых позволяет организовать законную обработку и защиту сведений, относящихся к ПДн субъектов ПДн в УПО «Колледж КИУ».

Действие Политики распространяется на все субъекты ПДн УПО «Колледж КИУ».

Полный текст Политики должен быть размещен на официальном Интернет-сайте УПО «Колледж КИУ».

После опубликования ПОЛИТИКА и документы, подготовленные на ее основе, должны быть надлежащим образом доведены до сведения всех субъектов ПДн УПО «Колледж КИУ».

1.2. Цели сбора ПДн

Обработка ПДн в УПО «Колледж КИУ» должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.

Цели обработки ПДн в УПО «Колледж КИУ» определяются исходя из требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных») и целей фактически осуществляемой УПО «Колледж КИУ» деятельности, а также деятельности, которая предусмотрена учредительными документами УПО Колледж КИУ, и конкретных бизнес-процессов УПО «Колледж КИУ» в конкретных ИСПДн (по филиалам и структурным подразделениям УПО «Колледж КИУ» и их процедурам в отношении определенных категорий субъектов ПДн).

1.3. Правовые основания обработки ПДн

Законодательство Российской Федерации в области ПДн основывается на Конституции Российской Федерации, международных документах и нормативно-правовых документах, регламентирующих деятельность в области обработки и защиты ПДн в Российской Федерации и состоит, в первую очередь, из ФЗ «О персональных данных», а также других, определяющих случаи и особенности обработки ПДн, нормативно-правовых документов.

ФЗ «О персональных данных» регулирует отношения, связанные с обработкой ПДн, а также закрепляет требования, предъявляемые к операторам при обработке ПДн.

Правовым основанием обработки ПДн является совокупность правовых актов, во исполнение которых и в соответствии с которыми, УПО «Колледж КИУ», как оператор ПДн, осуществляет обработку ПДн.

В качестве правового основания обработки ПДн используются:

  • федеральные законы и принятые на их основе нормативно-правовые акты, регулирующие отношения, связанные с деятельностью УПО «Колледж КИУ», как оператора ПДн;
  •  уставные документы УПО «Колледж КИУ»;
  • договоры, заключенные между оператором ПДн и субъектом ПДн;
  • согласие на обработку ПДн (в случаях, прямо не предусмотренных российским законодательством, но соответствующих полномочиям оператора ПДн).

При подготовке настоящей Политики использовались следующие нормативно-правовые документы российского законодательства.

  • Конституция Российской Федерации;
  • Гражданский Кодекс Российской Федерации;
  • Кодекс Российской Федерации об административных правонарушениях;
  • Трудовой Кодекс Российской Федерации;
  • Налоговый Кодекс Российской Федерации;
  • Уголовный Кодекс Российской Федерации;
  • Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
  • Федеральный закон от 29 декабря 2012 г. № 273-ФЗ «Об образовании в Российской Федерации»;
  • «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденное Постановлением Правительства Российской Федерации от 15 сентября 2008 г. №687;
  • «Требования к защите персональных данных при их обработке в информационных системах персональных данных», утвержденные Постановлением Правительства Российской Федерации от 1 ноября 2012 г. №1119;
  • Устав учреждения профессионального образования «Колледж Казанского инновационного университета имени В.Г. Тимирясова»,

а также иные нормативно-правовые акты, регулирующие вопросы обработки, передачи и защиты ПДн в Российской Федерации и, в частности, в УПО «Колледж КИУ» и в его филиалах.

1.4. Глоссарий

Для целей настоящей Политики используются следующие основные:

1.4.1. Термины и определения

Автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники.

Блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).

Информационная система ПДн – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

Обезличивание ПДн – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.

Оператор ПДн (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

Обработка ПДн – любое действие (операция) или совокупность действий (операций) с ПДн, совершаемых с использованием средств автоматизации или без их использования.

Обработка Пдн включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту ПДн).

Предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.

Распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц.

Трансграничная передача ПДн – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн.

1.4.2. Перечень сокращений

ИБ – информационная безопасность;

ИСПДн – информационная система персональных данных;

ИТС – информационно-телекоммуникационная сеть;

НПА – нормативные правовые акты;

НСД – несанкционированный доступ;

ПДн – персональные данные;

Роскомнадзор – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций;

СВТ – средства вычислительной техники;

СЗПДн – система защиты персональных данных;

ФСБ России – Федеральная служба безопасности Российской Федерации;

ФСТЭК России – Федеральная служба по техническому и экспортному контролю.

II. Общие сведения в отношении обработки ПДн

2.1. Понятие ПДн субъекта ПДн

Понятие Персональные данные определено ст. 3 ФЗ «О персональных данных»:

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

К ним можно отнести:

  • фамилию, имя, отчество;
  • пол, возраст;
  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • место жительства;
  • семейное положение, наличие детей, родственные связи;
  • прочие сведения, которые могут однозначно идентифицировать человека.

2.2. Основные операции с ПДн

Перечень действий, совершаемых оператором ПДн с ПДн субъектов ПДн, определяется при обработке ПДн.

Понятие Обработка персональных данных является собирательным понятием, имеющим высокую степень важности. Фактически обработка ПДн подразумевает любые операции с ними – от сбора до полного уничтожения ПДн.

Таким образом, обработка ПДн включает в себя любые действия оператора с ПДн, а именно: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

2.3. Получение ПДн

Все ПДн работника следует получать у него лично (п. 3 ст. 86 Трудового кодекса РФ). Причем это допускается только с его согласия (п. 1 ч. 1 ст. 6 ФЗ «О персональных данных»).

Решение работника о предоставлении своих ПДн должно быть добровольным, какое-либо давление на него недопустимо (п. 1 ст. 9 ФЗ «О персональных данных»).

2.2.1. Получение ПДн от субъекта ПДн

Исключается сбор сведений о работнике без его ведома. Субъект ПДн принимает решение о предоставлении своих данных и дает согласие на их обработку своей волей и в своем интересе (п. 1 ст. 9 ФЗ «О персональных данных»).

На УПО «Колледж КИУ», как оператора ПДн, возлагается обязанность представить доказательство получения согласия на обработку ПДн, а в случае обработки общедоступных данных – обязанность доказать, что эти данные являлись общедоступными (п. 3 ст. 9 ФЗ «О персональных данных»).

Согласие на обработку ПДн должно быть конкретным, информированным и сознательным (п. 4 ст. 9 ФЗ «О персональных данных»).

2.2.2. Получение ПДн работника от третьих лиц

Если ПДн работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие (п. 3 ст. 86 Трудового кодекса РФ).

Целями получения ПДн работника у третьего лица являются исключительно соблюдение законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, обучении и продвижении по службе, обеспечение их личной безопасности, контроля количества и качества выполняемой работы и сохранности имущества (п. 1 ст. 86 Трудового кодекса РФ).

2.4. Передача ПДн субъекта ПДн

Передача ПДн работника в УПО «Колледж КИУ» должна осуществляться в соответствии со ст. 88 Трудового кодекса РФ.

При передаче ПДн работника УПО «Колледж КИУ» должен соблюдать следующие требования:

  • не сообщать ПДн работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом РФ или иными федеральными законами;
  • не сообщать ПДн работника в коммерческих целях без его письменного согласия;
  • предупредить лиц, получающих ПДн работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПДн работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен ПДн работников в порядке, установленном Трудовым кодексом РФ и иными федеральными законами;
  • разрешать доступ к ПДн работников только специально уполномоченным лицам УПО «Колледж КИУ», при этом указанные лица должны иметь право получать только те ПДн работника, которые необходимы для выполнения конкретных функций;
  • не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
  • передавать ПДн работника представителям работников в порядке, установленном Трудового Кодекса РФ и иными федеральными законами, и ограничивать эту информацию только теми ПДн работника, которые необходимы для выполнения указанными представителями их функций.

2.5. Определение содержания и объема обрабатываемых ПДн

Содержание и объем обрабатываемых в УПО «Колледж КИУ» ПДн субъектов ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.

2.6. Конфиденциальность ПДн

Конфиденциальность ПДн определяется ст. 7 ФЗ «О персональных данных» и, в соответствии с ней, УПО «Колледж КИУ», как оператор ПДн, и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено российским законодательством.

Сведения о ПДн работников УПО «Колледж КИУ» относятся к числу конфиденциальных, составляющих охраняемую законом тайну УПО «Колледж КИУ».

2.7. Трансграничная передача ПДн

Трансграничная передача ПДн регулируется ст. 12 ФЗ «О персональных данных».

Трансграничная передача ПДн на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн, осуществляется в соответствии с ФЗ «О персональных данных» и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

УПО «Колледж КИУ», как оператор ПДн, обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача ПДн, обеспечивается адекватная защита прав субъектов ПДн, до начала осуществления трансграничной передачи ПДн.

Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПДн, может осуществляться только в случаях, определенных ФЗ «О персональных данных».

III. Порядок и условия обработки пдн

3.1. Понятие обработки ПДн

В соответствии со ст. 3 ФЗ «О персональных данных»:

Обработка персональных данных – это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

3.2. Обработка ПДн

Источником информации обо всех ПДн работника является непосредственно сам работник.

Обработка ПДн работника может осуществляться исключительно в целях соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения их личной безопасности, контроля количества и качества выполняемой работы и сохранности имущества (ст. 86 ТК РФ).

Работодатель не имеет права получать и обрабатывать ПДн работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

 В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

3.2.1. Способы обработки ПДн

При работе с ПДн субъектов ПДн в УПО «Колледж КИУ» используется смешанный способ (автоматизированный, неавтоматизированный) обработки ПДн (на бумажных, на электронных носителях информации и в ИСПДн), без передачи в сети общего пользования «Интернет» и с передачей в локальной вычислительной сети УПО «Колледж КИУ».

3.2.2. Сроки обработки ПДн

Сроки или условия прекращения обработки ПДн – прекращение деятельности УПО «Колледж КИУ», как юридического лица (срок прекращения обработки ПДн согласно договору / письменному согласию).

3.2.3. Обеспечение безопасности ПДн

Для обеспечения безопасности ПДн должны применяться организационные и технические меры по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимые для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн, разработана система защиты информации.

3.2.4. Меры по обеспечению безопасности ПДн при их обработке

Обеспечение безопасности ПДн достигается, согласно п. 2 ст. 10 ФЗ «О персональных данных»:

  1. определением угроз безопасности ПДн при их обработке в ИСПДн;
  2. применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивают установленные Правительством РФ уровни защищенности ПДн;
  3. применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  4. оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
  5. учетом машинных носителей ПДн;
  6. обнаружением фактов НСД к ПДн и принятием мер;
  7. восстановлением ПДн, модифицированных или уничтоженных вследствие НСД к ним;
  8. установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
  9. контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.

3.3. Требования к обработке ПДн

3.3.1. Принципы обработки ПДн

Принципы обработки ПДн устанавливаются ст. 5 ФЗ «О персональных данных», а именно:

  • Обработка ПДн должна осуществляться на законной и справедливой основе.
  • Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
  • Не допускается объединение БД, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
  • Обработке подлежат только ПДн, которые отвечают целям их обработки.
  • Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.
  • При обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. оператор ПДн должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных, или неточных данных.
  • Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки (утраты необходимости в достижении этих целей), если иное не предусмотрено федеральным законом.

3.3.2. Требования к условиям обработки ПДн

Обработка ПДн должна осуществляться с соблюдением принципов и правил, предусмотренных российским законодательством.

В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке ПДн работника обязаны соблюдать общие требования при обработке ПДн работника и гарантии их защиты согласно ст. 86 Трудового кодекса РФ:

  • действовать в целях соблюдения законов и других НПА, содействия работникам в трудоустройстве, получении образования, продвижении по службе, обеспечения их личной безопасности, контроля качества и количества работы, сохранности имущества УПО «Колледж КИУ»;
  • получать ПДн исключительно у работника. Если же они могут быть получены только у третьих лиц, то необходимо уведомить об этом работника и заручиться его письменным согласием;
  • обеспечить за счет собственных средств защиту ПДн от неправомерного использования и утраты;
  • знакомить работников под подпись с локальными нормативными актами, устанавливающими порядок обработки ПДн.

3.4. Особенности обработки ПДн

3.4.1. Особенности обработки ПДн без использования средств автоматизации

В соответствии с «Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденном Постановлением Правительства РФ от 15 сентября 2008 г. № 687:

обработкой ПДн без применения средств автоматизации считаются использование, уточнение, распространение, уничтожение ПДн в отношении каждого из субъектов ПДн, которые осуществляются при непосредственном участии человека.

3.4.2. Обработка ПДн с использованием средств автоматизации

Согласно ст. 3 ФЗ «О персональных данных»

под автоматизированной обработкой понимается обработка данных с помощью средств вычислительной техники.

Обработка ПДн не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что эти данные содержались в ИСПДн либо были извлечены из нее.

ПДн работников обрабатывает уполномоченный на это представитель работодателя. Он также должен руководствоваться правилами, предусмотренными для обработки ПДн без использования средств автоматизации.

3.4.3. Категории субъектов ПДн

К категориям субъектов ПДн, ПДн которых обрабатываются в УПО «Колледж КИУ», относятся:

  • работники УПО «Колледж КИУ», члены их семей, близкие родственники работника;
  • физические лица (клиенты и контрагенты УПО Колледж КИУ), состоящим с УПО «Колледж КИУ» в трудовых, договорных и иных гражданско-правовых отношениях и (или) их законным представителям:
  • уволенные из УПО «Колледж КИУ» работники;
  • кандидаты на замещение вакантной должности в УПО «Колледж КИУ»,
  • обучающиеся в УПО «Колледж КИУ» по основным образовательным программам, их родители (или законные представители);
  • обучающиеся в УПО «Колледж КИУ» по дополнительным образовательным программам, их родители (или законные представители);
  • поступающие на обучение в УПО «Колледж КИУ» по основным образовательным программам, их родители (или законные представители);
  • представители / работники клиентов и контрагентов УПО «Колледж КИУ» (юридических лиц).
  • заявители с обращениями (жалобами);
  • физические и юридические лица, состоящие в иных договорных отношениях с УПО «Колледж КИУ».

В рамках каждой из категорий субъектов ПДн и применительно к конкретным целям необходимо определить все обрабатываемые УПО «Колледж КИУ», как оператором ПДн, ПДн, а также, если применимо, отдельно описать все случаи обработки специальных категорий ПДн и биометрических ПДн.

3.5. Хранение и резервирование ПДн

Хранение ПДн, согласно ч. 7 ст. 5 ФЗ «О персональных данных», должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен ФЗ «О персональных данных», договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.

3.5.1. Сроки хранения ПДн

Сохранность документов по учету труда и его оплаты должна обеспечиваться работодателем в соответствии со сроками его хранения, определяемые «Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», утвержденного приказом Министерства культуры РФ от 25 августа 2010 г. № 558.

3.5.2. Хранение БД с ПДн

При сборе ПДн субъекта ПДн, в том числе посредством ИТС «Интернет», УПО «Колледж КИУ», как оператор ПДн, в соответствии с ч. 5 ст. 18 ФЗ «О персональных данных», обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации,

3.6. Уничтожение ПДн

Обрабатываемые ПДн, согласно ч. 7 ст. 5 ФЗ «О персональных данных», подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено российским законодательством.

IV. Правомерность обработки ПДн

4.1. Права субъекта ПДн

В соответствии со ст.14 ФЗ «О персональных данных» субъект ПДн имеет право:

  • на получение сведений об УПО «Колледж КИУ», как об операторе ПДн, в т. ч. о месте его нахождения;
  • на получение сведений о наличии у УПО «Колледж КИУ», как у оператора ПДн, относящихся к соответствующему субъекту ПДн, персональных данных;
  • на ознакомление с такими ПДн;
  • требовать уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
    • на получение при обращении или при получении запроса информации, касающейся обработки его ПДн, в том числе содержащей:
    • подтверждение факта обработки ПДн оператором ПДн, а также цель такой обработки;
    • способы обработки ПДн, применяемые оператором ПДн,;
    • сведения о лицах, которые имеют доступ к ПДн или которым может быть предоставлен такой доступ;
    • перечень обрабатываемых ПДн и источник их получения;
    • сроки обработки ПДн, в том числе сроки их хранения;
    • сведения о том, какие юридические последствия для субъекта ПДн может повлечь за собой обработка его ПДн.

В соответствии с п.3 ч.5 ст.14 ФЗ «О персональных данных» право субъекта ПДн на доступ к своим ПДн ограничивается в случае, если предоставление ПДн нарушает конституционные права и свободы других лиц.

4.2. Обязанности оператора ПДн при поступлении запроса субъекта ПДн

В соответствии со ст.ст.14, 20 ФЗ «О персональных данных» УПО «Колледж КИУ», как оператор ПДн, в случае поступления соответствующего запроса от субъекта ПД обязан:

  • предоставить субъекту ПДн в доступной форме сведения о наличии его ПДн (при этом указанные сведения не должны содержать ПДн, относящиеся к другим субъектам ПДн);
  • сообщить субъекту ПДн информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, и другие сведения, право на получение которых субъектом ПДн предусмотрено ст.14 ФЗ «О персональных данных»;
  • предоставить возможность ознакомления с ПДн без взимания платы за это;
  • внести в ПДн необходимые изменения, уничтожить или блокировать соответствующие ПДн по предоставлении субъектом ПДн сведений, подтверждающих, что ПДн, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор ПДн, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также прекратить обработку ПДн и уничтожить их в случае отзыва субъектом ПДн согласия на обработку своих ПДн. О внесенных изменениях и предпринятых мерах УПО Колледж КИУ обязан уведомить субъекта ПДн и третьих лиц, которым ПДн этого субъекта были переданы; об уничтожении ПДн оператор ПДн, обязан уведомить субъекта ПДн.

V. Документальное подтверждение обработки ПДн

5.1 Документационное обеспечение обработки ПДн в УПО «Колледж КИУ»

Обработка ПДн субъектов ПДн в УПО «Колледж КИУ» должна осуществляться на законной и справедливой основе.

«Политика в отношении обработки ПДн» – основополагающий обязательный локальный нормативный акт УПО «Колледж КИУ» для применения и соблюдения в информационной среде УПО «Колледж КИУ» требований по обработке ПДн субъектов ПДн, а также для регламентации порядка действий (операций) с ПДн субъектов ПДн. Он устанавливает необходимый минимальный объем мер, соблюдение которых позволяет организовать законную и справедливую обработку и защиту сведений, относящихся к ПДн субъектов ПДн.

Регулирование вопросов обработки ПДн в УПО «Колледж КИУ» осуществляют соответствующие локальные нормативные акты КИУ. Основным из них является «Положение о персональных данных УПО «Колледж КИУ». Локальные нормативные акты УПО «Колледж КИУ» в отношении обработки ПДн разрабатываются на основе данного положения.

5.2. Реагирование на запросы / обращения субъектов ПДн и их законных представителей

Условия реагирования на запросы / обращения субъектов ПДн и их представителей должны быть определены в соответствующем локальном нормативном акте УПО «Колледж КИУ».

Данный документ подлежит применению исключительно в случаях обращений либо при получении запросов субъектов ПДн или их законных представителей, а также уполномоченного органа по защите прав субъектов ПДн в рамках ФЗ «О персональных данных».

Он должен быть разработан в целях обеспечения прав субъектов ПДн при обращении субъекта ПДн или его законного представителя при организации работ по обработке и защите сведений, относящихся к ПДн субъектов ПДн УПО «Колледж КИУ».

В данном документе должен быть представлен регламент реагирования на запросы / обращения субъектов ПДн и их представителей, уполномоченных органов по поводу неточности ПДн, неправомерности их обработки, отзыва согласия и доступа субъекта ПДн к своим данным, а также в нем должны быть размещены соответствующие формы запросов / обращений.

«Политика в отношении обработки персональных данных» УПО «Колледж Казанского инновационного университета имени В.Г. Тимирясова» разработана руководителем службы защиты информации ЧОУ ВО «Казанский инновационный университет имени В.Г. Тимирясова» Нагаевым Н.Х.