ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ,

в Федеральном государственном автономном образовательном учреждении высшего образования Первый Московский государственный медицинский университет имени И.М. Сеченова Министерства здравоохранения Российской Федерации (Сеченовский Университет)

1. Общие положения
1.1. Настоящее Положение об обработке и защите персональных данных в Федеральном государственного автономного образовательного учреждения высшего образования Первый Московский государственный медицинский университет имени И.М. Сеченова Министерства здравоохранения Российской Федерации (Сеченовский Университет) (сокращенно: ФГАОУ ВО Первый МГМУ им. И.М. Сеченова Минздрава России (Сеченовский Университет)) (далее по тексту – Положение) разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом, в частности ст.ст. 86-90, Федеральным законом от 27.07.2006г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006г. № 152-ФЗ «О персональных данных», Федеральным законом от 29.12.2012г. № 273-ФЗ «Об образовании в Российской Федерации», Федеральным законом от 29.07.2004г. № 98-ФЗ «О коммерческой тайне», Федеральный закон от 21.11.2011г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства Российской Федерации от 15.09.2008 N 687, и другими действующими нормативно-правовыми актами Российской Федерации в области обработки и защиты персональных данных.
1.2. Настоящим Положением определяется порядок хранения и использования персональных данных, обрабатываемых в ФГАОУ ВО Первый МГМУ им. И.М. Сеченова Минздрава России (Сеченовский Университет) (далее по тексту – Университет), цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, а также процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.
1.3. Целью настоящего Положения является защита персональных данных, обрабатываемых в Университете от несанкционированного доступа и разглашения. Персональные данные обрабатываемые в Университете являются конфиденциальной, строго охраняемой информацией.
1.4. Режим конфиденциальности в отношении персональных данных снимается: в случае их обезличивания; по истечении 75 лет срока их хранения; в других случаях, предусмотренных федеральными законами.

2. Понятие и состав персональных данных
2.1. Под персональными данными, обрабатываемыми в Университете понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе: его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, а также сведения о фактах, событиях и обстоятельствах жизни работника, обучающегося и/или иного субъекта персональных данных, позволяющая идентифицировать его личность.
2.2. Оператором персональных данных является Университет, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.3. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (далее по тексту – обработка персональных данных).
Обработка персональных данных в Университете осуществляется как с использованием средств автоматизации, так и без использования таких средств.
Обработка персональных данных в Университете ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.4. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
2.5. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.6. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.7. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.8. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных.
2.9. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.10. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.11. Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым представлен с согласия субъекта персональных данных или на которые в соответствии с Федеральными законами не распространяется требования конфиденциальности.
В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектами персональных данных.
Данные сведения могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных, по решению суда или уполномоченных государственных органов.
2.12. Конфиденциальность персональных данных – обязательное для соблюдения Университетом или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
2.13. Трансграничная передача персональных данных – передача персональных данных субъекта персональных данных Университета на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2.14. Обработка персональных данных в Университете осуществляется с соблюдением принципов и условий, предусмотренных настоящим Положением и законодательством Российской Федерации в области персональных данных.
2.15. Субъектами персональных данных в Университете являются:
- граждане, претендующие на замещение вакантных должностей, работники, состоящие с Университетом в трудовых отношениях, в том числе работающие в Университете по совместительству, их родственники, и их законные представители (далее по тексту – работники);
- все категории обучающихся в Университете (в т.ч. учащиеся Ресурсного центра «Медицинский Сеченовский Предуниверсарий», УВК «Mentor Medikus», абитуриенты, специалисты среднего звена, студенты всех форм обучения (бакалавриат, специалитет, магистратура), ординаторы, аспиранты, докторанты, соискатели, слушатели курсов повышения квалификации, дополнительных образовательных программ и др.), их родственники, в т.ч. несовершеннолетние обучающиеся, их родственники, и их законные представители (далее по тексту – обучающиеся);
- лица, нуждающиеся в медицинской помощи или получающие (получившие) медицинскую помощь в Университете;
- посетители официального сайта Университета;
- а также, волонтеры, доноры, участники мероприятий, проводимых Университетом, прочие физические лица, состоящие с Университетом в договорных отношениях.

3. Цели сбора персональных данных
3.1. Цели обработки персональных данных в Университете определяются исходя из правовых актов, регламентирующих деятельность Университета, целей фактически осуществляемой Университетом деятельности, а также деятельности, которая предусмотрена учредительными документами Университета.
3.2. Персональные данные субъектов персональных данных обрабатываются в Университете, в частности: в целях соблюдения Конституции Российской Федерации; федеральных законов и иных нормативных правовых актов Российской Федерации по направлениям деятельности; осуществления кадровой деятельности; содействие трудоустройству; содействие работникам в исполнении должностных обязанностей, повышение квалификации и должностного роста; обеспечение личной безопасности при исполнении должностных обязанностей; учета результатов исполнения должностных обязанностей; ведения образовательной деятельности (довузовского, высшего медицинского (фармацевтического), послевузовского профессионального, дополнительного образования); осуществление медицинской деятельности; обеспечение социальными льготами в соответствии с законодательством Российской Федерации и нормативными документами Университета; обеспечение личной безопасности в период работы и/или обучения; содействие в оптимальном выборе образовательных программ; обеспечение соблюдения правил приема в соответствии с законодательством и нормативными документами Университета; гласности и открытости деятельности приемной комиссии; размещение персональных данных на сайтах Университета; осуществление деятельности волонтерского центра и иных структурных подразделений Университета; сбор персональных данных посредством интернет-сервисов, функционирующих на сайтах Университета и т.д.
3.3. При обработке персональных данных в Университете, осуществляемой без использования средств автоматизации, должны соблюдаться требования Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.2008г. № 687.
3.4. Обработка специальных категорий персональных данных осуществляется без получения согласия субъектов персональных данных в соответствии с подпунктами 2.3 и 7 части 2 статьи 10 Федерального закона «О персональных данных», если обработка специальных категорий персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации, а также в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации.
3.5. Обработка персональных данных в Университете осуществляется путем:
1) получения оригиналов необходимых документов;
2) копирования оригиналов документов;
3) внесения сведений в учетные формы (на бумажных и электронных носителях);
4) формирования персональных данных в ходе их обработки;
5) внесения персональных данных в информационные системы Университета.
3.6. Обработка персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных.
3.7. В случае возникновения необходимости получения персональных данных у третьей стороны следует известить об этом субъекта персональных данных заранее, получить его письменное согласие и сообщить о целях, предполагаемых источниках и способах получения персональных данных (за исключением случаев, установленных частью 4 статьи 18 Федерального закона «О персональных данных»).
3.8. Запрещается обрабатывать персональные данные, не предусмотренные настоящими Положением, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, частной жизни.
Университет не имеет права получать и обрабатывать указанные персональные данные субъекта персональных данных. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ Университет вправе получать и обрабатывать данные о частной жизни субъекта персональных данных только с его письменного согласия.

4. Объем и категории обрабатываемых персональных данных
4.1. Содержание и объем обрабатываемых персональных данных в Университете соответствует целям обработки. Обрабатываемые в Университете персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.2. Университет как оператор персональных данных обязан сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и получить от субъекта персональных данных письменное согласие на их обработку.
4.3. Обработка персональных данных осуществляется с письменного Согласия субъекта персональных данных, составленного по типовой форме, утверждаемой в соответствии с настоящим Положением.
4.4. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включает в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
4.5. В случае отказа субъекта персональных данных дать письменное согласие на обработку персональных данных, ему под роспись доводится разъяснение юридических последствий отказа предоставить свои персональные данные на обработку.
4.6. В зависимости от субъектов персональных данных в Университете обрабатываются и указываются в согласии на обработку персональных данных следующие категории персональных данных: фамилия, имя, отчество прежние фамилия, имя, отчество (в случае изменения), а также дата, место и причина изменения; пол; паспортные данные (наименовании и реквизиты (серия, номер, наименование выдавшего органа, дата выдачи, регистрационный номер (при наличии) документа, удостоверяющего личность); дата рождения, место рождения; гражданство; сведения, указанные в свидетельстве о рождении, сведения, указанные в свидетельстве о рождении детей; адрес места жительства (включая адрес регистрации, дату регистрации и адрес фактического проживания); номера телефонов (домашний, мобильный, рабочий); номер свидетельства государственного пенсионного страхования (СНИЛС), номер свидетельства о постановке на учет в налоговом органе (ИНН); адрес электронной почты; личные фотографии; Семейное положение, сведения о составе семьи, степень родства, ФИО, года рождения отца, матери, братьев, сестер и детей, а также мужа (жены); номера телефонов родственников для связи в экстренных случаях; информация о владении иностранными языками и языками народов Российской Федерации; данные об образовании, когда и какие образовательные учреждения закончил(а), номера дипломов (свидетельств), направление подготовки или специальность по диплому(свидетельству), квалификация по диплому (свидетельству) (год окончания, серия и номер диплома (свидетельству), дата выдачи); данные о послевузовском профессиональном образовании (об ординатуре, об интернатуре), наименование образовательного или научного учреждения, год окончания; данные об ученой степени, ученом звании (когда присвоены, номера дипломов, аттестатов), о квалификационной категории (удостоверение или выписка из приказа и дата и номер приказа), о сертификате специалиста (серия, дата и номер сертификата), об удостоверение о повышении квалификации и/или профессиональной переподготовке (серия и номер); сведения о выполняемой работе с начала трудовой деятельности (включая военную службу, работу по совместительству, предпринимательскую деятельность и другие); о последнем месте работы; о научно-педагогическом стаже; о страховом стаже; сведения о научных публикациях, учебно-методических пособиях, индексе Хирша и иные данные, характеризующие научную деятельность; сведения об отношении к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу); сведения о государственных наградах, иных наградах и знаках отличия (кем награжден(а) и когда); сведения о пребывании за границей (когда, где, с какой целью); сведения о факте судимости (отсутствии судимости (или) о погашенной (снятой) судимости), о привлечении к административной ответственности (в том числе о наличии неоплаченных штрафов); сведения о допуске к государственной тайне, оформленном за период работы, службы, учебы, его форма; сведения о наличии (отсутствии) заболевания, о состоянии здоровья, по установленной форме; сведения о прохождении обязательных предварительных (при поступлении на работу) и периодических медицинских осмотров (обследований), а также обязательного психиатрического освидетельствования; сведения, указанные в документах, подтверждающих получение права на льготы; состав и биохимические показатели периферийной крови; личные достижения в спорте, культуре, науке; биометрические параметры человеческого тела; сведения о талантах; курс; группа; номер школы; форма обучения; факультет; номер группы; специальность; семестр; успеваемость; номер студенческого билета (зачетной книжки); группа крови; сведения о законных представителях; сведения об инвалидности; и другие сведения, в зависимости от категории субъектов персональных данных Университета в соответствии с настоящим Положением.
5. Условия и порядок обработки персональных данных работников Университета.
5.1. В целях обеспечения прав и свобод человека и гражданина Университет при обработке персональных данных работников обязан соблюдать следующие общие требования:
1) обработка персональных данных работников осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
2) при определении объема и содержания обрабатываемых персональных данных работника Университет руководствуется Конституцией Российской Федерации, Трудовым Кодексом и иными федеральными законами;
3) все персональные данные работника Университет получает у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник уведомляется об этом заранее и от него должно быть получено письменное согласие. Университет сообщает работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
4) Университет не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных Трудовым кодексом и другими федеральными законами;
5) Университет не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом или иными федеральными законами;
6) при принятии решений, затрагивающих интересы работника, Университет не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
7) защита персональных данных работника от неправомерного их использования или утраты обеспечивается Университетом за счет его средств в порядке, установленном Трудовым кодексом и иными федеральными законами;
8) работники и их представители должны быть ознакомлены под роспись с документами Университета, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
9) работники не имеют права отказываться от своих прав на сохранение и защиту тайны;
10) Университет, работники и их представители совместно вырабатывают меры защиты персональных данных работников.
5.2. К источникам персональных данные работников Университета относятся:
- Паспорт или иной документ, удостоверяющий личность;
- Трудовая книжка или иные документы, подтверждающие трудовой стаж;
- Документ о регистрации (снятия с регистрационного учета) по месту жительства (месту пребывания);
- Страховое свидетельство государственного пенсионного страхования;
- Свидетельство о постановке на учет физического лица в налоговом органе (с присвоением идентификационного номера налогоплательщика);
- Страховой медицинский полис обязательного медицинского страхования;
- Свидетельство о регистрации или расторжении брака, свидетельства о рождении детей;
- Документы воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);
- Документы, подтверждающие гражданство, в том числе прежние гражданство, иные гражданства (с указанием вида, серии, номера документа, удостоверяющего личность, наименования органа, выдавшего его, даты выдачи);
- Справки (иные документы) о выполняемой работе с начала трудовой деятельности (включая военную службу, работу по совместительству, предпринимательскую деятельность и другие); о последнем месте работы; о научно-педагогическом стаже; о страховом стаже;
- Документы об образовании (с указанием наименования образовательного учреждения, номеров дипломов (свидетельств), направления подготовки или специальности по диплому (свидетельству), квалификации по диплому (свидетельству), серии диплома, даты выдачи);
- Документы о послевузовском профессиональном образовании (об ординатуре, об интернатуре) (с указанием наименования образовательного или научного учреждения, года окончания, серии);
- Документы об ученой степени, ученом звании (с указанием номеров дипломов, аттестатов, даты выдачи), о квалификационной категории (удостоверение или выписка из приказа и дата и номер приказа), о сертификате специалиста (серия, дата и номер сертификата), об удостоверение о повышении квалификации и/или профессиональной переподготовке (серия и номер);
- Документы о государственных наградах, иных наградах и знаках отличия (кем награжден(а) и когда);
- Медицинские заключения о наличии (отсутствии) заболевания, препятствующего замещению должности, установленной приказом Министерства здравоохранения и социального развития форме;
- Результаты обязательных предварительных (при поступлении на работу) и периодических медицинских осмотров (обследований), а также обязательного психиатрического освидетельствования;
- Справки о факте судимости (отсутствии судимости (или) о погашенной (снятой) судимости), о привлечении к административной ответственности (в том числе о наличии неоплаченных штрафов);
- Заключения главного управления Министерства внутренних дел Российской Федерации по городу Москве (ГУ МВД России по г. Москве) об отсутствии непогашенной или неснятой судимости у работника, который в соответствии со своими служебными обязанностями должен иметь допуск к наркотическим средствам и психотропным веществам;
- Свидетельство о регистрации автотранспортного средства;
- анкета, автобиография, Личный листок по учету кадров, которые заполняются работником;
- Личная карточка работника;
- анкета оформляемого на допуск к сведениям составляющую государственную тайну;
- Приказы, изданные Университетом в отношении Работника при осуществлении им трудовой деятельности;
- Трудовой договор.
5.3. Предоставление субъектом персональных данных подложных документов или ложных сведений при поступлении на работу является основанием для расторжения трудового договора.
5.4. С каждым работником Университета подписывается Согласие на обработку персональных данных по типовой форме, в соответствии с Приложением 1 к настоящему Положению.

6. Условия и порядок обработки персональных данных обучающихся Университета
6.1. Обработка персональных данных обучающихся Университета осуществляется с соблюдением требований Федерального закона от 29 декабря 2012г. № 273-ФЗ «Об образовании в Российской Федерации» и иных нормативно-правовых актов, регулирующих вопросы приема и обучения в Университете.
6.2. К источникам персональных данных обучающихся Университета относятся:
- Паспорт или иной документ, удостоверяющий личность;
- Документ о регистрации (снятия с регистрационного учета) по месту жительства (месту пребывания);
- Документы, подтверждающие гражданство, в том числе прежние гражданство, иные гражданства (с указанием вида, серии, номера документа, удостоверяющего личность, наименования органа, выдавшего его, даты выдачи);
- анкета, автобиография (заявление на прием);
- Документы об образовании (с указанием наименования образовательного учреждения, номеров дипломов (свидетельств), направления подготовки или специальности по диплому (свидетельству), квалификации по диплому (свидетельству), серии диплома, даты выдачи);
- Документы об успеваемости, в том числе о результатах государственной итоговой аттестации, по образовательным программам, на основании освоения которых Субъект персональных данных участвует в приемной кампании Университета;
- Документы об успеваемости, в том числе о результатах государственной итоговой аттестации, по образовательным программам, осваиваемых Субъектом персональных данных при получении образования в Университете, включая непосредственно курсовые и итоговые контрольные (выпускные квалификационные, научно-квалификационные) работы, и их оценку;
- Документы о послевузовском профессиональном образовании (об ординатуре, об интернатуре) (с указанием наименования образовательного или научного учреждения, года окончания, серии);
- Документ о результатах ЕГЭ;
- Документ подтверждающий льготы, наличие особых прав при приеме на обучение и об основаниях возникновения соответствующих прав;
- медицинская справка установленного образца о состоянии здоровья, в том числе сведения об инвалидности и об ограничении возможностей здоровья;
- Договор (договор об образовании, если зачисление осуществляется на обучение по договорам об образовании за счет средств физических и (или) юридических лиц/ договор о целевом приеме/ договор о целевом обучении);
- Страховое свидетельство государственного пенсионного страхования;
- Свидетельство о постановке на учет физического лица в налоговом органе (с присвоением идентификационного номера налогоплательщика);
- Документы, подтверждающие участие в конкурсных и иных мероприятиях, проводимых Университетом и (или) третьими лицами и о результатах такого участия, в том числе о научно-исследовательской работе, выполненной (выполняемой) Субъектом персональных данных;
- Документы, содержащие сведения об увлечениях, в том числе сведения о физических параметрах (рост, вес, и иные параметры, заявляемые при участии в спортивных и иных конкурсных мероприятиях)
- подлинники и копии приказов по личному составу;
- иные данные, предоставляемые Университету в связи с участием в приемной кампании и (или) получением образования в Университете, в том числе с участием во внеучебной деятельности Университета - культурных, спортивных, общественных и волонтерских мероприятиях, проводимых Университетом и (или) третьими лицами и о результатах такого участия.
6.3. Предоставление обучающимся подложных документов или ложных сведений при поступлении в Университет является основанием для отчисления из Университета и/или расторжения договора на обучение – для обучающихся Университета.
6.4. С каждым обучающимся Университета подписывается Согласие на обработку персональных данных по типовой форме, в соответствии с Приложением 2 к настоящему Положению.

7. Условия и порядок обработки персональных данных лиц, нуждающихся в медицинской помощи или получающих (получивших) медицинскую помощь в Университете
7.1. Обработка персональных данных лиц, нуждающихся в медицинской помощи или получающих (получивших) медицинскую помощь в Университете осуществляется с соблюдением требований Федерального закона от 21.11.2011г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и иных нормативно-правовых актов, регулирующих вопросы оказания медицинской помощи.
7.2. К источникам персональных данных лиц, нуждающихся в медицинской помощи или получающих (получивших) медицинскую помощь в Университете относятся документы и сведения, предоставляемые ими для оказания им медицинской помощи в соответствии с установленными порядками оказания медицинской помощи и стандартами медицинской помощи.
7.3. С каждым лицом, нуждающимся в медицинской помощи или получающим (получивших) медицинскую помощь в Университете подписывается Согласие на обработку персональных данных по типовой форме, утверждаемой приказом ректора или иного уполномоченного ректором должностного лица, по Клиническому центру Университета с учетом требований, предусмотренных настоящим Положением.

8. Обязанности оператора
8.1. Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных:
- оператор обязан в порядке, предусмотренном статьей 14 Федерального закона № 152 - ФЗ от 27 июля 2006г. «О персональных данных», сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, предоставить возможность ознакомления с ними, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к субъекту персональных данных и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.
8.2. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных:
- в случае выявления недостоверных персональных данных субъекта персональных данных или неправомерных действий с ними, при обращении или по запросу субъекта (работника, и/или обучающегося и др.) или его законного представителя, либо уполномоченного органа по защите прав персональных данных субъекта, оператор обязан осуществить блокирование персональных данных, относящихся к субъектам персональных данных, с момента такого обращения или получения такого запроса на период проверки;
- в случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных - также в указанный орган.
8.3. При принятии решений, затрагивающих интересы субъекта персональных данных, Университет не имеет права основываться на персональных данных субъекта персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.
8.4. Защита персональных данных субъекта персональных данных от неправомерного их использования или утраты должна быть обеспечена Университетом за счет своих средств.
8.5. Субъект персональных данных или его представитель должны быть ознакомлены с документами Университета, устанавливающими порядок обработки персональных данных субъектов персональных данных, а также об их правах и обязанностях в этой области.
9. Обязанности и права субъекта персональных данных
9.1. Субъект персональных данных обязан:
- передавать Университету комплект достоверных документированных персональных данных;
- своевременно в срок, не превышающий одного месяца, сообщать Университету об изменении своих персональных данных.
9.2. Субъект персональных данных имеет право:
- на полную информацию о своих персональных данных и обработке этих данных;
- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации;
- требовать исключения, исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований закона, их блокирования, уничтожения;
- дополнить заявлением, выражающим его собственное мнение, персональные данные оценочного характера;
- обжаловать неправомерные действия Университета при обработке и защите персональных данных.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
9.3. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю Университетом при обращении либо получении запроса или его законного представителя.
9.4. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных; цели и применяемые оператором способы обработки персональных данных;
3) наименование и место нахождения оператора, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании законодательства Российской Федерации;
4) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством Российской Федерации;
5) сроки обработки персональных данных, в том числе сроки их хранения;
6) порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации;
7) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
8) фамилию, имя, отчество и место нахождения лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
9) иные сведения, предусмотренные законодательством Российской Федерации.
9.5. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:
- обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
- обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекта персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
- обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
- обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

10. Сбор и обработка персональных данных
10.1. Всю информацию о персональных данных субъект персональных данных предоставляет самостоятельно.
10.2. Субъект персональных данных предоставляет Университету достоверные сведения о себе.
Университет проверяет достоверность сведений, сверяя данные предоставленные субъектом персональных данных, с имеющимися у него документами.
10.3. Если персональные данные субъекта персональных данных возможно получить только у третьей стороны, то он должен быть уведомлен об этом заранее.
10.4. В случае недееспособности субъекта персональных данных Согласие на обработку его персональных данных в письменной форме дает его законный представитель.
10.5. В случае смерти субъекта персональных данных Согласие на обработку его персональных данных дают в письменной форме его наследники, если такое Согласие не было дано субъектом персональных данных при его жизни.
10.6. При обработке персональных данных должны соблюдаться следующие принципы:
1) обработка должна осуществляться на законной и справедливой основе;
2) обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка, несовместимая с целями сбора персональных данных;
3) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
4) обработке подлежат только те персональные данные, которые отвечают целям обработки;
5) содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Не допускается обработка избыточных данных по отношению к заявленным целям обработки;
6) при обработке должны быть обеспечены точность и достаточность персональных Данных, а в необходимых случаях - актуальность по отношению к целям обработки.
Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
7) форма хранения персональных данных должна позволять определять субъекта этих данных. Хранение не должно длиться дольше, чем этого требуют цели обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
10.7. Обработка персональных данных допускается в следующих случаях:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3) обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее – исполнение судебного акта);
4) обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг;
5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем, или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов" субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;
10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации.
10.8. Обработка персональных данных Субъектов персональных данных Университетом возможна только с их согласия либо без их согласия в следующих случаях:
- персональные данные являются общедоступными;
- персональные данные относятся к состоянию здоровья, и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
- по требованию полномочных государственных органов - в случаях, предусмотренных Федеральным законом.
10.9. В случае если Университет на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
10.10. Если персональные данные были получены не от Субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены Университету на основании Федерального закона или если персональные данные являются общедоступными, Университет до начала обработки таких персональных данных обязан предоставить Субъекту персональных данных следующую информацию:
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- права Субъекта персональных данных.
10.11. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением если:
- субъект персональных данных дал согласие в письменной форме на обработку этих персональных данных;
- персональные данные сделаны общедоступными Субъектом персональных данных;
- обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
- обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года № 8-ФЗ «О Всероссийской переписи населения»;
- обработка персональных данных осуществляется в соответствии с законодательством государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия от субъекта персональных данных невозможно;
- обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
- обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных о персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
- обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;
- обработка персональных данных осуществляется в соответствии с законодательством обязательных видах страхования, со страховым законодательством;
- обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан.
10.12. Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.

11. Защита персональных данных
11.1. В целях обеспечения сохранности и конфиденциальности персональных данных Субъектов персональных данных Университета все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только определенными работниками Университета, перечень которых утверждается приказом Ректора, осуществляющими данную работу в соответствии со своими должностными обязанностями, и подписавшими «Обязательство о не разглашении персональных данных» (Приложение 3 к настоящему Положению).
11.2. Университет как оператор персональных данных при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
11.3. Лицо, ответственное за организацию обработки персональных данных в Университете утверждается приказом Ректора. Назначенное приказом Ректора лицо, ответственное за организацию обработки персональных данных, обязано:
1) осуществлять внутренний контроль за соблюдением Университетом и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) доводить до сведения работников и обучающихся Университета положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
11.4. Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности Университета.
11.5. Для обеспечении защиты персональных данных субъектов персональных данных в Университете соблюдается ряд мер:
- ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;
- строгое избирательное и обоснованное распределение документов и информации между работниками;
- рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;
- разграничение прав допуска к персональным данным субъектов персональных данных;
- знание работником требований нормативно - методических документов по защите информации и сохранении тайны;
- наличие необходимых условий в помещениях для работы с конфиденциальными документами и базами данных;
- определение и регламентация состава работников, имеющих право доступа (входа) в помещениях, в котором находится персональные компьютеры (вычислительная техника) для обработки персональных данных;
- организация порядка уничтожения информации;
- пропускной режим Университета;
- оснащение помещений техническими средствами охраны и сигнализации.

12. Доступ работников к персональным данным, обрабатываемым в Университете
12.1. Доступ к персональным данным, обрабатываемым в Университете, работникам, не имеющим надлежащим образом оформленного разрешения, запрещается.
12.2. Нахождение лиц, не являющихся работниками, уполномоченными на обработку персональных данных, в помещениях, в которых ведется обработка персональных данных, возможно только в присутствии работника, уполномоченного на обработку персональных данных, на время, ограниченное необходимостью решения служебных вопросов.
12.3. Работники Университета получают доступ к персональным данным субъектов персональных данным исключительно в объеме, необходимом для выполнения своих должностных обязанностей.
12.4. Работнику, должность которого не включена в Перечень должностей Университета, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, утвержденный приказом по Университету, но которому необходим разовый или временный доступ к персональным данным субъектов персональных данных в связи с исполнением должностных обязанностей, распоряжением Ректора (первого проректора) Университета может быть предоставлен такой доступ на основании письменного мотивированного запроса непосредственного руководителя работника.
12.5. Работник Университета получает доступ к персональным данным субъектов персональных данных после ознакомления и изучения требований настоящего Положения и иных внутренних нормативных документов Университета по защите персональных данных в части, его касающейся.
12.6. Ответственность за соблюдением порядка доступа в помещения, в которых ведется обработка персональных данных, возлагается на работника, осуществляющего обработку персональных данных.
12.7. Личные дела и документы, содержащие персональные данные субъектов персональных данных (в частности, работников и обучающихся), хранятся отдельно от других документов в запирающихся шкафах (сейфах, металлических ящиках и/или иных хранилищах), обеспечивающих защиту от несанкционированного доступа.
12.8. Персональные компьютеры (вычислительная техника), в которых содержатся персональные данные, должны быть защищены паролями доступа, которые сообщаются начальнику соответствующего структурного подразделения и начальнику Первого отдела Университета.

13. Передача персональных данных
13.1. При передаче персональных данных Субъекта персональных данных Университет должен соблюдать следующие требования:
- не сообщать персональные данные Субъекта персональных данных третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта персональных данных, а также в случаях, установленных законодательством Российской Федерации;
- не сообщать персональные данные Субъекта персональных данных в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих персональные данные Субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это право соблюдено;
- лица, получающие персональные данные Субъекта персональных данных, обязаны соблюдать конфиденциальность;
- не запрашивать информацию о состоянии здоровья Субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции, обучающимся – учебы, лицом, нуждающимся в медицинской помощи или получающим (получившим) медицинскую помощь и др.
13.2. Передача (обмен и т.д.) персональных данных между отделами (структурными подразделениями) Университета осуществляется только между работниками, имеющими доступ к персональных данных субъектов.
13.3. Передача информации, содержащей сведения о персональных данных субъектов персональных данных, по телекоммуникационным сетям без их письменного согласия запрещается.
13.4. При передаче персональных данных субъекта работники, осуществляющие передачу, предупреждают лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они передаются.

14. Порядок обработки персональных данных в автоматизированной информационной системе Университета
14.1. Обработка персональных данных в Университете может осуществляться в автоматизированной информационной системе (далее – АИС Университета).
14.2. АИС Университета и автоматизированные рабочие места, входящие в состав АИС Университета, содержат персональные данные, указанные в настоящем Положении, а также иные необходимые данные, в том числе должность, подразделение, номера и даты приказов.
14.3. Работникам, имеющим право осуществлять обработку персональных данных, предоставляются автоматизированные рабочие места АИС Университета, уникальный логин и пароль для доступа к АИС Университета.
14.4. Персональные данные вносятся в АИС Университета как в автоматическом, так и в ручном режиме при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
14.5. Обеспечение безопасности персональных данных в АИС Университета осуществляется Центром информационных технологий, на который возложены функции по обеспечению развития в Университете информационных технологий и защиты информации (далее - подразделение информационных технологий), и достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также иных неправомерных действий в отношении персональных данных, согласно статье 19 Федерального закона «О персональных данных», вследствие принятия следующих мер по обеспечению безопасности:
1) определения угроз безопасности персональных данных при их обработке в АИС Университета;
2) применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке в АИС Университета, направленных на нейтрализацию актуальных угроз безопасности персональных данных, в рамках системы защиты персональных данных, создаваемой в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 01.11.2012г. № 1119;
3) применения прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию АИС Университета;
5) учета машинных носителей персональных данных;
6) обнаружения фактов несанкционированного доступа к персональным данным и принятия мер;
7) восстановления персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
8) установления правил доступа к персональным данным, обрабатываемым в АИС Университета, а также обеспечения регистрации и учета всех действий, совершаемых с персональными данными в АИС Университета;
9) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности АИС Университета.
10.6. Центр информационных технологий Университета обеспечивает также:
1) организацию и контроль ведения учета материальных носителей персональных данных;
2) своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до ответственного за организацию обработки персональных данных в Университете и руководства Университета;
3) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
4) постоянный контроль за обеспечением уровня защищенности персональных данных;
5) знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
6) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;
7) при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям АИС Университета до выявления причин нарушений и устранения этих причин;
8) разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
9) восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
10) защиту обмена персональными данными при их обработке в АИС Университета и по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств;
11) доступ уполномоченных работников к персональным данным, находящимся в АИС Университета, предусматривающий обязательное прохождение процедуры идентификации и аутентификации.

15. Внутренний контроль соответствия обработки персональных данных в Университете установленным требованиям
15.1. Проверки условий обработки персональных данных в Университете требованиям законодательства Российской Федерации проводятся не реже одного раза в три года специально созданной комиссией на основании приказа ректора Университета. Организация работы по проведению проверки и обобщению ее результатов возлагаются на созданную комиссию.
15.2. Председатель комиссии докладывает о результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, ректору.

16. Сроки обработки и порядок хранения персональных данных
16.1. Обработка персональных данных субъектов персональных данных (в т.ч. работников, обучающихся, и/или лицу, нуждающемуся в медицинской помощи или получающим (получившим) медицинскую помощь) осуществляется с момента подписания ими Согласия на обработку персональных данных и в течение всего периода их пребывания в Университете.
16.2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Университет вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в подпунктах 2-11 пункта 10.7, в п. 10.11 настоящего Положения.
16.3. Персональные данные хранятся в структурных подразделениях, к функциональным обязанностям которых относится обработка соответствующих персональных данных. Доступ работников к персональным данным, обрабатываемым в Университете, осуществляется в порядке, предусмотренном разделом 12 настоящего Положения.
16.4. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях, в специальных разделах и т.п.
16.5. При работе с документами, содержащими персональные данные, запрещается оставлять их на рабочем месте или оставлять шкафы (сейфы, металлические ящики и/или иные хранилища) с данными документами открытыми (незапертыми) в случае выхода из рабочего помещения.
16.6. Должно обеспечиваться раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящим Положением.
16.7. Материальные носители, содержащие персональные данные различных субъектов персональных данных, хранятся отдельно от других носителей в запираемых ящиках (сейфах, металлических ящиках и/или иных хранилищах).
16.8. Контроль за хранением и использованием материальных носителей, содержащих персональные данные, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют непосредственные руководители подразделений, осуществляющих обработку персональных данных.

17. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований
17.1. В случае достижения цели обработки персональных данных Университет обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Университета) и уничтожить персональных данных или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Университета) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Университетом и субъектом персональных данных, либо если Университет не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
17.2. Лицами, ответственными за архивную обработку документов в Университете, осуществляется систематический контроль за выделением документов на бумажных носителях, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению.
17.3. Контроль за процедурой уничтожения документов осуществляется лицом, ответственным за обработку персональных данных, совместно с работником структурного подразделения, осуществляющего мероприятия по защите информации.
17.4. Сведения об уничтожении вносятся в Акт об уничтожении документов.
17.5. Уничтожение персональных данных на электронных носителях производится под контролем работника Первого отдела, работника Центра информационных технологий Университета путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
17.6. Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
17.7. Уничтожение персональных данных, не подлежащих архивному хранению, осуществляется только комиссией в составе представителя структурного подразделения (или работника), ответственного за защиту персональных данных и представителя структурного подразделения, в чьем ведении находятся указанные персональных данные. По результатам уничтожения оформляется Акт.

18. Рассмотрение запросов субъектов персональных данных или их представителей. Доступ субъектов персональных данных к персональным данным, обрабатываемым в Университете
18.1. Субъект персональных данных в соответствии с частью 1 статьи 14 Федерального закона «О персональных данных» вправе обращаться к руководству Университета с требованием об уточнении его персональных данных, о блокировании или уничтожении персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
18.2. Сведения, касающиеся обработки персональных данных, предоставляются субъекту персональных данных в доступной форме. В таких сведениях не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
18.3. Сведения, касающиеся обработки персональных данных, предоставляются по письменному запросу субъекта персональных данных или его представителя работником структурного подразделения, осуществляющего обработку соответствующих персональных данных. Запрос должен содержать:
1) номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
2) сведения, подтверждающие участие субъекта персональных данных в правоотношениях с Университетом, либо сведения, иным образом подтверждающие факт обработки персональных данных в Университете, подпись заинтересованного субъекта персональных данных или его представителя.
18.4. К запросу, направленному представителем субъекта персональных данных, должен прилагаться документ (надлежащим образом заверенная копия), подтверждающий его полномочия.
18.5. Субъект персональных данных имеет право на свободный доступ к своим персональным данным, включая право на получение копии любой записи (за исключением случаев, когда предоставление персональных данных нарушает конституционные права и свободы других лиц), содержащей его персональные данные. Субъект персональных данных имеет право вносить предложения по внесению изменений в свои персональные данные в случае обнаружения в них неточностей.
18.6. Субъект персональных данных – работник Университета или его законный представитель, получает доступ к своим персональным данным или к иной информации, касающейся обработки его персональных данных по запросу в следующие подразделения: отдел кадров, бухгалтерия, деканаты факультетов, военно-мобилизационный отдел – для выдачи документов, связанных с его трудовой и учебной деятельностью (копий приказов о приеме на работу, переводу на другую работу, увольнении с работы, выписок из трудовой книжки, справок о месте работы, периоде работы в Университете, выписок из экзаменационных ведомостей и др.).
18.7. Уполномоченные лица обязаны сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя не позднее тридцати рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.
18.8. Ответ в адрес субъекта персональных данных может быть направлен через отделение почтовой связи заказным письмом с уведомлением о вручении.
18.9. В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных персональных данных, уполномоченные лица обязаны дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати рабочих дней со дня обращения субъекта персональных данных или его законного представителя, либо с даты получения запроса субъекта персональных данных или его законного представителя.
18.10. Мотивированный ответ в адрес субъекта персональных данных может быть направлен через отделение почтовой связи заказным письмом с уведомлением о вручении.
18.11. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Университет обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Университета) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональных данных или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Университета) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Университетом и субъектом персональных данных, либо если Университет не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
18.12. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Университет обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Университета) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Университет обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Университета) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
18.13. В случае подтверждения факта неточности персональных данных Университет на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязано уточнить персональных данных либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Университета) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
18.14. В случае выявления неправомерной обработки персональных данных, осуществляемой Университетом или лицом, действующим по поручению Университета, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Университета. В случае, если обеспечить правомерность обработки персональных данных невозможно, Университет в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональных данных или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Университет обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
18.15. В случае, если сведения, касающиеся обработки персональных данных, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен законодательством Российской Федерации в области персональных данных, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
18.16. Субъект персональных данных вправе обратиться повторно к руководству Университета или направить повторный запрос в целях получения сведений, касающихся обработки персональных данных, а также в целях ознакомления с обрабатываемыми персональными данными до истечения указанного срока в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.
18.17. Субъекту персональных данных может быть отказано в выполнении повторного запроса, не соответствующего установленным требованиям. Такой отказ должен быть мотивированным.
18.18. Право субъекта персональных данных на доступ к его персональным данным ограничено в соответствии с пунктами 3 и 4 части 8 статьи 14 Федерального закона «О персональных данных», если обработка его персональных данных в Университете осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, а также, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

19. Регламент обмена/выдачи информации персональных данных третьим лицам (физическим и юридическим)
19.1. К числу внешних потребителей персональных данных Университета в соответствии с нормами действующего законодательства относятся, в частности, следующие государственные органы: налоговые органы; правоохранительные органы; военкоматы; органы социального страхования; пенсионные фонды; подразделения муниципальных органов управления; кредитная организация, в которую Университет осуществляет перечисление заработной платы в соответствии с заявлением работника (стипендии и иные выплаты, в соответствии с заявлением обучающегося); судебные органы.
19.2. При передаче персональных данных субъекта уполномоченные лица должны придерживаться следующих требований:
1) Передача персональных данных субъекта третьим лицам осуществляется только с письменного согласия субъекта, за исключением случаев, установленных федеральными законами;
2) Не допускается передача персональных данных субъекта в коммерческих целях без его письменного согласия;
3) Передача персональных данных по телефону запрещается;
4) Работникам Университета, имеющим доступ к персональным данным, запрещена запись, хранение и вынос за пределы структурных подразделений Университета на внешних носителях (диски, дискеты, USB флэш-карты и т.п.), передача по внешним адресам электронной почты или размещение в сети Интернет информации, содержащей персональные данные субъектов, за исключением случаев, указанных в настоящем Положении или установленных иными внутренними локальными актами и/или документами Университета;
5) Передача третьим лицам документов (иных материальных носителей), содержащих персональные данные субъектов, осуществляется по письменному запросу третьего лица на предоставление персональных данных субъекта. Ответы на письменные запросы даются на бланке Университета и в том объеме, который позволяет не разглашать излишних сведений о субъекте персональных данных, в порядке, установленном действующим законодательством;
6) Работники Университета, передающие персональные данные субъектов третьим лицам, должны передавать их с обязательным уведомлением лица, получающего эти документы, об обязанности использования полученной конфиденциальной информации лишь в целях, для которых она передается (сообщена), и с предупреждением об ответственности за незаконное использование данной конфиденциальной информации в соответствии с федеральными законами. Уведомление и предупреждение могут быть реализованы путем подписания Акта передачи носителей персональных данных, в котором приведены указанные условия;
7) Представителю субъекта персональные данные передаются в порядке, установленном действующим законодательством и настоящим Положением. Информация передается при наличии одного из документов:
- нотариально удостоверенной доверенности представителя субъекта;
- письменного заявления субъекта, написанного в присутствии уполномоченного работника Университета (если заявление написано субъектом не в его присутствии, то оно должно быть нотариально заверено);
8) Предоставление персональных данных субъекта государственным органам производится в соответствии с требованиями действующего законодательства Российской Федерации;
9) Персональные данные субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта, за исключением случаев, когда передача персональных данных субъекта без его согласия допускается действующим законодательством РФ;
10) Документы, содержащие персональные данные субъекта, могут быть отправлены посредством федеральной почтовой связи заказным письмом. При этом должна быть обеспечена их конфиденциальность. Документы, содержащие персональные данные, вкладываются в конверт, в документах делается надпись о том, что персональные данные, содержащиеся в письме, являются конфиденциальной информацией и не подлежат распространению и (или) опубликованию. Лица, виновные в нарушении требований конфиденциальности, несут ответственность, предусмотренную законодательством Российской Федерации.
19.3. Учет переданных персональных данных осуществляется в рамках принятых в Университете правил делопроизводства путем регистрации входящей и исходящей корреспонденции и запросов, как государственных органов, так и структурных подразделений Университета о предоставлении персональных данных физических (юридических) лиц либо их представителей. В регистрационных журналах фиксируются сведения о лицах, направивших такие запросы, дата выдачи персональных данных, а также дата уведомления об отказе в предоставлении персональных данных (в случае отказа).
19.4. В случае, если лицо, обратившееся в Университет с запросом на предоставление персональных данных, не уполномочено на получение информации, относящейся к персональным данным, уполномоченные лица Университета обязаны отказать данному лицу в выдаче такой информации. Лицу, обратившемуся с соответствующим запросом, выдается уведомление в свободной форме об отказе в выдаче информации, а копия уведомления хранится в соответствии с принятыми правилами делопроизводства (как исходящая корреспонденция).

20. Ответственность за разглашение информации, связанной с персональными данными
20.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, обрабатываемых в Университете, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.
20.2. Работник, которому в силу трудовых отношений с Университетом стала известна информация, составляющая персональные данные, в случае нарушения режима защиты этих персональных данных несет материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами Российской Федерации.
20.3. Разглашение персональных данных субъектов персональных данных (передача их посторонним лицам, в том числе работникам Университета, не имеющим к ним доступа), их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные субъекта, а также иные нарушения обязанностей по их защите и обработке, установленных настоящим Положением, локальными нормативными актами (приказами, распоряжениями) Университета, может повлечь наложение на работника, имеющего доступ к персональным данным, дисциплинарного взыскания, если иное не предусмотрено законодательством РФ.

21. Заключительные положения
21.1. Настоящее Положение вступает в силу с момента его утверждения ректором Университета.
21.2. Все изменения в Положение утверждаются приказом ректора Университета в установленном порядке.
21.3. Все работники и обучающиеся Университета должны быть ознакомлены с настоящим Положением.