1. Общие положения
1.1. Основные понятия и термины
- Персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
- Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом (п. 1.1 введен Федеральным законом от 30.12.2020 N 519-ФЗ)
- Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
- Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В данной политике оператором является ГПОУ «ВАГПК».
1.2. Принципы и условия обработки персональных данных.
- Обработка персональных данных должна осуществляться на законной и справедливой основе.
- Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
- Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
- Обработке подлежат только персональные данные, которые отвечают целям их обработки.
- Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
- При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных, или неточных данных.
- Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
- Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности» и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных; (в ред. Федерального закона от 03.07.2016 N 231-ФЗ)
- Обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24 апреля 2020 года N 123-ФЗ "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных" и Федеральным законом от 31 июля 2020 года N 258-ФЗ "Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации", в порядке и на условиях, которые предусмотрены указанными федеральными законами;
- (п. 9.1 введен Федеральным законом от 24.04.2020 N 123-ФЗ; в ред. Федерального закона от 02.07.2021 N 331-ФЗ)
- Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом. В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 настоящего Федерального закона, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона, в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 настоящего Федерального закона. (часть 3 в ред. Федерального закона от 14.07.2022 N 266-ФЗ)
1.3. Права субъекта персональных данных
Субъект персональных данных, согласно законодательству Российской Федерации, имеет право:
- получать информацию, касающуюся обработки своих персональных данных;
- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- требовать прекращение обработки своих персональных данных в случаях, предусмотренных законодательством Российской Федерации;
- обжаловать действия или бездействие ГПОУ «ВАГПК» в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
1.4. Обязанности оператора
1.4.1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию:
- подтверждение факта обработки персональных данных оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые оператором способы обработки персональных данных;
- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» или другими федеральными законами.
1.4.2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
1.4.3. Если персональные данные получены не от субъекта персональных данных, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
- наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- перечень персональных данных;
- предполагаемые пользователи персональных данных;
- установленные настоящим Федеральным законом права субъекта персональных данных;
- источник получения персональных данных.
За исключением случаев:
субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
- персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
- персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
- оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
- предоставление субъекту персональных данных сведений, предусмотренных частью 3 статьи 18.1. Федерального закона от 27.07.2006 № 152 – ФЗ «О персональных данных», нарушает права и законные интересы третьих лиц.
1.4.4. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 5, 8 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
1.4.5. Принимать меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
1.4.6. Принимать меры, направленные на обеспечение безопасности персональных данных при их обработке.
1.4.7. Устранять нарушения законодательства, допущенные при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных.
1.5. Права оператора
1.5.1. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, указанные в п.1.1.2.3. настоящей Политики, в случаях, если:
субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
- персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
- персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
- оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
- предоставление субъекту персональных данных сведений, предусмотренных п.1.1.2.3. настоящей Политики, нарушает права и законные интересы третьих лиц.
1.5.2. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса в части касающейся обработки персональных данных субъекта персональных данных, не соответствующего условиям, предусмотренным пунктом 1 статьи 4 и частями 4,5 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
2. Цели сбора персональных данных
ГПОУ «ВАГПК» осуществляет обработку персональных данных в следующих целях:
2.1. работники: содействие в трудовой деятельности, получении образования и продвижение по службе, обеспечение личной безопасности, учет результатов исполнения договорных обязательств, осуществление причитающихся выплат, осуществление коллективного взаимодействия и совместного использования информационных ресурсов, оформление доверенностей, пропусков, билетов, осуществление командировок, подготовка необходимых документов для налоговой отчётности, а также наиболее полное исполнение обязательств и компетенций в соответствии с Трудовым кодексом РФ, и другими нормативно-правовыми актами в сфере трудовых отношений;
2.2. контрагенты: осуществление контактов, исполнение обязательств по договору;
2.3. иные лица: рассмотрение обращений граждан, осуществление контактов, исполнение обязательств по договору.
2.1. работники: содействие в трудовой деятельности, получении образования и продвижение по службе, обеспечение личной безопасности, учет результатов исполнения договорных обязательств, осуществление причитающихся выплат, осуществление коллективного взаимодействия и совместного использования информационных ресурсов, оформление доверенностей, пропусков, билетов, осуществление командировок, подготовка необходимых документов для налоговой отчётности, а также наиболее полное исполнение обязательств и компетенций в соответствии с Трудовым кодексом РФ, и другими нормативно-правовыми актами в сфере трудовых отношений;
2.2. контрагенты: осуществление контактов, исполнение обязательств по договору;
2.3. иные лица: рассмотрение обращений граждан, осуществление контактов, исполнение обязательств по договору.
3. Правовые основания обработки персональных данных
ГПОУ «ВАГПК» осуществляет обработку персональных данных на основании:
- Конституции Российской Федерации от 12 декабря 1993 г.с изменениями, одобренными в ходе общероссийского голосования 1 июля 2020 года;
- Гражданского кодекса Российской Федерации часть 1 и часть 2;
- Трудового кодекса Российской Федерации от 30 декабря 2001 года;
- Федерального закона от 27.07.2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации»;
- Федерального закона от 02.05.2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
- Федерального закона от 28.03.1998 г. № 55-ФЗ «О воинской обязанности и военной службе»;
- Закона Республики Коми от 05.03.2005 г. № 10-РЗ «О некоторых вопросах государственной гражданской службы Республики Коми»;
- Закона Республики Коми от 04.05.2008 г. № 48-РЗ «О пенсионном обеспечении лиц, замещавших должности государственной гражданской службы Республики Коми»;
- Постановления Правительства Российской Федерации от 27.11.2006 г. № 719 «Об утверждении Положения о воинском учете»;
- иных нормативных правовых актов Российской Федерации и Республики Коми;
- согласия на обработку персональных данных.
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
4.1. Категории субъектов персональных данных
В ГПОУ «ВАГПК» обрабатываются персональные данные следующих категорий физических лиц (субъектов персональных данных):
ГПОУ «ВАГПК» обрабатывает следующие категории персональных данных:
4.2.1. Работники: Фамилия, имя, отчество; Данные документа, удостоверяющего личность; Пол; Дата рождения; Место рождения; Адрес регистрации; Адрес фактического места жительства; Сведения о семейном положении; Данные о наличии детей; Сведения о близких родственниках (степень родства, ФИО, дата рождения); Документы о образовании и профессиональной подготовке; Сведения о постановке на учет в налоговом органе (ИНН); Сведения о трудовой деятельности; Данные о военной службе; Контактная информация (номера телефонов, адрес электронной почты); данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС); Данные медицинского полиса; Сведения о доходах, номер(а) банковского счета и карты для выплаты заработной платы; Личная фотография; Данные водительского удостоверения; сведения об отсутствии судимости;
4.2.2. Обучающиеся (совершеннолетние): Данные документа, удостоверяющего личность; Фамилия, Имя, Отчество; Пол; Дата рождения; Место рождения; Адрес регистрации; Адрес фактического проживания; Контактная информация (номер(а) телефона, адрес(а) электронной почты); Индивидуальный номер налогоплательщика (ИНН); Номер документа подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС); Данные полиса медицинского страхования; Реквизиты банковского счета; сведения об образовании; Сведения о семейном положении; Сведения о воинском учете; сведения о социальных льготах; Личная фотография;
4.2.3. Обучающиеся (несовершеннолетние): Данные документа, удостоверяющего личность; Фамилия, Имя, Отчество; Пол; Дата рождения; Место рождения; Адрес регистрации; Адрес фактического проживания; Контактная информация (номер(а) телефона, адрес(а) электронной почты); Индивидуальный номер налогоплательщика (ИНН); Номер документа подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС); Данные полиса медицинского страхования; Реквизиты банковского счета; сведения об образовании; Сведения о семейном положении и составе семьи; Сведения о воинском учете; сведения о социальных льготах; Личная фотография;
В ГПОУ «ВАГПК» обрабатываются персональные данные следующих категорий физических лиц (субъектов персональных данных):
- работники;
- контрагенты;
- иные лица, давшие согласие ГПОУ «ВАГПК» на обработку своих персональных данных, либо сделавших общедоступными свои персональные данные или чьи персональные данные получены из общедоступного источника, а также в других случаях, предусмотренных законодательством Российской Федерации.
ГПОУ «ВАГПК» обрабатывает следующие категории персональных данных:
4.2.1. Работники: Фамилия, имя, отчество; Данные документа, удостоверяющего личность; Пол; Дата рождения; Место рождения; Адрес регистрации; Адрес фактического места жительства; Сведения о семейном положении; Данные о наличии детей; Сведения о близких родственниках (степень родства, ФИО, дата рождения); Документы о образовании и профессиональной подготовке; Сведения о постановке на учет в налоговом органе (ИНН); Сведения о трудовой деятельности; Данные о военной службе; Контактная информация (номера телефонов, адрес электронной почты); данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС); Данные медицинского полиса; Сведения о доходах, номер(а) банковского счета и карты для выплаты заработной платы; Личная фотография; Данные водительского удостоверения; сведения об отсутствии судимости;
4.2.2. Обучающиеся (совершеннолетние): Данные документа, удостоверяющего личность; Фамилия, Имя, Отчество; Пол; Дата рождения; Место рождения; Адрес регистрации; Адрес фактического проживания; Контактная информация (номер(а) телефона, адрес(а) электронной почты); Индивидуальный номер налогоплательщика (ИНН); Номер документа подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС); Данные полиса медицинского страхования; Реквизиты банковского счета; сведения об образовании; Сведения о семейном положении; Сведения о воинском учете; сведения о социальных льготах; Личная фотография;
4.2.3. Обучающиеся (несовершеннолетние): Данные документа, удостоверяющего личность; Фамилия, Имя, Отчество; Пол; Дата рождения; Место рождения; Адрес регистрации; Адрес фактического проживания; Контактная информация (номер(а) телефона, адрес(а) электронной почты); Индивидуальный номер налогоплательщика (ИНН); Номер документа подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС); Данные полиса медицинского страхования; Реквизиты банковского счета; сведения об образовании; Сведения о семейном положении и составе семьи; Сведения о воинском учете; сведения о социальных льготах; Личная фотография;
5. Порядок и условия обработки персональных данных
5.1. ГПОУ «ВАГПК» осуществляет обработку (сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение) персональных данных с использованием средств автоматизации, а также без использования таких средств.
5.2. Обработка персональных данных ГПОУ «ВАГПК» ведется смешанным способом: с использованием средств автоматизации и без.
5.3. ГПОУ «ВАГПК» может поручить обработку персональных данных третьим лицам в случаях, если:
5.4. Система защиты персональных данных, обрабатываемых в ГПОУ «ВАГПК» включает в себя совокупность организационных, технических и физических мер по защите информации, в соответствии с требованиями п.2 ч.1 ст. 18.1 Федерального Закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных», с Постановлением Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказом ФСТЭК России от 18.02.2013 и Приказом ФСБ России от 10.07.2014 №378.
5.4.1. Организационные меры по защите персональных данных включают в себя:
5.4.6. Хранение персональных данных осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральными законами, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
5.4.7. Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей). Установлен перечень лиц, осуществляющих обработку персональных данных. Внутренними документами ГПОУ «ВАГПК» определен порядок доступа в помещения, предназначенные для обработки персональных данных. При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
5.2. Обработка персональных данных ГПОУ «ВАГПК» ведется смешанным способом: с использованием средств автоматизации и без.
5.3. ГПОУ «ВАГПК» может поручить обработку персональных данных третьим лицам в случаях, если:
- субъект дал согласие на осуществление таких действий (при наличии условий в договоре с третьим лицом о соблюдении им принципов и правил обработки персональных данных, предусмотренных Федеральным законом «О персональных данных»);
- это необходимо для осуществления и выполнения возложенных законодательством Российской Федерации и Республики Коми на ГПОУ «ВАГПК» функций, полномочий и обязанностей;
- в других случаях, предусмотренных законодательством Российской Федерации.
5.4. Система защиты персональных данных, обрабатываемых в ГПОУ «ВАГПК» включает в себя совокупность организационных, технических и физических мер по защите информации, в соответствии с требованиями п.2 ч.1 ст. 18.1 Федерального Закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных», с Постановлением Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказом ФСТЭК России от 18.02.2013 и Приказом ФСБ России от 10.07.2014 №378.
5.4.1. Организационные меры по защите персональных данных включают в себя:
- назначение ответственного лица за организацию обработки персональных данных;
- регламентирование следующих процессов обработки персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, в том числе во время чрезвычайных ситуаций;
- обеспечение безопасности биометрических данных с использованием единой биометрической системы;
- осуществление внутреннего контроля и аудита соответствия обработки персональных данных требованиям законодательства Российской Федерации;
- определения оценки вреда субъектам персональных данных;
- определения угроз безопасности персональных данных, при их обработке в информационных системах персональных данных;
- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценкой эффективности применяемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учет материальных носителей и мест хранения персональных данных;
- своевременную актуализацию списков работников, допущенных к обработке персональных данных в информационных системах персональных данных и без использования средств автоматизации;
- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер к ликвидации последствий;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- применением шифровальных (криптографических средств);
- разграничение ответственности между сотрудниками ГПОУ «ВАГПК».
- использование и настройку средств защиты информации (от несанкционированного доступа, криптографических, антивирусных, средств межсетевого экранирования и т.п.), прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- настройку механизмов операционной системы: локальные и групповые политики учетных записей, аудита и параметров безопасности.
- обеспечение сохранности носителей персональных данных;
- использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
- контроль доступа сотрудников и посетителей на территорию ГПОУ «ВАГПК»;
- утверждения правил доступа в Помещения в рабочее и нерабочее время, а также в нештатных ситуациях;
- обеспечение датчиками охранно-пожарной сигнализации помещений ГПОУ «ВАГПК».
- осуществлять хранение съемных машинных носителей персональных данных в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками. В случае если на съемном машинном носителе персональных данных хранятся только персональные данные в зашифрованном с использованием СКЗИ виде, допускается хранение таких носителей вне сейфов (металлических шкафов);
- осуществлять поэкземплярный учет машинных носителей персональных данных, который достигается путем ведения журнала учета носителей персональных данных с использованием регистрационных (заводских) номеров.
- Работники: 50 лет – хранение персональных данных работников; отзыв согласия, если иное не предусмотрено Федеральным законодательством, либо в течение срока хранения документов согласно установленным срокам хранения для определенных категорий документов, если иное не предусмотрено Федеральным законодательством;
- Контрагенты: исполнение обязательств по договорам и в течение срока исковой давности; отзыв согласия, если иное не предусмотрено Федеральным законодательством, либо в течение срока хранения документов согласно установленным срокам хранения для определенных категорий документов, если иное не предусмотрено Федеральным законодательством;
- Иные лица: исполнение обязательств по договорам и в течение срока исковой давности; отзыв согласия, если иное не предусмотрено Федеральным законодательством, либо в течение срока хранения документов согласно установленным срокам хранения для определенных категорий документов, если иное не предусмотрено Федеральным законодательством.
5.4.6. Хранение персональных данных осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральными законами, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
5.4.7. Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей). Установлен перечень лиц, осуществляющих обработку персональных данных. Внутренними документами ГПОУ «ВАГПК» определен порядок доступа в помещения, предназначенные для обработки персональных данных. При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
6.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки, оператор актуализирует персональные данные и прекращает обработку, соответственно.
6.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
6.2.1. иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
6.2.2. оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или иными федеральными законами;
6.2.3. иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.
6.3. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пункте 5.5.1, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более, чем шесть месяцев, если иной срок не установлен федеральными законами.
6.4. Уничтожение бумажных носителей осуществляется сотрудниками, допущенными к обработке персональных данных, путем, не допускающим дальнейшую возможность ознакомления с данными документами. Уничтожение информации на автоматизированных рабочих местах осуществляется комиссией, способами, не позволяющими осуществить восстановление данных.
6.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
6.2.1. иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
6.2.2. оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или иными федеральными законами;
6.2.3. иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.
6.3. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пункте 5.5.1, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более, чем шесть месяцев, если иной срок не установлен федеральными законами.
6.4. Уничтожение бумажных носителей осуществляется сотрудниками, допущенными к обработке персональных данных, путем, не допускающим дальнейшую возможность ознакомления с данными документами. Уничтожение информации на автоматизированных рабочих местах осуществляется комиссией, способами, не позволяющими осуществить восстановление данных.
7. Рассмотрение запросов субъектов персональных данных или их законных представителей
7.1. Субъект персональных данных имеет право обратиться с письменным запросом (далее – Запрос), установленной формы (приложение № 1) в ГПОУ «ВАГПК» с целью получения информации, касающейся обработки его персональных данных.
7.2. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
7.3. В случае направления запроса в форме электронного документа, запрос должен содержать:
7.5. В случае, если сведения, указанные в ответе были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе повторно обратиться или направить повторный запрос в целях получения сведений и ознакомления с персональными данными не ранее, чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральными законами, принятыми в соответствии с ними нормативными правовыми актами или договорами, стороной которых являются либо выгодоприобретатели, либо поручители.
7.6. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе, содержащей:
7.8. ГПОУ «ВАГПК» вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным п.7.5. и п.7.6. настоящей Политики. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на ГПОУ «ВАГПК».
7.9. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том случае, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
7.2. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
7.3. В случае направления запроса в форме электронного документа, запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя;
- сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором;
- подпись субъекта персональных данных или его представителя.
7.5. В случае, если сведения, указанные в ответе были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе повторно обратиться или направить повторный запрос в целях получения сведений и ознакомления с персональными данными не ранее, чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральными законами, принятыми в соответствии с ними нормативными правовыми актами или договорами, стороной которых являются либо выгодоприобретатели, либо поручители.
7.6. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе, содержащей:
- подтверждение факта обработки персональных данных оператором;
- правовые основания и цели обработки персональных данных;
- цели и способы обработки персональных данных, применяемые в ГПОУ «ВАГПК»;
- место нахождения ГПОУ «ВАГПК», сведения о лицах (за исключением сотрудников), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании федеральных законов;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению ГПОУ «ВАГПК», если обработка поручена такому лицу;
- иные сведения, предусмотренные действующим законодательством.
7.8. ГПОУ «ВАГПК» вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным п.7.5. и п.7.6. настоящей Политики. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на ГПОУ «ВАГПК».
7.9. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том случае, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
8. Изменение политики
ГПОУ «ВАГПК» имеет право вносить изменения в настоящую Политику. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее утверждения и размещения в общедоступном месте, если иное не предусмотрено новой редакцией Политики.
9. Обратная связь
ГПОУ «ВАГПК», адрес: Республика Коми, г. Воркута, ул. Яновского, д.5, ИНН 1103001270, ОГРН 1021100810730.
Лицо, ответственное за организацию обработки персональных данных:
Мазуркевич Наталья Валерьевна, инженер по защите информации,
8-900-983-99-87, detrote315@yandex.ru
Лицо, ответственное за организацию обработки персональных данных:
Мазуркевич Наталья Валерьевна, инженер по защите информации,
8-900-983-99-87, detrote315@yandex.ru