Положение об обработке персональных данных

 

 

Положение

об обработке  персональных данных

Автономной некоммерческой образовательной организации

высшего образования

«Сколковский институт науки и технологий»

 

Moscow region

Московская область

2017

 

СОДЕРЖАНИЕ

  1. Общие положения
  2. Цели сбора персональных данных
  3. Правовые основания обработки персональных данных
  4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
  5. Порядок и условия обработки персональных данных
  6. Актуализация, удаление и уничтожение персональных данных, работа с запросами и обращениями в отношении персональных данных
  7. Меры по обеспечению безопасности персональных данных
  8. Приложения

 

1. Общие положения
1.1. Настоящее Положение устанавливает принципы обработки персональных данных Автономной некоммерческой образовательной организации высшего образования «Сколковский институт науки и технологий» (далее – Сколтех, Институт) в целях обеспечения защиты прав и свобод человека и гражданина в соответствии с требованиями законодательства Российской Федерации, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, определяет политику Сколтех как оператора в отношении обработки персональных данных. Положение регулирует отношения Сколтех и граждан, возникающие в связи с обработкой их персональных данных.

1.2. Термины и определения, используемые в Положении, приведены в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных») и иными нормативными правовыми актами Российской Федерации, а именно:
персональные данные (далее – ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).
ПДн могут дифференцироваться  по степени определенности и определимости субъекта ПДн и зависят от действительной возможности определения на их основе конкретного человека и гражданина (субъекта).
Данные, не определяющие личность человека и гражданина, или не позволяющие определить такую личность даже с применением каких-либо процедур (В частности, посредством поисковых запросов, запросов в информационно-коммуникационной сети «Интернет», в том числе в социальных сетях и пр.), не являются ПДн, а их обработка не связана с необходимостью соблюдения законодательства Российской Федерации о ПДн.
субъекты ПДн – определенные или определяемые (поддающиеся определению) физические лица. К числу таких лиц могут относиться работники, в том числе бывшие, абитуриенты, обучающиеся и выпускники Сколтех, контрагенты, посетители, участники мероприятий, проводимых Институтом, и иные лица.
работник – физическое лицо, вступившее в трудовые отношения с Институтом, или имевшее с ним трудовые отношения;
обучающийся – физическое лицо, осваивающее образовательную программу. Для целей Положения к обучающимся относятся также физические лица, приобретающие какие-либо знания, умения и навыки, формирующие компетенции, удовлетворяющие свои образовательные потребности в интеллектуальном, духовно-нравственном, физическом и (или) профессиональном совершенствовании в иной форме, а также абитуриенты;
выпускник – физическое лицо, завершившее освоение образовательной программы
обработка персональных данных (далее – обработка ПДн) – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных
оператор – государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Для целей Положения оператором является Сколтех.
законодательство о ПДн – Конституция Российской Федерации, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» и иные нормативные правовые акты, регулирующие отношения, связанные с обработкой ПДн.

1.3.    Положение распространяется на всех сотрудников Института (включая работников по трудовым договорам и сотрудников, работающих по гражданско-правовым договорам подряда) и обучающихся. Требования Положения также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессе обработки персональных данных Институтом, а также в случаях передачи им в установленном порядке персональных данных на основании соглашений, договоров, поручений на обработку.

2. Цели сбора персональных данных

2.1. ПДн  собираются и обрабатываются в Сколтех в целях:
•    осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Сколтех, в том числе по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
•    регулирования трудовых отношений с работниками (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
•    предоставления работникам, обучающимся и членам их семей дополнительных гарантий и компенсаций, в том числе негосударственного пенсионного обеспечения, добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;
•    защиты жизни, здоровья или иных жизненно важных интересов субъектов ПДн;
•    подготовки, заключения, исполнения и прекращения договоров с контрагентами, ведения учета заключенных договоров;
•    подготовки и предоставления уполномоченным  лицам отчетности по использованию целевого финансирования;
•    оказания образовательных услуг, содействия в прохождении стажировок и практик;  
•    содействия в трудоустройстве выпускников, создания единого сообщества выпускников;
•    осуществления научной, литературной и  иной творческой деятельности;
•    обеспечения пропускного и внутриобъектового режимов на объектах Сколтех;
•    формирования справочных и аналитических материалов для внутреннего информационного обеспечения деятельности Сколтех;
•    продвижения товаров, работ и услуг Сколтех и партнеров на рынке, в том числе путем прямых контактов с субъектами ПДн посредством средств связи;
•    исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
•    осуществления прав и законных интересов Сколтех в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами либо достижения общественно значимых целей;
•    в иных законных целях.

3. Правовые основания обработки персональных данных
 3.1. Обработка персональных данных в Сколтех осуществляется в рамках действующего законодательства о ПДн, на основании настоящего положения и других локальных нормативных актов Института, с согласия субъекта ПДн на обработку его персональных данных, если иное не предусмотрено законодательством  о ПДн, в объеме и в сроки, предусмотренные соответствующими согласиями на обработку ПДн, в том числе выраженными в тексте трудовых и гражданско-правовых договоров, и/или в нормативных правовых актах, и/или локальных нормативных актах Института, и/или вытекающими из таких нормативных правовых актов и локальных нормативных актов Института, либо в сроки, необходимые для достижения указанных целей. Вышеперечисленные условия обработки ПДн не являются исчерпывающими. Предоставляемые согласия на обработку ПДн могут дополнять или изменять иным образом цели, объем, способы и сроки обработки ПДн.
3.2. В отсутствие указания на иное, предоставляя свои ПДн Институту, субъект ПДн принимает условия Положения и тем самым свободно, своей волей и в своем интересе распоряжается ими, осознает последствия их предоставления и выражает свое согласие на их обработку в целях, для достижения которых они предоставляются, а также в целях соблюдения Сколтех нормативных и ненормативных правовых актов, принимаемых в Российской Федерации; исполнения решений, поручений и запросов органов государственной власти и их должностных лиц; обеспечения информирования о проводимых Сколтех мероприятиях, выполняемых исследованиях, реализуемых проектах и их результатах; продвижения товаров, работ, услуг Сколтех на рынке, в том числе путем осуществления прямых контактов с субъектами ПДн с помощью средств связи; осуществления Сколтех уставной деятельности; а также аккумуляции сведений о лицах, взаимодействующих с Сколтех, путем сбора, записи, систематизации, накопления, хранения, уточнения (обновление, изменение), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения, совершаемых, в том числе с использованием средств автоматизации. Объем обрабатываемых ПДн в указанном случае ограничивается теми данными, которые предоставлены субъектами ПДн самостоятельно, а срок обработки ПДн составляет 5 (пять) лет с момента их предоставления.

4.    Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных.
4.1.   В Институте обрабатываются ПДн следующих категорий субъектов:
•    работники,
•    абитуриенты, обучающиеся и выпускники Сколтех,
•    контрагенты, в том числе физические лица руководители и представители контрагентов – юридических лиц;
•    посетители, участники мероприятий, проводимых Институтом,
•    другие субъекты ПДн (для обеспечения реализации целей обработки, указанных в разделе 2 Положения).

4.2. Для указанных категорий субъектов могут обрабатываться: фамилия, имя, отчество; год, месяц, дата рождения; место рождения, адрес; семейное положение; социальное положение; имущественное положение; образование; профессия; доходы; ИНН, СНИЛС, контактная информация (телефон, адрес электронной почты), иные сведения, предусмотренные типовыми формами и установленным порядком обработки. К обрабатываемым персональным данным относятся также сведения, содержащиеся в документах, определенных п.п. 4.4. настоящего Положения;

4.3. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Сколтех  не осуществляется.

4.4. Персональные данные субьектов ПДн могут содержаться в следующих документах:

4.4.1. Анкетно-биографические и характеризующие материалы, к которым относятся:
•    резюме и (или) автобиография – письменные данные о профессиональной деятельности субъекта, которую он вправе представить при приеме на работу, заключении гражданско-правового договора, договора на обучение в целях более полной оценки его профессиональных и деловых качеств;  
•    копии документов об образовании и повышении квалификации;
•    личная карточка формы Т-2 (утверждена Постановлением Госкомстата России от 05.01.2004 № 1);
•    результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей (для ряда должностей) или предусмотренного Трудовым законодательством Российской Федерации;
•    приказ о приеме на работу, зачислении, отчислении переводе;
•    трудовой договор, договор гражданско-правового характера;
•    документы, связанные с переводом и перемещением субъекта ПДн (заявления, служебные записки руководителей, приказ о переводе и т.п.);
•    выписки (копии) из документов о присвоении почетных званий, ученой степени, награждении государственными наградами;
•    копии наградных листов;
•    аттестационные листы;
•    объяснительные, служебные записки;  
•    различные приказы в рамках Уставной деятельности,
•    характеристики и рекомендательные письма, заявления.

4.4.2. Дополнительные материалы, к которым относятся:
•    расписки Работников, обучающихся об ознакомлении их с принятыми на предприятии локальными нормативными актами, связанными с их трудовой деятельностью, а также с настоящим Положением;
•    характеристики (рекомендации) с прежнего места работы, учебы;
•    фотографии;
•    иные документы, содержащие персональные данные субъекта ПДн.

4.4.3. Персональные данные субъектов ПДн также могут содержаться в иных документах (приказах, распоряжениях, справках, выписках, письмах, сообщениях, таблицах, документах бухгалтерского учета, расчетных листках и т.д.) в форме оригиналов и копий, а также в электронном виде, с которыми осуществляют работу должностные лица, имеющие доступ к персональным данным субъектов ПДн, и структурные подразделения, организующие обработку персональных данных субъектов ПДн.

4.4.4. Институт для целей отчетности об использовании денежных средств, полученных в рамках целевого финансирования уставной деятельности, в также в связи с привлечением к работе иностранных специалистов и обучением иностранных студентов, определение резидентного статуса которых возможно только при условии отслеживания дат пересечения государственной границы РФ согласно отметкам в паспорте,  оставляет за собой право с согласия субъекта ПДн обрабатывать персональные данные содержащиеся в копиях паспортов, миграционных карт, разрешений на работу, свидетельств о присвоении ИНН и СНИЛС, документов, подтверждающих образование, путем сохранения бумажных и электронных копий данных документов в соответствии с условиями настоящего Положения.

5.    Порядок и условия обработки персональных данных
5.1. Обработка персональных данных в Сколтех осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.
5.2. Сколтех без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.
5.3. Сколтех вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных».
5.4. В целях внутреннего информационного обеспечения Сколтех может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.
5.5. Доступ к обрабатываемым в Сколтех персональным данным разрешается только работникам Института, занимающим должности, включенные в перечень должностей структурных подразделений, при замещении которых осуществляется обработка персональных данных.
5.6.    Работники Института, которые обрабатывают ПДн, заблаговременно, до начала обработки ПДн, должны убедиться в ее допустимости и законности, удостовериться относительно обладания Институтом соответствующими полномочиями и/или согласиями субъектов ПДн. При отсутствии таких полномочий и/или согласий указанный работник Сколтех должен обеспечить получение согласия от субъекта, обработка ПДн которого планируется. В этой связи он может:
•    предусматривать в различных электронных регистрационных формах, переписке по электронной почте и телефонных переговорах получение согласий на обработку ПДн от соответствующих субъектов ПДн с обязательной фиксацией такого согласия в любой позволяющей подтвердить факт его получения форме, в том числе с последующим личным подтверждением предоставления согласий такими субъектами;
•    применять рекомендуемую форму письменного согласия, согласно Приложения № 1 к настоящему Положению.

Согласие субъекта ПДн на обработку ПДн может быть выражено в форме совершения действий, принятия условий договора-оферты, проставления соответствующих отметок, заполнения полей в формах, бланках, или оформлено в письменной форме в соответствии с законодательством.

5.7.    Персональные данные могут получаться, обрабатываться и храниться как на бумажных носителях, так и в электронном виде. Бумажные документы, содержащие ПДн, должны храниться в шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа. Электронные версии документов должны храниться на защищенных серверах, доступ на которые ограничен.

5.8.    Обработка персональных данных осуществляется следующими способами:
• не автоматизированная обработка персональных данных;
• автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
• смешанная обработка персональных данных.

5.9.    Доступ к ПДн, содержащимся в каких-либо электронных базах данных и в информационных системах Института, осуществляется на основании решения должностного лица, в чьи полномочия входит обеспечение информационной безопасности Сколтех. В основе такого решения лежит совокупность различных факторов, влияющих на возможность нарушения законодательства о ПДн, в частности, возможность неправомерного доступа и распространения ПДн.

5.10.    Защита ПДн, хранящихся в электронных базах данных и в информационных системах Института, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается разграничением прав доступа с использованием учетной записи и системы паролей.
 
5.11.    Лица, виновные в нарушении порядка обработки ПДн, несут предусмотренную законодательством Российской Федерации ответственность. В отношении работников Института, нарушивших порядок обработки ПДн, могут быть применены дисциплинарные взыскания.

5.12.    В соответствии с требованиями законодательством Российской Федерации документы, содержащие ПНд, могут быть переданы для хранения в архив.

5.13. Хранение ПНд должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, либо договором, стороной которого является субъект персональных данных.

6.    Актуализация, удаление и уничтожение персональных данных, работа с запросами и обращениями в отношении персональных данных

6.1. При обработке обеспечиваются точность ПДн, их достаточность и актуальность по отношению к целям обработки персональных данных. При обнаружении неточных или неполных персональных данных производится их уточнение и актуализация.
6.2. Обработка и хранение ПДн осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или договором с субъектом ПДн не установлен соответствующий срок хранения. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении следующий условий:
•    достижение целей обработки персональных данных или максимальных сроков хранения — в течение 30 дней;
•    утрата необходимости в достижении целей обработки персональных данных — в течение 30 дней;
•    предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки — в течение 7 дней;
•    невозможность обеспечения правомерности обработки персональных данных — в течение 10 дней;
•    отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных — в течение 30 дней;
•    отзыв субъектом персональных данных согласия на использование персональных данных для контактов с потенциальными потребителями при продвижении товаров и услуг — в течение 2 дней;
•    истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных;
•    ликвидация (реорганизация) Института.
6.3. Субъект ПДн имеет право отозвать согласие на обработку персональных данных, направив соответствующий запрос Институту по почте или обратившись лично.
6.4. Субъект ПДн имеет право на получение информации, касающейся обработки его персональных данных.
6.5. Субъект ПДн вправе требовать от Института уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.6. Передача ПДн по запросам третьих лиц возможна  только в случаях, предусмотренных законодательством РФ.

7. Меры по обеспечению безопасности персональных данных
Институт предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных для их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:
•    назначение сотрудников, ответственных за организацию обработки и обеспечение безопасности персональных данных;
•    проверка наличия в договорах и включение при необходимости в договоры пунктов об обеспечении конфиденциальности персональных данных;
•    издание локальных актов по вопросам обработки персональных данных, ознакомление с ними работников, обучение пользователей;
•    обеспечение физической безопасности помещений и средств обработки, пропускной режим, охрана, видеонаблюдение;
•    ограничение и разграничение доступа сотрудников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными;
•    определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
•    применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе прошедших процедуру оценкисоответствия в установленном порядке;
•    учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;
•    резервное копирование информации для возможности восстановления;
•    осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.