Термины и определения

автоматизированная обрабо тка персональных данных – обработка персональных

данных с помощью средств вычислительной техники;

б л о к и р о в а н и е п е р с о н а л ь н ы х д а н н ы х – в р е м е н н о е п р е к р а щ е н и е о б р а б о т к и

персональных данных (за исключением случаев, если обработка необходима для

уточнения персональных данных);

информация – сведения (сообщения, данные) независимо от формы их представления;

информационная система персональных данных – совокупность содержащихся в

базах данных п ерсональных данных и обеспечиваю щих их обраб отку

информационных технологий и технических средств;

конфиденциальность информации – обязательное для выполнения лицом,

получившим доступ к определенной информации, требование не передавать такую

информацию третьим лицам бед согласия ее обладателя:

обезличивание персональных данных – действия, в результате которых становится

н е в о з м о ж н ы м б е з и с п о л ь з о в а н и я д о п о л н и т е л ь н о й и н ф о р м а ц и и о п р е д е л и т ь

принадлежность персональных данных конкретному субъекту персональных данных;

обр аботка п ер со нальных д анных – любое действие (операция) или с овок упность

действий (операций), совершаемых с использованием средств автоматизации или без

ис пользован ия таких средств с персон ал ьными данными, вкл ючая сб ор. зап ис ь.

систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение,

использование, передачу (распространение, предоставление, доступ), обезличивание,

блокирование, удаление, уничтожение персональных данных;

оператор – Министерство. государственный орган, муници пальный орган, юридическое

или физическое лицо, самостоятельно или совместно с другими лицами организующие и

(или)осуществляющие обработку персональных данных, а также определяющие цели

обработки персональных данных, состав персональных данных, подлежащих обработке,

действия (операции). совершаемые с персональными данными;

персональные данные – любая информация, относящаяся к прямо или косвенно

определенному или определяемому физическому лицу (субъекту персональных данных);

предоставление персональных данных – действия, направленные на

раскрытие персональных данных определенному лицу или определенному кругу лиц;

рас простран ение персона льных данных – действия, направленные на раскрытие

персональных данных неопределенному кругу лиц;

трансграничная передача персональных данных – передача персональных данных на

территорию иностранного государства органу власти иностранного государства,

иностранному физическому лицу или иностранному юридическому лицу;

ун ичтожение п ер со нальных д ан ных – действия, в результате которых становится

невозможным восстановить содержание персональных данных в информационной

системе персональных данных и (или) в результате которых уничтожаются материальные

носители персональных данных;

1. Общие положения

1. 1 . Н а с т о я щ а я П о л и т ик а о б р а б о т к и п е р с о н а л ьн ы х д а н н ы х Фе д е р а л ьн о г о

государственного бюджетного образовательного учреждения высшего образования

«Саратовский государственный аграрный университет имени Н.И. Вавилова»

(ФГБОУ ВО Саратовский ГАУ) является официальным документом, в котором

регулируются вопросы обработки и обеспечения безопасности персональных

данных.

1.2.Настоящая Политика в отношении обработки и защиты персональных данных

ФГБОУ ВО Саратовский ГАУ (далее - Политика) разработана в соответствии с

действующим законодательством Российской Федерации о персональных данных и

нормативными документами исполнительных органов государственной вл асти по

вопросам безопасности персональных данных, в том числе при их обработке s

информационных системах персональных данных.

1.3.В целях выполнения норм федерального законодательства в области обработки

персональных данных субъектов персональных данных Ф ГБОУ ВО Саратовский

ГАУ (далее - Оператор) считает важнейшими своими задачами соб людение

принципов законности, справедливости и конфиденциальности при обработке

персональных данных, а также обеспечение безопасности процессов их обработки.

1 .4.Действие Политики распространяется на все процессы Оператора, связанные с

обработкой персональных

данных.

1 .5.Настоящая Политика характеризуется следующими признаками:

1.5.1. Разработана в целях обеспечения реализации требований законодательства Р Ф

в области обработки персональных данных субъектов персональных данных.

1.5 . 2. О пред е ляет ос нов ные прин ципы , це л и, ус ловия и с пос обы об раб от к и

персональных данны х, перечни субъектов и категории персональных данных.

обрабатываемых Оператором, права и обязанн ости Оператора при обработке

персональных данных, права субъектов персональных данных, а также включает

перечень мер, п рим еняемых Оператором в целях обеспечен ия безопас ности

персональных данных при их обработке.

1.5.3. Является общедоступным документом, декларирующим концептуальные

основы деятельности Оператора при обработке персональных данных.

1 .6 . Поли т ика о б яза тельн а для о знак о мл е ния и и спо лнен и я р уко в одит е лям и

структурных подразделений, работники которых принимают участие в обработке

персональных данных.

1 .7.Пересмотр и обновление настоящей Политики осуществляется на плановой и

внеплановой основе в соответствии с установленным порядком :

 плановый пересмотр Политики осуществляется не реже одного раза

год:

 внеплановой пересмотр Политики может производитьс я в связи с изменением

законодательства Российской Федерации в области персональных данных, по

результатам анализа актуальности, достаточности и эффективности используемых

мер обеспечения информационной безопасности, а также по результатам других

контрольных мероприятий.

Право в ы е ос н ов а н и я об р а б о т ки п е р с он а ль н ы х дан н ы х

2.1 .Политика Оператора в области обработки персональных данных определяется в

соответствии со следующими нормативными правовыми актами РФ:

2.1.1. Конституцией Российской Федерации;

2.1.2. Трудовым кодексом Российской Федерации;

2.1.3. Гражданским кодексом Российской Федерации;

2.1.4. Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

2.1.5. Федеральным законом от 27.07.2006 149-ФЗ «Об ин формации ,

информационных технологиях и о защите информации»;

2 . 1 . 6 . " Т р е б о в а н и я к з а щ и т е п е р с о н а л ь н ы х д а н н ы х п р и и х о б р а б о т к е в

и н ф о р м а ц и о н н ы х с и с т е м а х п е р с о н а л ь н ы х д а н н ы х ( у т в е р ж д е н ы

постановлением Правительства Российской Федерации от 1 ноября 2012 г.

№1119);

2.1.7. Приказ ФСТЭК России № 21 от 18 февраля 2013 г., «Об утверждении состава и

с о д е р ж а н и я о р г а н и з а ц и о н н ы х и т е х н и ч е с к и х м е р п о о б е с п е ч е н и ю

безопасности персональных данных при их обработке в информационных

системах персональных данных»;

2.1.8. Требования о защите информации, не составляющей государственную тайну,

содержащейся в государственных информационных системах (утверждены

приказом ФСТЭК России от 11 февраля 2013 г. №17);

2.1.9. Постановление Правительства Российской федерации от 15 сентября 2008 г. №

687 "Об. утверждении Положения об особенностях обработки персональных

данных, осуществляемой без использования средств автоматизации";

2.1.10. Состав и содержание организацион ных и технических мер по обеспечению

безопасности персональных данных при их обработке в информационных

системах персональных данных с использованием средств криптографической

з а щ и т ы

и н ф о р м а ц и и .

н е о б х о д и м ы х д л я в ы п о л н е н и я у с т а н о в л е н н ы х

Правительством Российской Федерации требований к защите персональных

данных для каждого из уровней защищенности (Утверждён приказом ФСБ РФ

от 10 июля 2 01 4 r . № 378);

2.1.11. Локальные нормативные и правовые акты Оператора;

2 . 1 . 1 2 . и н ы е н о р м а т и в н ы е п р а в о в ы е а к т ы Р Ф и н о р м а т и в н ы е д о к у м е н т ы

уполномоченных органов государственной власти.

Категории субъектов персональных данных, цели

обработки персональных данных

3. 1 .Оператором осуществляется обработка полученных в установленном законом

порядке персональных данных, принадлежащих:

– Работники ФГБОУ ВО Саратовский ГАУ (и их родственники);

–Обучающиеся (студенты (и их родители), соискатели ученых степеней, аспиранты

и до кт о р а н т ы . с л уша те л и к у р со в п о вы ш е н и я к в а л и ф ик а ц и и и о т де л ьн ы х

образовательных программ):

– Абитуриенты ФГБОУ ВО Саратовский ГАУ (и их родители);

– Физические лица, предоставившие свои персональные данные ФГБОУ ВО

Саратовский ГАУ, на основе гражданско-правовых договоров.

3.2 Обработка персональных данных осуществляется в целях:

3.2.1. Информирования трудовых отношений с работниками ФГБОУ ВО Саратовский

1 ЛУ, обеспечения соблюдения законов и иных нормативных правовых актов,

содействия работникам в трудоустройстве, обучении и продвижении по

службе, обеспечении личной безопасности работников, контроля количества и

качества выполняемой работы и обеспечения сохранности имущества

работодателя. работника и третьих лиц;

3.2 .2 . ос ущ ест в лен ия ф ун кц и й, п о лн омо чи й и об язате льс т в, в оз ло же н ны х

законодательством Российской Федерации и Саратовской области на ФГБОУ

ВО Саратовский ГАУ в ходе образовательного процесса;

3.2.3. обеспечения реализации прав участниками образовательного процесса в

ФГБОУ ВО Саратовский ГАУ;

3.2 .4 . уч ет а лиц , п ос т уп аю щ их в ФГ БО У В О «С а ра т ов с кий го с уда рст в ен ны й

аграрный университет имени Н.И. Вавилова»,

3.2.5. обеспечения соблюдения правил приема на обучение в соответствии с

законодательством Российской Федерации и локальными нормативными

актами ФГБОУ ВО Саратовский ГАУ;

3.2.б. гласности и открытости деятельности приемной комиссии s соответствии с

действующим законодательством Российской Федерации, в том числе в целях

соблюдения Федерального закона «Об образовании в Российской Федерации»,

3.2.7. выполнение обязательств по договорам гражданско-правового характера.

Пере ч е нь д е й с т вий с п е рсо нал ьны ми д ан н ым и и с п о с о бы

их обработки

4.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение,

уточнение (обновление, из менение) извлечение, использование, передачу

( р ас п ро с т р ан ен ие , п р е до с т а вл е н и е, д ос т уп ) , б ло ки ро в а н ие , уд ал ен и е и

уничтожение персональных данных.

4.2. Обработка персональных данных в ФГБОУ ВО Саратовский ГАУ осуществляется

следующими способами:

 ав т ом ат и з и ро ва н н а я о бр аб от ка п е рс он ал ьн ы х д ан н ы х е пе ре д а че й

полученной информации по информационно-телекоммуникационным сетям и

без таковой:

 неавтоматизированная обработка персональных данных.

Осно вны е принципы об р абот ки , пер ед ач и и х р анен ии пе рсон ал ьных

данных

5.1.Оператор в своей деятельности обеспечивает соблюдение принципов обработки

персональных данных, указанных в статье 5 Федерального закона 152 -ФЗ «О

персональных данных».

5.2 . добросовес тность Оператора дости га ется п утем выполнения требо ваний

законодательства Российской Федерации в отношении обработки персональных

данных;

5.3 .Оператор не осуществляет обработку биометрических персональных данных

(сведения, которые характеризуют физиологические и биологические особенности

человека, на основании которых можно установить его личность).

5.4.Оператор выполняет обработку специальных категорий персональных данных.

касающихся национальной принадлежности и состоянии здоровья.

5.5 . О пе ра тор н е пр оиз вод ит тр ан с гр ан и чн ую (н а те р рит ор и ю ино с т ран но го

государства органу власти иностранного государства, иностранному физическому

лицу или иностранному юридическому лицу) передачу персональных данных.

5.б.Оператор производит передачу персональных данных третьим лицам на основании

соответствующего соглашения и только с согласия субъектов персональных

нных

5. 7.По мотивированному запрос у исключительно для выполнения возложенных

законодательством функций и полномочий персональные данные субъекта

персональных без его согласия могут быть переданы:

 в судебные органы в связи с осуществлением правосудия;

 в органы федеральной службы безопасности:

 в органы п рок урат уры;

 в органы полиции;

 в иные органы и организации в случаях, установленных нормативными правовыми

актами, обязательными для исполнения.

5.8.Оператором созданы общедоступные источники персональных данных:

– сформирован открытый м общедоступный информационный ресурс - официальный

с ай т , оп убл ико ван ны й в с ет и « И н те р не т ». И нф о рм а ц и я, ра з ме щен на я н а

официальном сайте ФГБОУ ВО Саратовский ГАУ, направлена на обеспечение

открытости и доступности сведений, указанных в п. 2 ст. 29 закона № 273-ФЗ «Об

образовании в Российской Федерации» и в Постановлении Правительства РФ от 10

июля 2013 года № 582 «Об утверждении правил размещения на официальном сайте

образовательной организации в информационно-телекоммуникационной сети

«Интернет» и обновления информации об образовательной организации».

 Ф Г Б О У В О С а р а т о в с к и й Г А У р а з м е щ а е т н а о ф и ц и а л ь н о м с а й т е и н а

информационном стенде информацию (включающую персональные данные) о

приеме

на

обучение по программам бакалавриата. программам специалитета,

программам магистратуры на основании Приказа Министерства образования и

науки Российской Федерации (Минобрнауки России) от 14 октября 2015 г. №1147

«Об утверждении Порядка приема на обучение по образовательным программам

высшего образования - программам бакалавриата, программам специалитета,

программам магистратуры»;

Сформирован открытый информационный ресурс телефонный справочник

работников ФГБОУ ВО Саратовский ГАУ. Размещения персональных данных

работников в справочнике осуществляется только с его письменного согласия.

5.9. Безопасность персональных данных у Оператора обеспечивается выполнением

согласованных мероприятий, направленных на предотвращение (нейтрализацию) и

устранение угроз безопасности персональных данных, минимизацию возможного

у щ е р б а , а т а к ж е м е р о п р и я т и й п о в о с с т а н о в л е н и ю д а н н ы х и р а б о т ы

информационных систем персональных данных в сл учае реализации угроз.

П е р е д а ч а пе р с о н а л ь н ы х д а н н ы х т р е ть и м л и ц ам

б.1 .В целях соблюдения законодательства Российской Федерации, для достижения

целей обработки, а также в интересах и с согласия субъектов персональных данных

Опера гор в ходе своей деятельности предоставляет персональные данные

следующим организациям:

6.1.1 Федеральной налоговой службе;

6.1.2 Пенсионному фонду РФ;

6. 1.З ОА0 «Сб ерб анк».

б.2. Оператор поручает обработку персональн ых данных другим лиц ам только с

согласия субъекта персональных данных.

Меры по о б е с п е ч е н и ю бе зо пас н о с т и п е р с о н альны х д ан н ы х п р и

их

обработке

7.1 .Оператор при обработке персональных данных принимает все необходимые

правовые, организационные и технические меры для их защиты от неправомерного

или случайного доступа. уничтожения, изменения, блокирования, копирования.

предоставления, распространения, а также от иных неправомерных действий в

отношении них. Обеспечение безопасности персональных данных достигается, в

частности, следующими способами:

7.1.1. Назначением ответственных за организацию обработки персональных данных.

7.1.2. Осуществлением внутреннего контроля и/или а удита соответствия обработки

персональных данных Федеральному закону от 27.07. 2006 No 152-

Ф3 «О

персональн ых данных» и принятым в с оответствии с ним нормативным

правовым актам, требованиям к защите персональных данных, локальным

актам.

7.1.3. Изданием локальных актов по вопросам обработки персональных данных, а

также локальных актов. устанавливающих процедуры, направленные на

предотвращение и выявление нарушений законодательства Российской

Федерации, устранение последствий таких нарушений;

7.1.4. Ознакомлением сотрудников Оператора, непосредственно осуществляющих

обработку персональных данных, с положениями законодательства Российской

Федерации о персональных данных, в том числе с требованиями к защите

п е р с о н а л ь н ы х д а н н ы х , ло к а л ь н ы м и а к т а м и в о т н о ш е н и и о б р а б о т к и

персональных данных и обучением указанных сотрудников.

7.1.5. Определением угроз безопасности персональных данных при их обработке в

информационных системах персональных данных.

7 . 1 . 6 . П р и м е н е н и е м о р г а н и з а ц и о н н ы х и т е х н и ч е с к и х м е р п о о б е с п е ч е н и ю

безопасности персональных данных при их обработке в информационны х

системах персональных данных, необходимых для выполнения требований к

защите персональных данных.

7.1.7. Оценкой эффективности принимаемых мер по обеспечению безопасности

персональных данных до ввода в эксплуатацию информационной системы

персональных данных.

7.1.8. Учетом машинных носителей персональных данных.

7.1.9. Выявлением фактов несанкционированного доступа к персональным данным и

принятием соответствующих мер.

7.1.10. Восстановлением персональных данных, модифицированных или

уничтоженных вследствие несанкционированного доступа к ним.

7.1.11. Установлением правил доступа к персональным данным, обрабатываемым в

инфо рмац ионн ой с исте ме п е рсо н альн ых да нны х, а т акж е об ес печен ием

регистрации и учета всех действий, совершаемых с персональными данными в

информационной системе персональных данных.

7. 1 . 1 2. К о нт р о л ем з а п р и н им ае мы м и м ер а м и п о о б ес п е че н ию б е зо п ас н ос т и

персональных данных и уровнем защищенности информационных систем

персональных данных.

7. 2 .О б язанности должностных ли ц , ос уще ств л яющих об р аботк у и защиту

персональных данных, а также их ответственность. определяются в должностных

регламентах вышеуказанных лиц.

Права субъектов персональных данных

8.1 Субъект персональных данных имеет право на получение следующих сведений об

обработке его персональных данных Оператором:

8.1.1.1 Подтверждение факта обработки персональных данных;

8.1.2. Наименование и место нахождения Оператора, сведения о лицах (за

исключением сотрудников Оператора), которые имеют доступ к

персональным данным или которым могут быть раскрыты персональные

данные на основании договора с Оператором или на основании Ф3-152;

8.1.3. Перечень обрабатываемых персональных данных субъекта и ис точник их

получения, если иной порядок представления персональных данных не

предусмотрен законодательством Российской ф1федерации;

8.1.4. Правовые основания и цели обработки персональных данных;

8.1.5. Сроки обработки персональных данных, в том числе, сроки их хранения;

8.1.6. Иной информации в соответствии с Федеральным законом о персональных

данных».

8.2.Суб ъе кт перс ональных данных вправе требовать от О ператора уточнения

персональных данных, их блокирования или уничтожения в случае, если они

являются неполными, устаревшими. неточными. незаконно полученными или не

могут быть признаны необходимыми для заявленной цели обработки, а также

принимать предусмотренные законом меры по защите своих прав.

8.3.Субъект персональных данных имеет право на отзыв сог ласия на обработку

персональных данных. R случае отзыва субъектом персональных данных согласия

на обработку персональных данных оператор вправе продолжить обработку

персональных данных без согласия субъекта персональных данных при наличии

оснований. указанных в пунктах 2- 11 части 1 ст. б Ф3-152.

8.4.Право субъекта персональных данных на доступ к его персональным данным

может быть ограничено в соответствии с федеральными законами, в том числе в

следующих случаях:

8.4.1. Если обработка персональных данных, включая те. что получены в результате

мера оперативно-розыскной. разведывательной деятельности, выполняется В

целях крепления обороны страны, обеспечения безопасности государства и

охраны правопорядка.

8.4.2. При условии, что обработка персональных данных производится органами,

осуществившими задержание субъекта персональных данных по подозрению в

совершении преступления. либо предъявившими субъекту персональных

данных обвинение по уголовному дели. либо применивш ими к субъект у

персональн ых данных меру пресечения до предъявления обвинения. за

исключением предусмотренных уголовно-процессуальным законодательством

Российской Федерации случаев, когда допускается ознакомление

подозреваемого или обвиняемого с такими персональными данными.

8.4.3.Если обр а бот ка п е рсо наль н ых данны х вы полн яетс я в соо т ветс твии с

законодательством о противодействии легализации (отмыванию) доходов,

полученных преступным путем, и финансированию терроризма.

8.4.4. Когда доступ субъекта персональных данных к его персональным данным

нарушает нрава и законные интересы третьих лиц.

8 . 4 . 5 . Е с л и о б р а б о т к а п е р с о н а л ь н ы х д а н н ы х о с у щ е с т в л я е т с я в с л у ч а я х ,

предусмотренных законодательством Российской Федерации о транспортной

б е з о п а с н о с т и , в ц е л я х о б е с п е ч е н и я у с т о й ч и в о г о и б е з о п а с н о г о

функционирования транспортного комплекса, защиты интересов личности,

общества и государства в сфере транспортного комплекса от актов незаконного

вмешательства.

8.5.Для реализации своих прав и защиты законных интересов субъект персональных

данных имеет право обратиться к Оператору. Оператор рассматривает любые

обращения и жалобы со стороны субъектов персональных данных, тщательно

расследует факты нар ушен ий и прини ма ет все н еобходимые меры для их

немедленного устранения, наказании виновных лиц и урегулирования спорных и

конфликтных ситуаций в досудебном порядке.

8.б.Субъект персональных данных вправе обжаловать действия или бездействие

Оператора путем обращения в уполномоченный орган по защите прав субъектов

персональных данных.

8.7.Субъект персональных данных имеет право на защиту своих прав и законных

интересов, в том числе на возмещение убытков и/или компенсацию морального

вреда в судебном порядке.

К о н ф и д ен ц и ал ь н о с т ь п е р с о н а л ь н ы х д а н н ы х

9.1. Информация, относящаяся к персональным данным, ставшая известной в связи с

ре а л и з а ц и е й тр уд о в ых о т н ош е н и й , о б ра з о ва т е л ь н ог о пр оц ес с а , н а уч но -

исследовательской и научной деятельности, учета поступающих лиц является

конфиденциальной информацией и охраняется законом.

9.2. Работники и иные лица, получившие доступ к обрабатываемым персональным

данным, подписали обязательство о неразглашении конфиденциальной

и н ф о р м а ц и и , а т а к ж е п р е д у п р е ж д е н ы о в о з м о ж н о й д и с ц и п л и н а р н о й .

административной, гражданско-правовой и уголовной ответственности в случае

нарушения норм и требований действ ую щего законодательства Российской

Федерации в области обработки персональных данных.