1.1. «Политика обработки персональных данных в Сеченовском Университете» (далее по тексту – Политика) разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту – ФЗ-152) и другими действующими нормативно-правовыми актами Российской Федерации в области обработки персональных данных.
1.2. Настоящая Политика определяет порядок обработки персональных данных в Федеральном государственном автономном образовательном учреждении высшего образования Первый Московский государственный медицинский университет им. И.М. Сеченова Министерства здравоохранения Российской Федерации (Сеченовский Университет) (далее по тексту – Сеченовский Университет, Оператор) с целью защиты прав и свобод человека и гражданина при обработки персональных данных, в том числе защиты прав неприкосновенность частной жизни, личной и семейной тайны (требование п. 2 ч. 1 ст. 18.1. ФЗ-152).
1.3. Соблюдение Политики является главным условием обработки персональных данных в Сеченовском Университете и обязательно для всех работников.
1.4. Сеченовский Университет принимает правовые, организационные и технические меры, необходимые для обеспечения исполнения законодательства о персональных данных, либо обеспечивает их принятие (требование ст. 5 ФЗ-152).
1.5. Политика утверждается приказом ректора Сеченовского Университета. На основании требования ч. 2 ст. 18.1. ФЗ-152 Оператора обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, Сеченовский Университет публикует настоящую Политику на официальном сайте Сеченовского Университета sechenov.ru.
2.1. Под персональными данными, обрабатываемыми в Сеченовском Университете, понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе: его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, а также сведения о фактах, событиях и обстоятельствах жизни работника, обучающегося, получающего медицинскую помощь или иного субъекта персональных данных, позволяющая идентифицировать его личность.
2.2. Оператором является государственный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Сеченовский Университет является Оператором и осуществляет обработку персональных данных.
2.3. Субъекты персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
2.4. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.5. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
2.6. Неавтоматизированная обработка персональных данных – обработка персональных данных, осуществляемая при непосредственном участии человека.
2.7. Распределение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.8. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.9. Трансграничная передача персональных данных – передача персональных данных субъекта персональных данных Сеченовского Университета на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2.10. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
2.11. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.12. Обезличенные персональные данные – это данные, принадлежность которых конкретному субъекту персональных данных невозможно определить без дополнительной информации, которые могут обрабатываться с использованием и без использования средств автоматизации.
2.13. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.14. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.15. Идентификация – процедура присвоения субъекту персональных данных, определенному лицу признаков распознавания (идентификаторов), путем его регистрации для последующей однозначной его проверки подлинности, аутентификации по фактору идентификации (логин/пароль, биометрические данные, электронная подпись, ПИН-код, учетная карта и т.д.).
2.16. Аутентификация – процедура проверки и подтверждения подлинности субъекта персональных данных, пользователя путем процедур информационных технологий (по паролям, электронной подписи, SMS-сообщений, биометрическим данным и т.д.) перед предоставлением права выполнения им действий.
2.17. Верификация – это технология проверки информации, персональных данных на достоверность, правильность и точность. Включает процедуру уточнения и проверки подлинности действия, документа, профиля субъекта персональных данных.
2.18. Авторизация – предоставление лицу, субъекту персональных данных, прав по выполнению определенных действий, операций, в том числе обработки персональных данных.
2.19. Конфиденциальность персональных данных – обязательное для соблюдения Сеченовским Университетом или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
2.20. Уполномоченный органа по защите прав субъектов персональных данных – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
3.1. Обработка персональных данных в Сеченовском Университете осуществляется с соблюдением принципов и условий, предусмотренных настоящей Политикой и законодательством Российской Федерации в области персональных данных.
3.2. Обработка персональных данных осуществляется на основе следующих принципов:
3.3. В Сеченовском Университете осуществляется обработка персональных данных:
3.4. Обработка персональных данных осуществляется с письменного согласия субъекта персональных данных. Может осуществляться обработка персональных данных без согласия субъекта персональных данных только в случаях, установленных действующим законодательством Российской Федерации.
Согласия на обработку персональных данных субъектов персональных данных посетителей и пользователей сайтов Сеченовского Университета оформляется в электронной форме на сайте.
3.5. Хранение персональных данных, обрабатываемых Оператором, не должно длиться дольше установленного срока обработки. Срок обработки персональных данных устанавливается Федеральным законом, достижением цели обработки, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
3.6. Обрабатываемые персональные данные подлежат уничтожению, блокировки, либо обезличиванию, по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом.
3.7. Работу по обработке персональных данных в Сеченовском Университете организует, на основании приказа ректора, проректор по цифровой трансформации.
4.1. Обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на Сеченовский Университет, как оператора функций, полномочий и обязанностей.
4.2. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных.
В качестве правового основания обработки персональных данных служат:
4.3. Не может служить правовым основанием обработки персональных данных оператора ФЗ-152, поскольку он регулирует отношения, связанные с обработкой персональных данных, а также закрепляет требования, предъявляемые к операторам разработать и опубликовать документ, определяющий его политику в отношении обработки персональных данных.
5.1. Цели обработки персональных данных в Сеченовском Университете определяются исходя из правовых актов, регламентирующих деятельность Сеченовского Университета, целей фактически осуществляемой Сеченовским Университетом деятельности, а также деятельности, которая предусмотрена учредительными документами Сеченовского Университета. Персональные данные субъектов персональных данных собираются и обрабатываются в целях оказания услуг, исполнения соглашений или договоров, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
5.2. Обработка персональных данных может осуществляться исключительно на законной и справедливой основе, в целях обеспечения соблюдения законов и иных нормативных правовых актов.
5.3. Обработка персональных данных в Сеченовском Университете возможна при условии достижения конкретных, заранее определенных и законных целей. Обработка персональных данных в Сеченовском Университете ограничивается достижением конкретных, заранее определенных целей (ст. 5 ФЗ-152). Не допускается обработка персональных данных, несовместимых с целями сбора персональных данных. Оператор не может требовать от субъектов персональных данных предоставление избыточной информации, которая не связана с использованием условий договора с ним или требований законодательства.
5.4. Обработка персональных данных в Сеченовском Университете осуществляется в отношении различных категорий субъектов персональных данных, в том числе работников, обучающихся, пациентов, посетителей.
5.5. Основными целями обработки персональных данных субъектов персональных данных в Сеченовском Университете являются:
5.6. Условиями обработки персональных данных в Сеченовском Университете являются соблюдение принципов и правил, предусмотренных в ч. 1 ст. 6 ФЗ-152.
Обработка персональных данных допускается в случаях:
5.7. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ-152, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных ФЗ-152.
В поручении Оператора для обработки персональных данных другим лицом должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, обязанность такого лица соблюдать конфиденциальность персональных данных, меры и цели исполнения поручения, срок действия поручения.
Лицо, осуществляющее обработку персональных данных по поручению Оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
В случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед Оператором.
Если вы передаете личную информацию клиентов третьим лицам, опишите в этом разделе названия и местонахождение этих лиц. Например, ИП поручил ведение бухгалтерского учета сторонней организации (аутсорсинг). В этом случае он указывает как Центр обработки персональных данных (ЦОД) компанию-агента.
5.8. Цели обработки устанавливаются при подписании субъектом согласия на обработку его персональных данных. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда субъекту персональных данных, затруднения реализации прав и свобод граждан Российской Федерации.
6.1. Содержание и объем обрабатываемых персональных данных в Сеченовском Университете должен соответствовать заявленным целям обработки. Обрабатываемые в Сеченовском Университете персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6.2. Сеченовский Университет, как Оператор персональных данных, обязан сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и получить от субъекта персональных данных письменное согласие на их обработку.
6.3. Оператор обрабатывает различные категории субъектов персональных данных – работников, обучающихся, пациентов, посетителей и пользователей сайтов, указанных в п. 20.1 настоящей Политики. В зависимости от категории субъектов персональных данных в Сеченовском Университете обрабатываются различные персональные данные:
6.4. В состав обрабатываемых персональных данных работников в Сеченовском Университете входят:
фамилия, имя, отчество, прежние фамилия, имя, отчество (в случае изменения), а также дата, место и причина изменения; пол; основной документ, удостоверяющий личность (гражданина Российской Федерации и иностранных граждан), паспортные данные - наименовании и реквизиты (серия, номер, наименование выдавшего органа, дата выдачи, регистрационный номер документа, удостоверяющего личность), копию документа удостоверяющего личность; дата рождения, место рождения; гражданство; сведения, указанные в свидетельстве о рождении, сведения, указанные в свидетельстве о рождении детей; адрес места жительства (включая адрес регистрации, дату регистрации и адрес фактического проживания); номера телефонов (домашний, мобильный, рабочий); адрес электронной почты; номер свидетельства государственного пенсионного страхования (СНИЛС), номер свидетельства о постановке на учет в налоговом органе (ИНН); личные фотографии; семейное положение, сведения о составе семьи, степень родства, ФИО, года рождения отца, матери, братьев, сестер и детей, а также мужа (жены); номера телефонов родственников для связи в экстренных случаях; информация о владении иностранными языками и языками народов Российской Федерации; данные об образовании, когда и какие образовательные учреждения закончил(а), номера дипломов (свидетельств), направление подготовки или специальность по диплому (свидетельству), квалификация по диплому (свидетельству) (год окончания, серия и номер диплома (свидетельству), дата выдачи); данные о послевузовском профессиональном образовании (об ординатуре, об интернатуре), наименование образовательного или научного учреждения, год окончания; данные об ученой степени, ученом звании (когда присвоены, номера дипломов, аттестатов), о квалификационной категории (удостоверение или выписка из приказа и дата и номер приказа), о сертификате специалиста (серия, дата и номер сертификата), об удостоверение о повышении квалификации и/или профессиональной переподготовке (серия и номер); сведения о выполняемой работе с начала трудовой деятельности (включая военную службу, работу по совместительству, предпринимательскую деятельность и другие); о последнем месте работы; информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания, сведения о доходах, об имуществе и обязательствах имущественного характера; номера банковских карт и расчетного счета; о научно-педагогическом стаже; о страховом стаже; сведения о научных публикациях, учебно-методических пособиях, индексе Хирша и иные данные, характеризующие научную деятельность; сведения об отношении к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу); сведения о государственных наградах, иных наградах и знаках отличия (кем награжден(а) и когда); сведения о пребывании за границей (когда, где, с какой целью); серия, номер заграничного паспорта, наименование органа, выдавшего его и дата выдачи; сведения о родственниках, проживающих за границей и (или) оформивших документы для выезда на постоянное место жительства в другое государство; сведения о факте судимости (отсутствии судимости (или) о погашенной (снятой) судимости), о привлечении к административной ответственности (в том числе о наличии неоплаченных штрафов); сведения о допуске к государственной тайне, оформленном за период работы, службы, учебы допуске, его форма; сведения о наличии (отсутствии) заболевания, о состоянии здоровья, по установленной форме; группа крови; сведения об инвалидности; сведения о прохождении обязательных предварительных (при поступлении на работу) и периодических медицинских осмотров (обследований), а также обязательного психиатрического освидетельствования; сведения, указанные в документах, подтверждающих получение права на льготы; состав и биохимические показатели периферийной крови; личные достижения в спорте, культуре, науке; биометрические параметры человеческого тела; сведения о талантах; номер школы; форма обучения; специальность; факультет; номер курса; учебная группа; семестр; успеваемость; номер студенческого билета (зачетной книжки); сведения о законных представителях; другие сведения, в зависимости от категории субъектов персональных данных Сеченовского Университета и в соответствии с настоящей Политикой.
6.5. В состав обрабатываемых персональных данных учащихся, в том числе являющихся несовершеннолетними (их родителей или законных представителей), обучающихся в Ресурсном центре «Медицинский Сеченовский Предуниверсарий» и школьников, проходящих обучение в УВК «Mentor Medicus, членов общественных организаций и Волонтерского центра входят:
паспорт или иной документ, удостоверяющий личность учащихся и их родителей (законных представителей); документ о регистрации (снятия с регистрационного учета) по месту жительства (месту пребывания); документы, подтверждающие гражданство, в том числе прежние гражданство, иные гражданства (с указанием вида, серии, номера документа, удостоверяющего личность, наименования органа, выдавшего его, даты выдачи); анкета, автобиография (заявление на прием); документы об успеваемости, в том числе о результатах государственной итоговой аттестации, по образовательным программам, на основании освоения которых субъект персональных данных участвует в приемной кампании; документы об успеваемости, в том числе о результатах государственной итоговой аттестации, по образовательным программам, осваиваемых субъектом персональных данных при получении образования, включая непосредственно итоговые контрольные (выпускные квалификационные, научно-квалификационные) работы, и их оценку; документ о результатах ОГЭ; документ подтверждающий льготы, наличие особых прав при приеме на обучение и об основаниях возникновения соответствующих прав; медицинская справка установленного образца о состоянии здоровья, в том числе сведения об инвалидности и об ограничении возможностей здоровья; страховое свидетельство государственного пенсионного страхования; свидетельство о постановке на учет физического лица в налоговом органе (с присвоением идентификационного номера налогоплательщика); документы, подтверждающие участие в конкурсных и иных мероприятиях, и о результатах такого участи; документы, содержащие сведения об увлечениях, в том числе сведения о физических параметрах (рост, вес, и иные параметры, заявляемые при участии в спортивных и иных конкурсных мероприятиях); подлинники и копии приказов по личному составу; иные данные, предоставляемые в связи с участием в приемной кампании и (или) получением образования, в том числе с участием во внеучебной деятельности - культурных, спортивных, общественных и волонтерских мероприятиях, проводимых Университетом и (или) третьими лицами и о результатах такого участия.
6.6. В Сеченовском Университете обрабатываются персональные данные пациентов, лиц, получающих медицинскую помощь и /или медицинские услуги следующие персональные данные:
фамилия, имя, отчество, прежние фамилия, имя, отчество (в случае изменения), а также дата, место и причина изменения; пол; паспортные данные (наименовании и реквизиты (серия, номер, наименование выдавшего органа, дата выдачи, регистрационный номер (при наличии) документов, удостоверяющих личность) (в т.ч. ксерокопия и/или отсканированная копия паспорта); дата рождения, место рождения; гражданство; адрес места жительства (включая адрес регистрации, дату регистрации и адрес фактического проживания); номера телефонов (домашний, мобильный, рабочий), номера телефонов родственников для связи в экстренных случаях; семейное положение, сведения о составе семьи, степень родства, года рождения отца, матери, братьев, сестер и детей, а также мужа (жены); адрес электронной почты; место работы или учебы; реквизиты полиса обязательного медицинского страхования (добровольного медицинского страхования, при наличии); номер свидетельства государственного пенсионного страхования (СНИЛС); сведения о состоянии здоровья (в том числе группа здоровья, группа инвалидности), перенесенных заболеваниях, сведения об указании медицинской помощи и/или медицинских услугах, случаях обращения за медицинской помощью; информация об употреблении наркотических средств, психотропных веществ и принимаемых лекарственных препаратах; данные, предоставляемые Университету в ходе или в связи с оказанием медицинской помощи и /или медицинских услуг, либо обусловленные ими.
6.7. В Сеченовском Университете обрабатываются персональные данные посетителей и пользователей сайтов Сеченовского Университета:
фамилия, имя, отчество, номер телефон, адрес электронной почты, адрес регистрации (прописки), занимаемая в Сеченовском Университете должность, серия и номер паспорта, номер студенческого билета, номер зачетной книжки.
6.8. Запрещается обрабатывать в Сеченовском Университете персональные данные, не предусмотренные Политикой, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, частной жизни, кроме случаев, установленных законодательством Российской Федерации.
6.9. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации, Сеченовский Университет вправе получать и обрабатывать данные о частной жизни субъекта персональных данных только после получения на это его письменного согласия.
7.1. Персональные данные, обрабатываемые в Сеченовском Университете, отнесены к сведениям конфиденциального характера и включены в «Перечень сведений конфиденциального характера Сеченовского Университета», утвержденный приказом ректора от 21.07.2021 № 0678/Р.
В Сеченовском Университете подлежат обработке, установленные ФЗ-152, следующие категории персональных данных:
7.2. Обработка персональных данных осуществляется с соблюдением установленных для каждой категории принципов и правил.
7.3. В Сеченовском Университете осуществляется обработка различных категорий персональных данных, разрешенных субъектом персональных данных для распространения.
8.1. К специальной категории персональных данных относятся данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных (п. 1 ст. 10 ФЗ-152). Порядок обработки специальной категории персональных данных установлен в ст. 10 ФЗ-152. Обработка специальной категории персональных данных в Сеченовском Университете допускается в случаях, если:
9.1. К биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить личность субъекта персональных данных. Определение биометрических персональных данных и порядок их обработки определен в ст. 11 ФЗ-152.
9.2. Обработка биометрических персональных данных в Сеченовском Университете проводится только при наличии согласия субъекта персональных данных в письменной форме, оформленного согласно установленных законодательством Российской Федерации требований.
9.3. Предоставление биометрических персональных данных субъектом персональных данных не может быть обязательным, за исключением случаев, предусмотренных ч. 2 ст. 11 ФЗ-152.
9.4. Оператор не вправе отказывать в обслуживании в случаях отказа субъекта персональных данных предоставить биометрические персональные данные и/или дать согласие на обработку персональных данных, если в соответствии с федеральным законом получение оператором согласия на обработку персональных данных не является обязательным.
9.5. Обработка биометрических персональных данных оператором может осуществлять в специально определенных для такой обработки информационных системах персональных данных, содержащих биометрические персональные данные, системах контроля и управления доступом, контрольно-пропускных пунктов прохода на территорию оператора, при выполнении требований безопасности, установленных законодательством Российской Федерации.
9.6. При использовании Оператором информационных системах персональных данных, содержащих биометрические персональные данные, автоматизированной обработки биометрических данных, требуется обеспечить выполнение требований Федерального закона от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и/или аутентификации физических лиц с использованием биометрических персональных данных». Обработка биометрических персональных данных осуществляется в государственной информационной системе единой биометрической системе. Обработка Оператором биометрических персональных данных вне единой биометрической системы запрещена, включая сбор и хранение используемых в целях идентификации биометрических персональных данных, за исключением обработки и сбора для размещения в единую биометрическую систему в соответствии с федеральным законодательством Российской Федерации.
10.1. В целях информационного обеспечения у Оператора могут создаваться общедоступные источники персональных данных субъектов персональных данных, в том числе справочники и адресные книги. Общедоступные источники персональных данных определены в ст. 8 ФЗ-152. В Сеченовском Университете в общедоступные источники персональных данных, с письменного согласия субъекта персональных данных, могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты и иные персональные данные, сообщаемые субъектом персональных данных в согласии для размещения в общедоступные источники персональных данных.
10.2. В случае необходимости и согласно требований нормативных документов, Сеченовский Университет может включать персональные данные своих работников в общедоступные источники персональных данных, при этом Сеченовский Университет обязан взять письменное согласие работника на такую обработку персональных данных, если иное не установлено законодательством Российской Федерации.
10.3. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных, уполномоченного органа по защите прав субъектов персональных данных, либо по решению суда, если иное не установлено законодательством Российской Федерации.
11.1. К категории иных персональных данных относятся сведения, к числу которых относят все персональные данные, которые не включены в три остальные категории персональных данных (биометрические, специальные и общедоступные).
11.2. Наибольшее количество обрабатываемые в Сеченовском Университете персональных данных отнесены к категории иных персональных данных.
12.1. Персональные данные, разрешенные субъектом персональных данных для распространения и доступные неограниченному кругу лиц, являются персональные данные субъекта персональных данных, к которым субъект персональных данных предоставил путем дачи согласия для такого распространения (п. 1.1 ст. 3 ФЗ-152).
12.2. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных, разрешенных субъектом персональных данных для распространения. Данные персональные данные могут быть отнесены к различным категориям персональных данных.
Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения устанавливаются ст. 10.1 ФЗ-152.
12.3. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. В согласии определяется перечень персональных данных по каждой категории персональных данных, разрешенных субъектом персональных данных для распространения (образец согласия - приложение № 5 к Политике).
12.4. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору (ч. 6 ст. 10.1 ФЗ-152):
12.5. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения (ч. 8 ст. 10.1 ФЗ-152).
12.6. Субъект персональных данных имеет право в согласии установить запреты на обработку, передачу или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц и Оператор не вправе отказать субъекту персональных данных в установлении таких запретов и условий (ч. 9 ст. 10.1 ФЗ-152).
Оператор обязан в срок не позднее трех рабочих дней с момента получения согласия опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения (ч. 10 ст. 10.1 ФЗ-152).
12.7. В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления Оператору согласия, либо в согласии нет перечисленных персональных данных, разрешенных субъектом персональных данных для распространения, Оператор обязан предоставить доказательства законности последующего распространения или иной обработки таких персональных данных, осуществляемых при их обработке и распространении (ч. 2 ст. 10.1 ФЗ-152).
12.8. В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на Операторе, осуществившем их распространение или иную обработку (ч. 3 ст. 10.1 ФЗ-152).
12.9. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются Оператором, которому они предоставлены субъектом персональных данных, без права распространения (ч. 4 ст. 10.1 ФЗ-152).
12.10. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц (ч. 5 ст. 10.1 ФЗ-152).
12.11. Субъект персональных данных имеет право обратиться с требованием к Оператору о прекращении разрешенных субъектом персональных данных распространения его персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению (ч. 12 ст. 10.1 ФЗ-152).
12.12. Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления Оператору требования субъекта о прекращении разрешения (ч. 13 ст. 10.1 ФЗ-152).
13.1. Сеченовский Университет производит обработку персональных данных при наличии хотя бы одного из следующих условий:
13.2. Сеченовский Университет вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом, на основании заключенного Оператором договора с этим лицом.
Лицо, осуществляющее обработку персональных данных по поручению Оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
В случае, если Сеченовский Университет поручает обработку персональных другому лицу, ответственность перед субъектом персональных данных за действия другого лица по обработке персональных данных несет Оператор. Лицо, осуществляющее обработку персональных данных, несет ответственность перед Сеченовским Университетом.
13.3. Обработка персональных данных включает любое действие (операция) или совокупность действий (операций) с персональными данными в Сеченовском Университете и возможна при условии достижения конкретных, заранее определенных и законных целей.
Обработка персональных данных включает следующие действия и операции с данными:
14.1. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем:
14.2. Сбор персональных данных осуществляется путем представления их субъектом персональных данных, его законным представителем или иным установленным законодательством Российской Федерации путем.
Субъект персональных данных предоставляет в Сеченовский Университет достоверные персональные данные самостоятельно.
Сеченовский Университет имеет право проверить достоверность данных, в том числе путем сверки их с ранее предоставляемыми субъектом персональных данных.
14.3. В случае возникновения необходимости получения персональных данных у третьей стороны, следует известить об этом субъекта персональных данных заранее, получить его письменное согласие и сообщить о целях, предполагаемых источниках и способах получения персональных данных (за исключением случаев, установленных ч. 4 ст. 18 ФЗ-152).
14.4. Если персональные данные субъекта персональные данные возможно получить только у третьей стороны, субъект уведомляется об этом Оператором заранее. В случае недееспособности субъекта персональных данных, согласие на обработку его персональных данных в письменной форме дает его законный представитель. В случае смерти субъекта персональных данных, при возникновении необходимости сбора и обработки его персональных данных, согласие на обработку его персональных данных дают его наследники, если такого согласия субъект персональных данных не давал при своей жизни.
14.5. Сбор и обработка персональных данных может осуществляться Оператором на основании согласия субъекта персональных данных на их обработку в письменной или иной форме. В письменном согласии субъекта персональных данных на обработку его персональных данных указываются цели обработки персональных данных, перечень обрабатываемых персональных данных и способы обработки персональных данных Оператором, срок действия согласия и способы его отзыва субъектом.
В случае отказа субъекта персональных данных дать письменное согласие на обработку персональных данных, ему под роспись доводится разъяснение юридических последствий отказа предоставить свои персональные данные на обработку. Типовая форма «Разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные» (образец разъяснение - приложение № 10 к Политике).
14.6. Обработка персональных данных без согласия субъекта персональных данных может проводиться только в случаях, установленных действующим законодательством Российской Федерации. Обработка персональных данных субъектов персональных данных Оператором возможна также без их согласия в случаях:
15.1. Оператора осуществляет хранение персональных данных на основе следующих принципов:
15.3. В отношении всех персональных данных, обрабатываемых в Сеченовском Университете, устанавливаются сроки обработки и хранения персональных данных.
Для персональных данных, в отношении которых установлены конкретные сроки хранения у Оператора (достижение цели обработки персональных данных; истечение срока действия согласия субъекта персональных данных на их обработку; сроки обработки персональных данных, установленные действующим Федеральным законодательством), данные сроки обработки (хранения) указываются (прикрепляются) к персональным данным (обработка в срок до - число, месяц, год). Срок обработки (хранения) персональных данных предоставляются пользователям Оператора для информирования. Наступление срока обработки (хранения) персональных данных влечет прекращение обработки персональных данных Оператором.
15.4. При осуществлении хранения персональных данных при их обработке в Сеченовском Университете используются базы данных, находящиеся на территории Российской Федерации, в соответствии с требованиями ч. 5 ст. 8 ФЗ-152.
15.5. Порядок обработки (хранения) персональных данных работников Сеченовского Университета организуется в соответствии с требованиями ст. 87 Трудового кодекса Российской Федерации «Хранение и использование персональных работников». В подразделениях определяются места хранения, правила и ответственные за хранение лица. Персональные данные работников подразделяются на общие и специальные, собранные на протяжении трудовой деятельности работника о близких родственниках работников. Срок обработки персональных данных работающих Сеченовского Университета соответствует всему периоду его трудовой деятельности в Сеченовского Университете. Персональные данные работников, обрабатываемые в целях воинского, миграционного, статистического, бухгалтерского учета и отчетности, на основании Федерального закона от 22.10.2004 № 125-ФЗ «Об архивном деле Российской Федерации» (далее по тексту – ФЗ-125), предаются на архивное хранение и срок их хранения составляет 75 лет.
15.6. Срок обработки персональных данных обучающихся соответствует сроку обучения (получения образовательных услуг) субъекта персональных данных. Хранение персональных данных, на который обучающийся предоставляет на основании согласия на обработку персональных данных, осуществляется до достижения целей обработки персональных данных, в течение всего периода обучения и пяти лет с момента окончания обучения, за исключением обработки данных в целях воинского, миграционного, статистического, бухгалтерского учета и отчетности, сроки хранения которых установлены законодательством Российской Федерации. По истечению срока хранения персональные данные обучающихся подлежат уничтожению. Исключением являются данные обучающихся в целях воинского, миграционного, статистического, бухгалтерского учета и отчетности, которые предаются на архивное хранение в Сеченовском Университете в соответствии с ФЗ-125.
15.7. Сроки хранения персональных данных пациентов устанавливаются в согласии субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено федеральным законодательством. Срок хранения персональных данных пациентов при стационарном получении медицинской помощи в Сеченовском Университете составляет 25 лет, а для пациентов поликлиник Сеченовского Университета в течение 5 лет. Документы, содержащие персональные данные пациентов, образующихся в деятельности Сеченовского Университета, как медицинской организации и подлежащих архивному хранению, подлежат передачи на хранение согласно ч. 1 ст. 17 ФЗ-125.
15.8. Срок хранения персональных данных представителей сторонних организаций и учреждений, посетителей и иные граждане, получающих доступ на объекты Сеченовского Университета, пользователей и посетителей сайтов, участников мероприятий, проводимых Сеченовским Университетом, устанавливаются согласием на обработку персональных данных субъектов, соглашениями и договорами.
15.9. Документы на бумажных носителях и копии документов на бумажном и электронном носителе, содержание персональные данные субъектов персональных данных, обрабатываемы без применения средств автоматизации, хранятся в Сеченовском Университете согласно установленным правилам, обеспечивающим их конфиденциальность и в установленные сроки.
Персональные данные, содержащиеся в приказах о приеме на работу, о переводах, об увольнении, о поощрениях, установлении надбавок, материальной помощи, хранятся в кадровом подразделении Сеченовского Университета в течение двух лет, с последующей передачей указанных документов на архивное хранение в порядке, предусмотренном законодательством Российской Федерации. Первичные документы бухгалтерского учета хранятся, на основании ст. 29 Федерального закона от 06.12.2011 № 402-ФЗ «О бухгалтерском учете», в соответствии с правилами хранения в течение пяти лет после отчетного года.
15.10. Персональные данные в форме электронных документов хранятся в ИСПДн до достижения целей обработки. При необходимости их дальнейшего хранения, на основании действующего законодательства Российской Федерации, электронные документы, содержащие персональные данные, переводятся на архивное хранение в установленном законодательством порядке.
15.11. При достижении цели обработки персональных данных в Сеченовском Университет обработка и хранение персональных данных прекращается, производится уничтожение персональных данных субъектов персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных, либо если Оператор не вправе осуществлять обработку его персональных данных без согласия субъекта персональных данных на основании Федерального закона.
15.12. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных, персональные данные уничтожаются, если иное не предусмотрено договором или иным соглашением между Оператором и субъектом персональных данных, либо на основании Федерального закона.
15.13. Акты уничтожения персональных данных и иные документы, подтверждающие уничтожение персональных данных, хранятся в установленном в Сеченовском Университете порядке, срок хранение составляет три года.
16.1. В установленных законодательством Российской Федерации случаях, при заключении договоров, требующих передачи персональных данных третьему лицу, в Сеченовском Университете при обработке персональных данных субъектов, возможна их передача на основании письменного согласия субъекта персональных данных или законного его представителя, на передачу персональных данных субъекта, если иное не предусмотрено Федеральным законодательством.
16.2. Передача Оператором персональных данных субъекта персональных данных третьему лицу выполняется в соответствии требованиями ст. 6 ФЗ-152.
16.3. Передача персональных данных работников Сеченовского Университета осуществляется в соответствии со ст. 88 «Передача персональных данных работника» Трудового кодекса РФ от 30.12.2001 № 197-ФЗ (далее – Кодекс). При передаче персональных данных субъекта персональных данных третьему лицу на территории Российской Федерации Сеченовский Университет обязан соблюдать следующие требования:
16.4. Передача (обмен) персональных данных между отделами (структурными подразделениями) Сеченовского Университета осуществляется только между работниками, имеющими разрешение на доступ к обработке персональных данных.
16.5. Сеченовский Университет вправе передавать персональные данные в государственные органы (налоговые, правоохранительные, судебные, военкоматы, органы социального страхования, пенсионные фонды), подразделения муниципальных органов управления, кредитные организации, в которые Сеченовский Университет осуществляет передачу данных субъектов персональных данных по основаниям, предусмотренным действующим законодательством Российской Федерации.
16.6. При передаче персональных данных субъекта персональных данных должны выполняться следующие требования:
16.7. Учет переданных персональных данных третьим лицам осуществляется в рамках принятых в Сеченовском Университете правил делопроизводства, путем регистрации входящей и исходящей корреспонденции и запросов, как с государственными и муниципальными органами, так и структурными подразделениями Сеченовского Университета, при предоставлении персональных данных физических (юридических) лиц либо их представителей.
16.8. Во всех случаях, если лицо, обратившееся в Сеченовский Университет с запросом на предоставление персональных данных, обрабатываемых Оператором, не уполномочено на получение данной информации, содержащей персональные данные, уполномоченные лица Сеченовского Университета обязаны отказать данному лицу в выдаче такой информации. Лицу, обратившемуся с соответствующим запросом, выдается уведомление в свободной форме об отказе в выдаче информации, а копия уведомления хранится в соответствии с принятыми правилами делопроизводства (как исходящая корреспонденция).
17.1. Трансграничная передача персональных данных субъектов персональных данных - это передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
17.2. Трансграничная передача персональных данных может осуществляться в случаях отправки документов, содержащих персональные данные, в бумажной форме или по электронной почте лицу, находящемуся за пределами Российской Федерации юридическому или физическому лицу, в рамках реализации видов деятельности, установленных уставом Сеченовского Университета, в том числе при направлении сотрудников в загранкомандировки, передача в интересах субъекта персональных данных, в том числе если она необходима для защиты жизни, здоровья и иных жизненно важных интересов.
17.3. Оператор до начала планируемой трансграничной передачи персональных данных должен получить от органа власти иностранного государства, иностранных физических и юридических лиц, которым планируется трансграничная передача персональных данных, сведения о принимаемых иностранным государством мерах по защите передаваемых персональных данных, информации о правовом регулировании в области персональных данных, если государство не является стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, об органах власти иностранного государства, которым планируется трансграничная передача персональных данных (ч.5 ст.12 ФЗ-152).
17.4. Оператор до начала осуществления деятельности по трансграничной передаче персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных. Указанное уведомление направляется отдельно от уведомления о намерении осуществлять обработку персональных данных, предусмотренного ст. 22 ФЗ-152.
В целях оценки достоверности сведений, содержащихся в уведомлении Оператора о своем намерении осуществлять трансграничную передачу персональных данных, сведения, предусмотренные п.п.1 - 3 ч. 5 ФЗ-152, предоставляются Оператором по запросу уполномоченного органа по защите прав субъектов персональных данных в течение десяти рабочих дней с даты получения такого запроса.
17.5. Уведомление в уполномоченный орган по защите прав субъектов персональных данных, предусмотренное ч. 3 ст. 12 ФЗ-152, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление о намерении осуществлять трансграничную передачу персональных данных должно содержать сведения, указанные в п. 4 ст. 12 ФЗ-152. Образец формы «Уведомления о намерении осуществлять трансграничную передачу персональных данных» – приложение № 1 к Политике.
17.6. После направления уведомления, до получения ответа уполномоченного органа по защите прав субъектов персональных данных, Оператор:
17.7. Трансграничная передача персональных данных может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства, защиты экономических и финансовых интересов Российской Федерации, обеспечения дипломатическими и международно-правовыми средствами защиты прав, свобод и интересов граждан Российской Федерации, суверенитета, безопасности, территориальной целостности Российской Федерации и других ее интересов на международной арене с даты принятия уполномоченным органом по защите прав субъектов персональных данных решения, предусмотренного ч. 12 ст. 12 ФЗ-152.
17.8. Решение о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан принимается уполномоченным органом по защите прав субъектов персональных данных (ч. 8 ст. 12 ФЗ-152) в течение десяти рабочих дней с даты поступления уведомления.
17.9. В случае принятия уполномоченным органом по защите прав субъектов персональных данных решения, предусмотренного ч. 8 или ч. 12 ст. 12 ФЗ-152, Оператор обязан обеспечить уничтожение органом власти иностранного государства, иностранным физическим лицом, иностранным юридическим лицом ранее переданных им персональных данных.
18.1. В Сеченовском Университете производится обработка персональных данных с действиями по обезличиванию персональных данных, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
18.2. Обезличивание персональных данных может быть проведено с целью ведения статистического учета и отчетности, снижения ущерба от разглашения персональных данных, снижения уровня защищенности автоматизированных информационных систем, если иное не предусмотрено действующим законодательством Российской Федерации.
18.3. Порядок работы с обезличенными персональными данными:
18.4. Обезличивание персональных данных осуществляется в соответствии с приказом Роскомнадзора от 05.09.2013 № 996 "Об утверждении требований и методов по обезличиванию персональных данных". Устанавливаются рекомендации по применению требований и методов по обезличиванию персональных данных.
Обезличивание персональных данных должно сохранять свойства персональных данных и обеспечивать возможность их дальнейшей обработки. Обезличенные персональные данные должны сохранять свойства:
Роскомнадзор рекомендует для обеспечения требуемых свойств обезличенных данных применять следующие методы обезличивания персональных данных:
18.5. Процедуры обезличивания/деобезличивания встраиваются в процессы обработки персональных данных как их неотъемлемый элемент. Субъект персональных данных должен иметь возможность получить сведения о составе его персональных данных, имеющихся у Оператора.
18.6. В Сеченовском Университете проводится обезличивание сведений о лицах, которым оказывается медицинская помощь. Порядок обезличивания сведений о лицах, которым оказывается медицинская помощь, а также о лицах, в отношении которых проводятся экспертизы, медицинские осмотры и медицинские освидетельствования, утвержден приказом Министерства здравоохранения Российской Федерации от 14.06.2018 № 341н.
19.1. В Сеченовском Университете осуществляется уничтожение персональных данных, обработка которых осуществляется с применением средств автоматизации и без использования средств автоматизации.
Действия по уничтожению персональных данных делает невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных (п. 8 ст. 3 ФЗ-152).
19.2. Персональные данные подлежат уничтожению, если:
19.3. В случае выявления неправомерной обработки персональных данных, осуществляемой Сеченовским Университетом, в срок, не превышающий трех рабочих дней с даты этого выявления, он обязан прекратить неправомерную обработку персональных данных. Если обеспечить правомерную обработку персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки обязан уничтожить такие персональные данные. Об уничтожении таких персональных данных Оператор обязан уведомить субъекта персональных данных или уполномоченный орган по защите прав субъектов персональных данных, в случае обращения данного органа (требование п. 3. ст. 21 ФЗ-152).
19.4. В случае достижения цели обработки персональных данных Сеченовский Университет обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональных данных или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором или соглашением между Оператором и субъектом персональных данных, если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральными законами (требование п. 4. ст. 21 ФЗ-152).
19.5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Сеченовский Университет обязан прекратить их обработку, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва согласия, если иное не предусмотрено договором между Оператором и субъектом персональных данных, иным соглашением между Сеченовским Университетом и субъектом персональных данных, либо если Оператор вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральными законами (требование п. 5. ст. 21 ФЗ-152).
19.6. В случае обращения субъекта персональных данных к Сеченовскому Университету с требованием о прекращении обработки его персональных данных Оператор обязан в срок не превышающий десяти рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку и уничтожить персональные данные (требование п. 5.1 ст. 21 ФЗ-152).
19.7. В случае отсутствия возможности уничтожения персональных данных в течение установленных сроков, указанных в п. 19.3 – 19.6 настоящей Политики, необходимо осуществить блокирование таких персональных данных и обеспечить уничтожение персональных данных в срок, не превышающий шести месяцев со дня выявления неправомерной обработки персональных данных, если иной срок не установлен Федеральными законами (требование п. 6 ст. 21 ФЗ-152).
20.1. Категории субъектов персональных данных
Сеченовский Университет осуществляет обработку персональных данных следующих субъектов персональных данных:
20.1.1. Граждане, работающие в Сеченовском Университете, в том числе работающие в Сеченовском Университете по совместительству и работники, состоящие с Сеченовским Университетом в иных трудовых отношениях, претендующие на замещение вакантных должностей в Сеченовском Университете, включенные в кадровый резерв, ранее работавшие на различных должностях в Сеченовском Университете и уволенные работники, родственники работников и их законные представители (далее по тексту - работники).
20.1.2. Все категории обучающихся в Сеченовском Университете, в том числе различные категории учащихся, абитуриенты, специалисты среднего звена, студенты всех форм обучения (бакалавриат, специалитет, магистратура), учащиеся Ресурсного центра «Медицинский Сеченовский Предуниверсарий», УВК «Mentor Medicus», ординаторы, аспиранты, докторанты, соискатели, слушатели курсов повышения квалификации, дополнительных образовательных программ), их родственники, в том числе несовершеннолетние обучающиеся и их родственники, их законные представители и ранее обучавшиеся в Университете, в том числе выпускники Сеченовского Университета, закончивших обучение и отчисленных (далее по тексту - обучающиеся).
20.1.3. Лица, нуждающиеся в медицинской помощи, получающие или ранее получившие медицинскую помощь в Сеченовском Университете, в том числе несовершеннолетние и их родители, родственники, законные представители (далее по тексту - пациенты).
20.1.4. Представители сторонних организаций и учреждений, юридические и физические лица, осуществляющих взаимодействие с Сеченовским Университетом на договорной основе.
20.1.5. Граждане, обратившиеся в Сеченовский Университет, посетители и иные граждане, получающие доступ на объекты Сеченовского Университета (далее по тексту - посетители).
20.1.6. Пользователи и посетители сайтов Сеченовского Университета.
20.1.7. Волонтеры, доноры, члены общественных организаций Сеченовского Университета, участники олимпиад, конкурсов, спартакиад и иных мероприятий, проводимых Сеченовским Университетом.
20.2. Порядок обработки персональных данных работников
20.2.1. Требования по обработке персональных данных работников определены в ст. 86 «Общие требования при обработке персональных данных работников» Кодекса.
В целях обеспечения прав и свобод человека и гражданина при обработке персональных данных работников в Сеченовском Университете выполняются следующие требования:
20.2.2. К источникам персональных данные работников Сеченовского Университета относятся:
20.2.3. Предоставление работником подложных документов или ложных сведений и персональных данных при поступлении на работу в Сеченовский Университет, а также в период трудовой деятельности, является основанием для расторжения трудового договора.
20.2.4. Размещение на сайте Сеченовского Университета персональных данных и сведений о работнике осуществляется согласно Правил и объемов, установленных постановлением Правительства РФ от 10.07.2013 № 582.
20.2.5. Персональные данные уволенных работников обрабатываются в целях обеспечения кадровой работы Сеченовского Университета, в том числе в целях содействия им в трудоустройстве, обеспечения их личной безопасности и членов их семей, а также в целях обеспечения сохранности принадлежащего им имущества, предоставления информации по запросам государственных органов, выполнения требований Трудового Кодекса Российской Федерации и Федерального закона от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации».
Обработка, передача и использование персональных данных уволенных работников осуществляется в случаях и порядке, предусмотренных Федеральным законодательством Российской Федерации.
Обработка персональных данных уволенных работников осуществляется при получении согласия указанных лиц в случаях:
20.3. Порядок обработки персональных данных обучающихся
20.3.1. Обработка персональных данных обучающихся в Сеченовском Университете осуществляется с соблюдением требований Федерального закона от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации» и иных нормативно-правовых актов, регулирующих вопросы приема и обучения в Университете, обработки и защиты персональных данных.
20.3.2. Получение и обработка персональных данных осуществляется на основании «Согласия на обработку персональных данных Обучающихся» (образец согласия - приложении № 3 к Политике), составленного по типовой форме, утверждаемой приказом ректора Сеченовского Университета. Обработка персональных данных обучающихся Сеченовского Университета может осуществляться без согласия только в случаях, установленных действующим законодательством Российской Федерации.
20.3.3. К источникам персональных данных обучающихся в Сеченовском Университете относятся:
20.3.4. Обработка персональных данных несовершеннолетних лиц, школьников, в системе довузовского образования в Сеченовском Университете, в том числе проходящих обучение в Учебно-виртуальном комплексе (УВК) «Mentor Medicus», Ресурсном центре «Медицинский Сеченовский Предуниверсарий», участников волонтерского движения, членов Волонтерского центра, проводится на основании «Согласия на обработку персональных данных Обучающегося», (образец согласия - приложении № 3 к Политике)составленное и подписанное родителем несовершеннолетнего (законным представителем несовершеннолетнего).
20.3.5. Сроки обработки персональных данных установлены законодательством Российской Федерации, требованиями субъекта персональных данных или его представителя, которые устанавливаются в согласии, либо уполномоченного органа по защите прав субъектов персональных данных. По истечению сроков обработки персональных данных, они подлежат уничтожению или блокированию в установленном порядке.
20.3.5.1. Обработки персональных данных обучающихся осуществляется в течение всего периода обучения и пяти лет с момента окончания обучения, за исключением обработки данных в целях воинского, миграционного, статистического, бухгалтерского учета и отчетности, сроки хранения которых установлены законодательством Российской Федерации.
20.3.5.2. Персональных данных обучающихся, уволенных (отчисленных) до окончания обучения, подлежат обработки в порядке и сроки, установленные для обучающихся, завершивших обучение в Сеченовском Университете.
20.3.5.3. Персональных данных абитуриентов и их родственников, не прошедших по конкурсу для обучения в Сеченовском Университете, подлежат блокировки и удаляются в течение трех месяцев со дня последнего приказа о зачислении.
20.3.6. В случае отказа обучающегося от подписания согласия на обработку персональных данных и предоставления им в Сеченовский Университет своих персональных данных, обучающемуся доводится под роспись разъяснение субъекту персональных данных юридических последствий отказа предоставлять свои персональные данные Оператору.
20.3.7. Предоставление обучающимся подложных документов или ложных сведений и персональных данных при поступлении в Сеченовский Университет, а также в период его обучения, является основанием для отчисления обучающегося из Сеченовского Университета и/или расторжения договора на обучение в Сеченовском Университете.
20.3.8. Обработка, передача и использование персональных данных ранее обучавшихся в Сеченовском Университете, в том числе закончивших обучение и отчисленных, осуществляется в целях содействия им в трудоустройстве, обеспечения сохранности сведений об образовании, предоставления информации по запросам государственных органов, в случаях и порядке, предусмотренных Федеральным законодательством Российской Федерации.
20.4. Порядок обработки персональных данных пациентов
20.4.1. Обработка персональных данных пациентов, лиц, нуждающихся в медицинской помощи, получающих или ранее получивших медицинскую помощь в Сеченовском Университете, их родственников и законных представителей, осуществляется с соблюдением требований Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и иных нормативно-правовых актов, регулирующих вопросы оказания медицинской помощи, обработки и защиты персональных данных.
20.4.2. Получение и обработка персональных данных осуществляется на основании «Согласия на обработку персональных данных Пациентов» (образец согласия - приложении № 4 к Политике), составленного по типовой форме, утверждаемой приказом ректора Сеченовского Университета. Обработка персональных данных пациентов в Сеченовском Университете может осуществляться без согласия только в случаях, установленных действующим законодательством Российской Федерации.
20.4.3. К источникам персональных данных пациентов относятся документы и сведения, предоставляемые ими для оказания им медицинской помощи в соответствии с установленными порядками оказания медицинской помощи, стандартами медицинской помощи и медицинского страхования.
Источник персональных данных пациентов:
20.4.4. Сроки обработки персональных данных пациентов установлены законодательством Российской Федерации, требованиями субъекта персональных данных или его представителя, которые устанавливаются в согласии. Обработка осуществляется в течение всего периода оказания медицинской помощи и/или медицинских услуг в Сеченовском Университете. В целях статистического учета и отчетности обработка персональных данных осуществляется в течение 25 лет (для пациентов стационара) или 5 лет (для пациентов поликлиники) после оказания медицинской помощи и/или медицинских услуг.
По истечению сроков обработки персональных данных, они подлежат уничтожению или блокированию в установленном порядке.
20.4.5. В случае отказа пациента от подписания согласия на обработку персональных данных и предоставления им в Сеченовский Университет своих персональных данных, пациенту доводится под роспись разъяснение юридических последствий отказа предоставлять свои персональные данные Оператору.
20.5. Порядок обработки персональных данных посетителей и иных граждан
20.5.1. Сеченовский Университет осуществляет обработку персональных данных представителей сторонних организаций и учреждений, посетителей и иные граждане, получающих доступ на объекты Сеченовского Университета, пользователей и посетителей сайтов, участников мероприятий, проводимых Сеченовским Университетом.
20.5.2. Сбор и обработка персональных данных данной категории субъектов персональных данных осуществляется в целях реализации целей и видов деятельности, определенных Уставом Сеченовского Университета, утвержденного приказом Министерства здравоохранения Российской Федерации от 28.02.2017 № 78.
20.5.3. Получение и обработка персональных данных осуществляется на основании полученного Оператором письменного согласия на обработку персональных данных субъектов персональных данных.
Сбор и обработка персональных данных посетителей и пользователей сайтов Сеченовского Университета осуществляется после подтверждения субъектом персональных данных своего согласия на обработку его персональных данных в электронной форме на сайте.
Обработка персональных данных может осуществляться без согласия только в случаях, установленных действующим законодательством Российской Федерации.
20.5.4. Обработка персональных данных данной категории субъектов персональных данных осуществляется без применения средств автоматизации, а также с применением средств автоматизации, в автоматизированных информационных системах персональных данных.
20.5.5. Порядок учета и хранения персональных данных данной категории субъектов персональных данных в Сеченовском Университете определены внутренними распорядительными документами. Перечень обрабатываемых персональных данных, сроки обработки персональных данных устанавливаются согласием субъектов персональных данных на обработку его персональных данных.
21.1. Доступ работников Оператора к обрабатываемым персональным данным
21.1.1. Под доступом работников Сеченовского Университета понимается получение разрешения на обработку персональных данных, предоставленных субъектами персональных данных Оператору.
21.1.2. Порядок предоставления на доступ работников Сеченовского Университета к обработке персональных данных субъектов персональных данным определяется внутренними распорядительными документами Сеченовского Университета.
21.1.3. Доступ к персональным данным разрешается только тем работникам Сеченовского Университета и исключительно в объеме, необходимом для выполнения своих должностных обязанностей. Основанием для доступа является включение должности работника в «Перечень должностей Сеченовского Университета, замещение которых предусматривает осуществление обработки персональных данных, либо осуществление доступа к персональным данным» - приложение № 12 к Политике.
21.1.4. Работник получает доступ к обработке персональных данных, совершаемых с использованием средств автоматизированной обработки и/или при обработке без использования средств автоматизации. Порядок предоставления прав доступа работников к информации, обрабатываемой в информационных системах, определен приказом ректора от 12.07.2023 № 0952/Р «Об утверждении Положения о системе разграничения доступа к информационным ресурсам и системам Сеченовского Университета».
Ограничение доступа организуется в целях обеспечения безопасности и конфиденциальности обрабатываемых Оператором персональных данных. При осуществлении доступа к персональным данным, обрабатываемым в информационных системах, в отношении пользователей таких информационных систем, осуществляется идентификация, аутентификация и авторизация.
21.1.5. В структурных подразделениях Сеченовского Университета решением (приказом, распоряжением) руководителя структурного подразделения утверждается «Список сотрудников подразделения, допущенных к обработке персональных данных (конфиденциальной информации)».
21.1.6. Работник Сеченовского Университета допускаются к обработке персональных данных после ознакомления с внутренними нормативными документами Сеченовского Университета, регламентирующими обработку персональных данных, настоящей Политикой, а также подписания установленной типовой формы обязательства о неразглашении персональных данных.
21.1.7. Сотрудникам сторонних организаций, работникам, должности которых не включены в Перечень должностей Сеченовского Университета, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, но которым необходим разовый или временный доступ к персональным данным субъектов персональных данных в связи с исполнением должностных обязанностей, может быть предоставлен такой доступ. Разовый или временный доступ предоставляется решением проректора по подчиненности Сеченовского Университета на основании письменного мотивированного запроса непосредственного руководителя структурного подразделения.
21.2. Доступ субъектов персональных данных к своим персональным данным
21.2.1. Оператор обязан обеспечивать доступ субъектов персональных данных к принадлежащим им персональным данным. Для получения такого доступа субъекту персональных данных необходимо направить Оператору письменный запрос, обращение или запрос в форме электронного документа, подписанный электронной подписью. Субъект персональных данных, либо его законный представитель, может передать запрос (обращение), содержащий сведения согласно ч. 3 ст. 14 ФЗ-152, в канцелярию или должностному лицу Сеченовского Университета или сотруднику, ответственному за обработки персональных данных в подразделении Сеченовского Университета. Образец для заполнения «Запроса субъекта персональных данных на предоставление информации» может быть предоставлен Сеченовским Университетом (образец запроса - приложение № 8 к Политике).
21.2.2. Запрос (обращение) субъекта персональных данных передается ответственному за организацию обработки персональных данных в структурном подразделении Сеченовского Университета, который регистрируется, рассматривается в установленный федеральным законом срок и направляется субъекту персональных данных ответ.
21.2.3. В соответствии с требованием ч. 7 ст. 14 ФЗ-152 субъект персональных данных имеет право на получение информации, касающейся обработки своих персональных данных Оператором, следующих сведений:
21.2.4. Оператор осуществляет предоставление персональных данных обратившегося субъекта персональных данных в доступной для субъекта форме и с обеспечением отсутствия в них персональных данных, относящихся к другим субъектам персональных данных.
21.2.5. Субъект персональных данных имеет право обратиться к Оператору, обрабатывающему его персональные данные, с целью:
21.2.6. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:
21.2.7. Работники Сеченовского Университета имеют права доступа к своим персональным данным, хранящимся у работодателя, согласно ст.89 Кодекса. Работники имеют право на:
22.1. Субъект персональных данных в соответствии с ч. 1 ст. 14 ФЗ-152 вправе обратится к Оператору с требованием об уточнении его персональных данных, о блокировании или уничтожении своих персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
22.2. Рассмотрение обращений граждан проводится в Сеченовском Университете в соответствии с требованиями Федерального закона от 02.09.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» уполномоченным лицом Сеченовского Университета - руководителем структурного подразделения или ответственным за организацию обработки персональных данных. Сведения, касающиеся обработки персональных данных, предоставляются субъекту персональных данных в доступной форме. В таких сведениях не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
22.3. Субъект персональных данных имеет право на свободный доступ к своим персональным данным, включая право на получение копии любой записи (за исключением случаев, когда предоставление персональных данных нарушает конституционные права и свободы других лиц), содержащей его персональные данные, вносить предложения по изменению своих персональные данные в случае обнаружения в них неточностей. требовать уточнения, блокирования или уничтожения персональных данных.
22.4. Субъект персональных данных, являющийся работником Сеченовского Университета, обучающимся или его законный представитель, получает доступ к своим персональным данным или к иной информации, касающейся обработки его персональных данных по запросу в следующие подразделения: отдел кадров, бухгалтерия, деканаты факультетов, военно-мобилизационный отдел – для выдачи документов, связанных с его трудовой и учебной деятельностью (копий приказов о приеме на работу, переводу на другую работу и должность, увольнении с работы, выписок из трудовой книжки, справок о месте работы, периоде работы и учебы в Сеченовском Университете, выписок из экзаменационных ведомостей и др.).
22.5. Сведения, касающиеся обработки персональных данных, предоставляются по письменному запросу субъекта персональных данных или его законного представителя.
Запрос субъекта персональных данных должен содержать:
Субъект персональных данных может составить запрос в произвольной форме или по типовой форме, предоставленной Оператором.
Субъект персональных данных, либо его законный представитель, может передать должностному лицу Сеченовского Университета или сотруднику, ответственному за обработки персональных данных в подразделении Сеченовского Университет «Запрос субъекта персональных данных на уточнение его персональных данных» (образец запроса - приложение № 9 к Политике).
22.6. К запросу, направленному законным представителем субъекта персональных данных, должен прилагаться документ (надлежащим образом заверенная копия), подтверждающий его полномочия.
22.7. Запрос субъекта персональных данных, поступившего в Сеченовский Университет, регистрируется в течение одного рабочего дня ответственным лицом Сеченовского Университета (руководитель структурного подразделения, ответственный за организацию обработки персональных данных) в «Журнале регистрации запросов субъектов персональных данных» (типовая форма журнала - приложение № 11 к Политике).
После обработки запроса ответственное лицо в Журнале делает отметку о выполнении действий по результатам обращения.
22.8. Ответственное лицо Сеченовского Университета обязано сообщить субъекту персональных данных или его законному представителю, по существу полученного запроса. Общий срок рассмотрения запросов субъектов персональных данных или их представителей, связанных с предоставлением информации, касающейся обработки персональных данных субъекта, не должен превышать 30 дней с момента получения, если иной срок не установлен законодательством РФ.
22.9. Мотивированный ответ в адрес субъекта персональных данных или его законного представителя может быть направлен через отделение почтовой связи заказным письмом с уведомлением о вручении или вручено лично с письменным подтверждением о получении.
Не допускается отвечать на вопросы и запросы в отношении обработки персональных данных субъектов по телефону или факсу.
22.10. Если требования к оформлению запроса не выполнены, по адресу, указанному в тексте запроса (в случае указания адреса), Оператором направляется уведомление об отказе в приеме запроса.
Если лицо, обратившееся с запросом, не уполномочено законодательством на получение персональных данных, либо отсутствует письменное согласие на предоставление его персональных данных, Оператором оформляется отказ в предоставлении персональных данных.
22.11. В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя, информации о наличии персональных данных о соответствующем субъекте персональных данных, Оператор обязано дать в письменной форме мотивированный ответ, содержащий ссылку на ч. 8 ст. 14 ФЗ-152, являющееся основанием для такого отказа, в срок, не превышающий тридцати рабочих дней со дня обращения субъекта персональных данных.
22.12. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Сеченовский Университет обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка осуществлялась другим лицом по поручению) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональных данных или обеспечить их уничтожение (если обработка осуществлялась другим лицом по поручению) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено Федеральным законом.
Субъектом персональных данных предоставляет отзыв согласия в письменной форме, составленной в произвольной форме или заполняет типовую форму отзыва - «Отзыв согласия на обработку персональных данных» (образец отзыва - приложение № 6 к Политике), предоставленную Оператором.
После получения отзыва согласия ответственный за организацию обработки персональных данных Сеченовского Университета должен рассмотреть запрос:
Сеченовский Университет не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных, кроме случаев, установленных Федеральным законодательством.
22.13. В случае подтверждения факта неточности персональных данных Сеченовский Университет на основании сведений, представленных субъектом персональных данных или его представителем или иных документов, обязано уточнить персональных данных либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
22.14. В случае выявления неправомерной обработки персональных данных Оператором, он в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по его поручению. В случае, если обеспечить правомерность обработки персональных данных невозможно, Сеченовский Университет в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональных данных или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Сеченовский Университет уведомляет субъекта персональных данных или его представителя.
22.15. В случае, если сведения, касающиеся обработки персональных данных и персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно для получения указанных сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения (направления первоначального запроса), если более короткий срок не установлен законодательством Российской Федерации в области персональных данных, нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
Субъект персональных данных вправе обратиться повторно в Сеченовский Университет или направить повторный запрос для получения сведений, касающихся обработки персональных данных и ознакомления с обрабатываемыми персональными данными до истечения указанного срока в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.
Оператор может отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего установленным требованиям. Такой отказ должен быть мотивированным.
22.16. Право субъекта персональных данных на доступ к его персональным данным ограничено в соответствии с п. 3 и п. 4 ч. 8 ст. 14 ФЗ-152, а также, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
23.1. Обработка персональных данных в Сеченовском Университете может осуществляться с применением средств автоматизации в автоматизированных системах - информационных системах персональных данных (ИСПДн) Сеченовского Университета.
23.2. Обработка персональных данных в ИСПДн осуществляется при предоставлении согласия субъектов персональных данных на такую обработку персональных данных.
Субъект персональных данных дает письменное согласие на действия с персональными данными, совершаемые с использованием средств автоматизации и действия (операции) с персональными данными, если иное не устанавливается действующим законодательством.
23.3. С использованием средств автоматизации совершаются следующие действия (операции) с персональными данными:
23.4. Каждый работник Сеченовского Университета, в рамках своих функциональных обязанностей имеющий доступ к ИСПДн, информационным базам персональных данных и совершающий действия (операции) с персональными данными, является пользователем ИСПДн. Перечень лиц (пользователей), имеющих доступ и осуществляющих обработку персональных данных в ИСПДн, утверждается установленным в Сеченовском Университете порядке.
23.5. С применением средств автоматизации в Сеченовском Университете осуществляется обработка персональных данных всех категорий субъектов персональных данных, обрабатываются различные категории персональных данных.
23.6. Действия с персональными данными при их обработке в ИСПДн, в том числе передача, доступ, изменения, удаления персональных данных, может осуществляться с применением программных и технических средств, каналов связи.
23.7. Уничтожение персональных данных в ИСПДн осуществляется путем удаления персональных данных методами и средствами гарантированного уничтожения информации.
24.1. Обработка персональных данных в Сеченовском Университете может осуществляться без использования средств автоматизации.
Правила обработки персональных данных без использования средств автоматизации в Сеченовском Университете установлены с учетом требований законодательства Российской Федерации, постановления Правительства Российской Федерации от 15.09.2008 № 687 (далее - ПП-687).
24.2. Персональные данные при их обработке без использования средств автоматизации обособляются от иной информации путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков).
24.3. При фиксации персональных данных на материальных носителях не допускается запись на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы. При обработке различных категорий персональных данных без использования средств автоматизации для каждой категории персональных данных должен использоваться отдельный материальный носитель.
24.4. В подразделениях Сеченовского Университета утверждается перечень лиц, осуществляющих обработку персональных данных без использования средств автоматизации, места обработки и хранения персональных данных в подразделениях.
24.5. Лица, осуществляющих обработку персональных данных без использования средств автоматизации в подразделениях Сеченовского Университета, должны быть проинформированы:
24.6. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться следующие условия:
24.7. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, проводится раздельная обработка персональных данных без использования средств автоматизации.
24.8. При хранении персональных данных без использования средств автоматизации должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Хранение персональных данных (материальных носителей), осуществляется раздельно, если их обработка осуществляется в различных целях. Необходимые меры организуют руководители структурных подразделений Сеченовского Университета.
24.9. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающем дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
24.10. Уточнение персональных данных при их обработке без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями носителя – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
25.1. На сайтах в Сеченовском Университете осуществляется обработка персональных данных. Обрабатываются персональные данные следующих субъектов персональных данных:
25.2. Оператором на сайте осуществляется сбор и обработка следующих персональных данных:
25.3. Обработка персональных данных работников, обучающихся, волонтеров, участников олимпиад, конкурсов, спартакиад и иных мероприятий, проводимых Сеченовским Университетом, на сайте Сеченовского Университета осуществляется при предоставлении письменного согласия субъектов персональных данных на данную обработку.
25.4. Оператор, при осуществлении сбора персональных данных с использованием информационно-телекоммуникационной сети, обязан опубликовать на сайте Оператора, с использованием которого осуществляется сбор персональных данных документ, определяющий его политику в отношении обработки персональных данных и обеспечить доступ к указанному документу (требование ч. 2 ст. 18.1. ФЗ-152).
25.5. Сбор и обработка персональных данных посетителей и пользователей сайтов Сеченовского Университета осуществляется после подтверждения субъектом персональных данных своего согласия на обработку его персональных данных в электронной форме на сайте.
25.6. Обработка персональные данные на сайте проводится для следующих целей:
25.7. Размещение персональных данных на сайте работников Сеченовского Университета осуществляется без согласия на основании действующего законодательства, в том числе согласно Правил и объемов, установленных постановлением Правительства РФ от 10.07.2013 № 582, приказа Министерства здравоохранения от 30.12.2014 № 956н о размещении персональных данных в сети Интернет.
25.8. Сеченовский Университет обеспечивает сохранность персональных данных, обрабатываемых на сайте и их обеспечение их конфиденциальности.
26.1. Сеченовский Университет обязан принимать необходимые и достаточные меры для выполнения требований по обработке персональных данных для Оператора, установленных действующим законодательством по обработке персональных данных. Применять правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с требованиями Федерального законодательства.
26.2. Оператор обязан устранить нарушения законодательства, допущенные при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных. С этой целью Оператор осуществляет:
26.3. Оператор при обращении к нему субъекта персональных данных либо запроса уполномоченного органа по защите субъектов персональных данных обязан:
26.4. До начала обработки персональных данных Оператор обязан уведомить уполномоченный орган по защитите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Уведомление должно содержать сведения, указанные в ч. 3 ст. 22 ФЗ-152, подписываться уполномоченным лицом Оператора и направляется в виде документа на бумажном носителе или в форме электронного документа.
В случае изменения сведений, указанных в уведомлении, Оператор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли изменения, обязан уведомить уполномоченный орган по защите прав субъектов персональных данных обо всех произошедших изменениях за указанный период изменениях (требование ч. 7 ст. 22 ФЗ-152).
В случае прекращения обработки персональных данных, Оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты прекращения обработки персональных данных.
26.5. Если в соответствии с федеральным законом предоставление персональных данных и/или получение Оператором согласия на обработку персональных данных являются обязательными, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и/или дать согласие на их обработку (требование ч. 2 ст. 18 ФЗ-152).
26.6. Оператор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных (требование ч. 12 ст. 19 ФЗ-152).
26.7. Оператор обязан организовать ознакомление субъектов персональных данных или их законных представителей, с документами Оператора (положениями), устанавливающими порядок обработки персональных данных Оператором, а также о правах и обязанностях субъектов персональных данных в этой области. Сеченовский Университет, являющейся Оператором обработки персональных данных, обязан опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике.
26.8. Руководители структурных подразделений Сеченовского Университета обязаны, согласно требований п. 8 ч. 1 ст. 86 Трудового кодекса Российской Федерации и п. 6 ч. 1 ст. 18.1 ФЗ-152, проводить ознакомление под роспись всех подчиненных работников, осуществляющих обработку персональных данных и (или) получившие доступ к персональным данным, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику обработки персональных данных в Сеченовского Университете, локальными актами по вопросам обработки персональных данных и проводить обучение указанных работников.
26.9. Оператор обязан назначить лицо, ответственное за организацию обработки персональных данных (требование п. 1 ч. 1 ст. 18.1 ФЗ-152). Назначается лицо, ответственное за организацию обработки персональных данных в Сеченовском Университете приказом ректора.
26.9.1. Лицо, ответственное за обработку персональных данных, обязано (требование ч. 4 ст. 22.1 ФЗ-152):
26.9.2. Руководители структурных подразделений Сеченовского Университета и должностные лица, осуществляющие обработку персональных данных, обязаны предоставлять лицу, ответственному за обработку персональных данных, все сведения об обработке персональных данных (требования ч. 3 ст. 22.1 ФЗ-152).
26.9.3. Лицо, ответственное за обработку персональных данных, получает указания непосредственно от ректора Сеченовского Университета и подотчетно ему (требование ч. 2 ст. 22.1 ФЗ-152).
Ответственный за обработку персональных данных вправе:
26.9.4. Для реализации требований по обработки персональных данных в структурных подразделениях Сеченовского Университета, руководителями данных подразделений назначается ответственный за организацию обработки и защиты персональных данных в данном подразделении.
26.10. В Сеченовском Университете разрабатываются документы, определяющие политику Оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
26.11. В соответствии с требованиями п. 4 ч. 1 ст. 18.1 ФЗ-152 Оператор обязан проводить внутренний контроль и аудит соответствия обработки персональных данных ФЗ-152 и принятым в соответствии с ним нормативным правовым актам, политике оператора в отношении обработки персональных данных, локальным актам оператора.
В целях осуществления внутреннего контроля Оператор:
Проректор по цифровой трансформации, согласно п. 7.1. приказа ректора от 15.01.2024 № 0022/Р, организует работу по обработке персональных данных и осуществляет внутренний контроль за соблюдением Сеченовским Университетом и его работниками законодательства Российской Федерации о персональных данных. Внутренний контроль и аудит соответствия обработки персональных данных ФЗ-152 организует ответственный за обработку персональных данных в Сеченовском Университете.
27.1. Субъект персональных данных имеет право:
Для заполнения запроса субъектом персональных данных в Сеченовском Университете разработана типовая форма «Запрос субъекта персональных данных на уточнение его персональных данных» (приложение № 9 к Политике).
27.2. Доступ к своим персональным данным субъекту персональных данных или его законному представителю предоставляется Оператором, при обращении субъекта персональных данных, либо получении запроса от него или его законного представителя.
27.3. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
27.4. Сведения, предоставляемые Оператором субъекту персональных данных, должны быть представлены в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
27.5. Субъект персональных данных обязан:
27.6. Право субъекта персональных данных на доступ к своим персональным данным может ограничиваться в случае, если:
28.1. Конфиденциальность персональных данных – обязанность лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом.
28.2. Сеченовский Университет, согласно требований ст. 7, ст. 18.1 и ст. 19 ФЗ-152, принимает все необходимые меры по обеспечению конфиденциальности персональных данных, которые ему предоставил субъект персональных данных, принимает правовые, организационные и технические меры по обеспечению безопасности персональных данных.
Конфиденциальность персональных данных, реализация требований к защите персональных данных, обрабатываемых Оператором, устанавливаются Положением о защите персональных данных в Сеченовском Университете, утвержденном приказом ректора, согласно требований законодательства Российской Федерации по обеспечению безопасности персональных данных.
по обработке персональных данных
29.1. Работники Университета, осуществляющие обработку персональных данных и (или) получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом.
29.2. Работники, виновные в нарушении требований Федерального закона по обработке персональных данных, несут дисциплинарную, административную, материальную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.
29.3. Должностные лица Оператора несут административную ответственность за нарушение законодательства о персональных данных, установленную Кодексом об административных правонарушений, статьей 13.11 КоАП.
29.4. Нарушения работникам Сеченовского Университета порядка и обязанностей по обработке персональных данных, установленных настоящей Политикой, другими локальными нормативными актами (приказами, распоряжениями) Сеченовского Университета, может повлечь наложение на работника, имеющего доступ к персональным данным, дисциплинарного взыскания или расторжения трудового договора с Сеченовским Университетом, если иное не предусмотрено законодательством Российской Федерации.
30.1. Руководители структурных подразделений Сеченовского Университета обязаны провести ознакомление под роспись всех подчиненных работников, осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных и настоящей Политикой.
30.2. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в Уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.
30.3. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда.
30.4. Права и обязанности Оператора в связи с обработкой персональных данных определяются законодательством Российской Федерации в области персональных данных (далее - ПДн).
30.5. Настоящая Политика вступает в силу с даты утверждения ректором Сеченовского Университета и действует до её отмены либо принятия новой.
Внесение изменений и дополнений к настоящей Политике утверждаются ректором Сеченовского Университета.