МИНИСТЕРСТВО ТРАНСПОРТА РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ЖЕЛЕЗНОДОРОЖНОГО ТРАНСПОРТА
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
САМАРСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ПУТЕЙ СООБЩЕНИЯ
(СамГУПС)
ПОЛОЖЕНИЕ
об обработке и защите персональных данных в Самарском государственном университете путей сообщения
Общие положения
1.1 Положение об обработке и защите персональных данных в федеральном государственном бюджетном образовательном учреждении высшего образования «Самарский государственный университет путей сообщения» (далее – университет) регулирует отношения, связанные с обработкой персональных данных, осуществляемой лицами, уполномоченными на получение, обработку, хранение, передачу и другое использование персональных данных с использованием средств автоматизации или без использования таких средств.
1.1.1 Действие настоящего Положения не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования, содержащих персональные данные архивных документов в соответствии с законодательством об архивном деле в Российской Федерации.
1.2 Целью настоящего Положения является обеспечение защиты персональных данных, обрабатываемых в университете, от несанкционированного доступа к ним. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.
1.3 Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», Указом Президента РФ от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» и иными нормативными правовыми актами Российской Федерации.
1.4 В настоящем Положении используются следующие основные понятия:
1) персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, определяемая нормативными правовыми актами Российской Федерации в области защиты информации, трудовых отношений и образования, нормативными и распорядительными документами Министерства образования и науки Российской Федерации;
2) оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
2) лицо, уполномоченное на получение, обработку, хранение, передачу и другое использование персональных данных – работник, организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели и содержание обработки персональных данных;
3) субъект персональных данных – работник, обучающийся и (или) иное лицо, к которому относятся соответствующие персональные данные;
4) работник – физическое лицо, вступившее в трудовые отношения с университетом;
5) обучающийся – физическое лицо зачисленное приказом ректора в университет для обучения;
6) иное лицо – физическое лицо (заказчик, потребитель, исполнитель, арендатор, подрядчик и др.), состоящее в договорных и иных гражданско-правовых отношениях с университетом, родитель (опекун, попечитель) обучающегося, абитуриент;
7) обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:
сбор;
запись;
систематизацию;
накопление;
хранение;
уточнение (обновление, изменение);
извлечение;
использование;
передачу (распространение, предоставление, доступ);
обезличивание;
блокирование;
удаление;
уничтожение.
8) сбор персональных данных – накопление информации на материальных носителях и (или) в автоматизированных информационных системах;
9) накопление и систематизация персональных данных – организация размещения персональных данных, которое обеспечивает быстрый поиск и отбор нужных сведений, методическое обновление данных, защиту их от искажений, потери;
10) хранение персональных данных – комплекс мероприятий, направленный на обеспечение сохранности полноты и целостности сформированных массивов персональных данных, создание и поддержание надлежащих условий для их использования, а также предупреждение несанкционированного доступа, распространения и использования;
11) уточнение персональных данных – процесс поддержания персональных данных в актуальном состоянии;
12) распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
13) использование персональных данных – действия (операции) с персональными данными, совершаемые лицом, уполномоченным на получение, обработку, хранение, передачу и другое использование персональных данных в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
14) блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
15) уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
16) обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
17) материальный носитель – бумажный и машиночитаемый носители информации (в том числе магнитный и электронный), на которых осуществляются запись и хранение сведений, на основе которых можно установить личность физического лица;
18) доступ к персональным данным – возможность получения персональных данных и их использования;
19) информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
20) конфиденциальность персональных данных – обязательное для соблюдения лицом, уполномоченным на получение, обработку, хранение, передачу и другое использование персональных данных или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
21) общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
22) согласие субъекта персональных данных – свободно данное конкретное и сознательное указание о своей воле, которым субъект персональных данных оповещает о своем согласии на обработку касающихся его персональных данных;
23) запрос – изложенное в письменной или устной форме обращение субъекта персональных данных или его законного представителя;
24) письменное обращение – изложенное в письменной форме заявление, направленное по почте либо переданное субъектом персональных данных лично или через его законного представителя;
25) устное обращение – изложенное в устной форме заявление субъекта персональных данных или его законного представителя во время личного приема;
26) третья сторона – любое физическое или юридическое лицо, орган государственной власти или местного самоуправления, кроме субъекта персональных данных, университета (оператора) и лиц, уполномоченных на получение, обработку, хранение, передачу и другое использование персональных данных на законных основаниях;
27) защита персональных данных – технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивающий безопасность информации в процессе деятельности университета;
28) технические средства, позволяющие осуществлять обработку персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах;
29) несанкционированный доступ – доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам;
30) архивные документы – документы, хранящиеся в архиве, музее и библиотеке университета.
1.5 Ректор, проректоры, ответственные лица за обеспечение безопасности персональных данных и лица, уполномоченные на получение, обработку, хранение, передачу и другое использование персональных данных обеспечивают защиту персональных данных работников и обучающихся, содержащихся в их личных делах и иных документах, в автоматизированных информационных системах персональных данных университета (далее – ИСПДн) от неправомерного их использования или утраты.
1.6 Приказом ректора университета назначаются ответственные лица за обеспечение безопасности персональных данных в структурном подразделении, органе управления, контролирующем и ином органе, уполномоченном на обработку персональных данных и лица, уполномоченные на получение, обработку, хранение, передачу и другое использование персональных данных.
2. Цели сбора персональных данных.
2.1. Обработка персональных данных субъекта персональных данных может осуществляться исключительно в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов, исполнения трудового и гражданско-правового договоров, содействия субъекту персональных данных в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности субъекта персональных данных, контроля количества и качества выполняемой работы, качества освоения образовательных программ и обеспечения сохранности имущества университета и субъекта персональных данных.
3. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных.
3.1. Все персональные данные субъекта персональных данных следует получать у него самого в устной форме, либо в письменной форме путем заполнения различных анкет, опросных листов и т.п. Если персональные данные субъекта персональных данных возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие (либо письменный отказ) (Приложение № 1). Лицо, уполномоченное на получение, обработку, хранение, передачу и другое использование персональных данных, должно сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение.
3.2. К категориям субъектов персональных данных относятся:
- работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;
- физические лица, с которыми оператор заключает гражданско-правовые договоры,
- абитуриенты, студенты всех форм обучения, выпускники,
- слушатели, аспиранты, докторанты, соискатели.
3.3. Университет получает сведения о персональных данных субъектов персональных данных из следующих документов:
3.3.1. Паспорт или иной документ, удостоверяющий личность.
3.3.2. Трудовая книжка, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства.
3.3.3. Страховое свидетельство государственного пенсионного страхования.
3.3.4. Свидетельство о постановке на учёт в налоговом органе.
3.3.5. Документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу.
3.3.6 Документ об образовании, о квалификации или наличии специальных знаний – при поступлении на работу, требующую специальных знаний или специальной подготовки.
В отдельных случаях с учетом специфики работы законодательством Российской Федерации может предусматриваться необходимость предъявления при заключении трудового договора дополнительных документов (например, медицинское заключение для лиц в возрасте до 18 лет; для лиц, занятых на тяжелых работах и работах с вредными и (или) опасными условиями труда, а также на работах, связанных с движением транспорта и др.).
3.4. На каждого работника (обучающегося) в университете формируется в установленном порядке личное дело. В личное дело работника (обучающегося) вносятся его персональные данные и иные сведения, связанные с поступлением на работу (обучение), его трудовой деятельностью (обучением) и увольнением с работы (отчислением) и необходимые для обеспечения деятельности университета.
3.5. Персональные данные, внесенные в личные дела работников (обучающихся), иные сведения, содержащиеся в личных делах работников (обучающихся), относятся к сведениям конфиденциального характера (за исключением сведений, которые в установленных федеральными законами случаях могут быть опубликованы в средствах массовой информации), а в случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, – к сведениям, составляющим государственную тайну.
Режим конфиденциальности персональных данных, внесенных в личные дела работников (обучающихся), снимается по истечении 75 лет срока их хранения или продлевается на основании заключения экспертной комиссии университета, если иное не определено законом.
3.6. К личному делу работника приобщаются:
3.6.1 Личная карточка работника установленной формы.
3.6.2 Собственноручно заполненный и подписанный работником личный листок по учету кадров с фотографией.
3.6.3 Автобиография.
3.6.4 Документы о прохождении конкурса (выборов) на замещение вакантной должности (если гражданин назначен на должность по результатам конкурса или выборов).
3.6.5 Копии документов о профессиональном образовании, профессиональной переподготовке, повышении квалификации, стажировке, присвоении ученой степени, ученого звания (если таковые имеются).
3.6.6 Копии решений о награждении государственными наградами, присвоении почётных, воинских и специальных званий, присуждении государственных премий (если таковые имеются).
3.6.7 Выписка из приказа о назначении на должность или приёме на работу.
3.6.8 Экземпляр трудового договора, а также экземпляры письменных дополнительных соглашений, которыми оформляются изменения и дополнения, внесенные в трудовой договор.
3.6.9 Выписка из приказа о переводе работника на другую работу.
3.6.10 Выписки из приказов об увольнении работника, о прекращении трудового договора.
3.6.11 Аттестационный лист работника, прошедшего аттестацию.
3.6.12 Копии приказов о поощрении работника.
3.6.13 Выписки из приказов об отстранении работника от занимаемой должности или работы.
3.6.14 Выписка из приказа о смене фамилии, имени, отчества и копия документа, подтверждающего смену фамилии, имени, отчества (свидетельство о браке, о разводе, о перемене фамилии, имени, отчества).
К личному делу работника приобщаются иные документы, предусмотренные федеральными законами и иными нормативными правовыми актами Российской Федерации.
3.7. К личному делу обучающегося (студента) приобщаются:
3.7.1 Заявление на имя ректора о допуске к вступительным испытаниям и (или) участию в конкурсе на стандартном бланке.
3.7.2 Копия документа государственного образца об образовании (подлинники документов выдаются из дела в связи с переводом в другой вуз, отчислением из университета или после его окончания).
3.7.3 Свидетельство о результатах ЕГЭ.
3.7.4 Свидетельство об эквивалентности документа об образовании (для иностранных граждан).
3.7.5 Медицинское заключение о состоянии здоровья, включая ВИЧ-сертификат (для иностранных граждан или студентов, поступающих на специальности, для которых Постановлением Правительства установлено обязательное прохождение предварительного медицинского осмотра).
3.7.6 Копию паспорта или иного документа, удостоверяющего личность (при наличии).
3.7.7 Копии документов, подтверждающих право на льготный или на иной порядок поступления.
3.7.8 Учебная карточка студента (с номерами приказов о зачислении, переводе с курса на курс, оценками и т.д.), заверенная подписью декана и скрепленная печатью структурного подразделения; исправления в учебных карточках должны быть оговорены и заверены подписью декана факультета.
3.7.9 Зачетная книжка студента с соответствующими подписями декана, скрепленная печатью структурного подразделения.
3.7.10 Выписки из приказов о переводе студента с курса на курс, с одного факультета на другой, об отчислении из университета, о восстановлении в число студентов, о поощрениях и взысканиях и т.д.
3.7.11 Выписка из протокола Государственной аттестационной комиссии о присвоении квалификации.
3.7.12 Выписка из приказа об окончании университета.
3.7.13 Выписка из приказа о смене фамилии, имени, отчества и копия документа, подтверждающего смену фамилии, имени, отчества (свидетельство о браке, о разводе, о перемене фамилии, имени, отчества).
3.7.14 Копия документа государственного образца о высшем профессиональном образовании (диплом) с приложением к нему.
3.7.15 Студенческий билет (при утере студенческого билета - заявление об утере на имя ректора университета).
3.7.16 Обходной лист.
3.8. Личное дело студента должно отражать и такие возможные изменения в процессе его обучения в университете, как повторный год обучения, академический отпуск:
3.8.1 Заявление студента о предоставлении повторного года обучения, академического отпуска с приложением медицинской справки или иного документа, подтверждающего основание для предоставления академического отпуска.
3.8.2 Мотивированное заключение факультетской комиссии о предоставлении повторного обучения.
3.8.3 Выписка из приказа о предоставлении академического отпуска, повторного года обучения.
3.8.4 Заявление студента о выходе из академического отпуска, на повторный год обучения.
3.8.5 Выписка из приказа о восстановлении в число студентов после выхода из академического отпуска (на повторный год обучения).
К личному делу студента приобщаются иные документы, предусмотренные федеральными законами и иными нормативными правовыми актами Российской Федерации.
3.9. Личное дело работника и студента ведется отделом кадров.
3.10. Личное дело слушателя оформляется в Межотраслевом региональном центре повышения квалификации и профессиональной переподготовки специалистов и включает в себя:
3.10.1 Личное заявление.
3.10.2 Копию диплома о высшем профессиональном образовании с приложением или академическую справку либо справку об обучении в вузе и копию зачётной книжки.
3.10.3 Учебную карточку слушателя.
3.10.4 Копию паспорта.
3.10.5 Копию трудовой книжки.
3.10.6 Копию документов воинского учёта (для военнообязанных и лиц, подлежащих призыву на военную службу).
3.10.7 Выписку из протокола Государственной аттестационной комиссии о присвоении квалификации.
3.10.8 Копию документа, подтверждающего смену фамилии, имени, отчества (свидетельство о браке, о разводе, о перемене фамилии, имени, отчества).
3.10.9 Копию документа государственного образца о высшем профессиональном образовании (диплом) с приложением к нему.
3.10.10 Билет слушателя.
3.10.11 Обходной лист.
К личному делу слушателя приобщаются иные документы, предусмотренные федеральными законами и иными нормативными правовыми актами Российской Федерации.
3.11 Личное дело магистра, аспиранта, докторанта, соискателя оформляется в отделе магистратуры и аспирантуры и включает в себя:
3.11.1 Личное заявление.
3.11.2 Копию диплома о высшем профессиональном образовании с приложением (для бакалавров, аспирантов и соискателей).
3.11.3 Копию диплома о присуждении ученой степени кандидата наук (для докторантов).
3.11.4 Анкету или личный листок по учету кадров с фотографией.
3.11.5 Справку с места работы (для соискателей и докторантов).
3.11.6 Список опубликованных научных работ и изобретений (или реферат по теме диссертации – для аспирантов).
3.11.7 Отзыв научного руководителя (для аспирантов).
3.11.8 Выписку из протокола заседания кафедры с рекомендацией о зачислении в докторантуру (для докторантов).
3.11.9 Решение Ученого совета университета (для докторантов).
3.11.10 Развернутый календарный план работы над диссертацией (для докторантов).
3.11.11 Протоколы сдачи вступительных экзаменов и/или удостоверение о результатах кандидатских экзаменов (для бакалавров, аспирантов и соискателей).
3.12. Документы, приобщенные к личному делу работника (обучающегося), брошюруются, страницы нумеруются, к личному делу прилагается опись.
3.13 В обязанности отдела кадров и отдела магистратуры и аспирантуры, осуществляющих ведение личных дел работников, обучающихся, входит:
3.13.1 Приобщение документов, указанных в пунктах 4.8, 4.9, 4.10, 4.12 и 4.13 настоящего Положения, к личным делам работников (обучающихся).
3.13.2 Обеспечение сохранности личных дел работников (обучающихся).
3.13.3 Обеспечение конфиденциальности сведений, содержащихся в личных делах работников (обучающихся), в соответствии с федеральными законами и иными нормативными правовыми актами Российской Федерации, а также в соответствии с настоящим Положением.
3.13.4 Ознакомление работника (обучающегося) с документами своего личного дела по просьбе работника (обучающегося) и во всех иных случаях, предусмотренных законодательством Российской Федерации.
3.14 Личное дело абитуриента формируется приемной комиссией университета и включает в себя документы, перечисленные в пунктах 3.7.1 – 3.7.9 настоящего Положения, а также материалы сдачи вступительных испытаний и копию решения апелляционной комиссии (последнее при наличии).
К личному делу абитуриента из числа детей-инвалидов, инвалидов I и II групп приобщаются справка об установлении инвалидности и заключение об отсутствии противопоказаний для обучения в высшем учебном заведении, выданные федеральным учреждением медико-социальной экспертизы.
К личному делу абитуриента из числа лиц с ограниченными возможностями приобщается заключение психолого-медико-педагогической комиссии.
Личные дела (с копиями документов) не поступивших абитуриентов хранятся в университете в течение 6 месяцев с момента начала приема документов, а затем уничтожаются в установленном порядке.
Оригиналы документов из личного дела не поступившего абитуриента, выдаются при личном обращении абитуриента на основании документа, удостоверяющего его личность или по доверенности, оформленной в установленном порядке, и расписки о сданных документах.
Оригиналы невостребованных документов об образовании после изъятия из личных дел передаются по описи на хранение в архив университета.
3.15 Обработка персональных данных субъекта персональных данных о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, личной или интимной жизни, о его членстве в общественных объединениях или его профсоюзной деятельности не допускается, за исключением случаев, предусмотренных Трудовым кодексом Российской Федерации и иными федеральными законами.
3.16 При принятии решений, затрагивающих интересы субъекта персональных данных не допустимо основываться на персональные данные, полученные исключительно в результате их автоматизированной обработки или электронного получения.
|