Политика в отношении обработки персональных данных

1. Общие положения

1.1. Настоящая политика в отношении обработки персональных данных (далее – Политика) определяет цели сбора, правовые основания, условия и способы обработки персональных данных, права и обязанности Автономной некоммерческой образовательной организации высшего образования «Научно-технологический университет «Сириус» (далее – Университет), как оператора персональных данных, субъектов персональных данных, объем и категории обрабатываемых персональных данных и меры их защиты в Университете.

1.2. Локальные нормативные акты и иные документы, регламентирующие обработку персональных данных в Университете, разрабатываются с учетом положений Политики.

1.3. Политика является общедоступной и подлежит публикации на официальном сайте Университета.

1.4. Действие Политики распространяется на персональные данные, которые Университет обрабатывает с использованием и без использования средств автоматизации.

В Политике используются следующие термины и определения:
- персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
- оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- обработка персональных данных – действие (операция) или совокупность действий (операций) с персональными данными с использованием и без использования средств автоматизации, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;
- автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2. Цели обработки персональных данных

2.1. Целями сбора персональных данных Университета являются:

2.1.1. обеспечение соблюдения Конституции Российской Федерации, законодательства Российской Федерации и локальных нормативных актов Университета;

2.1.2. проведение приема на обучение в Университет;

2.1.3. организация образовательной деятельности по образовательным программам среднего профессионального, высшего образования, а также по дополнительным общеобразовательным программам, дополнительным профессиональным программам в соответствии с законодательством Российской Федерации и уставом Университета;

2.1.4. осуществление научной деятельности в соответствии с законодательством Российской Федерации и уставом Университета;

2.1.5. реализация прав, обеспечение социальных гарантий обучающихся, их родителей (законных представителей), работников Университета в соответствии с законодательством Российской Федерации, локальными нормативными актами Университета;

2.1.6. осуществление деятельности по выявлению, сопровождению и мониторингу дальнейшего трудоустройства лиц, проявивших выдающиеся способности;

2.1.7. организация и проведение практической подготовки обучающихся, стажировки;

2.1.8. содействие обучающимся в трудоустройстве;

2.1.9. привлечение и отбора кандидатов на работу, ведения кадровой работы, регулирование трудовых отношений с работниками Университета;

2.1.10. выполнения функций и полномочий экономического субъекта при осуществлении бухгалтерского и налогового учета;

2.1.11. исполнение обязательств по договорам, стороной, выгодоприобретателем или получателем которых является субъект персональных данных.

2.1.12. обеспечение безопасности обучающихся, родителей (законных представителей) обучающихся, работников и посетителей Университета, в том числе функционирования систем безопасности, пропускного и внутриобъектового режима;

2.1.13. охрана здоровья обучающихся;

2.1.14. воспитание обучающихся, поддержка позитивных студенческих инициатив и проектов;

2.1.15. расчет, начисление и выплата стипендий, премий, материальной помощи, компенсаций, и иных видов выплат;

2.1.16. учет обучающихся в соответствии с Федеральным законом «О воинской обязанности и военной службе»;

2.1.17. выяснение обстоятельств несчастных случаев, произошедших с обучающимися;

2.1.18. обеспечение академической мобильности обучающихся и работников Университета;

2.1.19. направление обучающихся для участия в учебных, научных, спортивных, культурных мероприятиях, в том числе в иностранные государства;

2.1.20. проведение текущего контроля успеваемости, промежуточной и итоговой аттестации обучающихся Университета;

2.1.21. обеспечение сохранности имущества Университета, его работников и обучающихся;

2.1.22. организация проживания и питания обучающихся;

2.1.23. издание научной, учебной, методической, справочной литературы;

2.1.24. миграционно-визовый учет, регистрация и контроль за соблюдением режима пребывания иностранных обучающихся и (или) работников Университета на территории Российской Федерации;

2.1.25. международная деятельность Университета;

2.1.26. предоставления субъекту персональных данных информации о деятельности Университета, предоставляемых им услугах;

2.1.27. обеспечение информирования и возможности участия субъектов персональных данных в проводимых Университетом олимпиадах, конкурсах, интеллектуальных соревнованиях, профориентационных, познавательных, образовательных, научных, культурно-массовых и спортивных мероприятиях, выполняемых исследованиях, реализуемых проектах и их результатах;

2.1.28. обеспечение открытости и доступности информации об учебных, академических, научных, спортивных и иных успехах и достижениях обучающихся Университета;

2.1.29. идентификация личности субъекта персональных данных;

2.1.30. иные цели, предусмотренные федеральными законами и иными нормативными правовыми актами Российской Федерации.

3. Правовые основания обработки персональных данных

3.1. Правовыми основаниями обработки персональных данных в Университете являются:
- Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ, иные нормативные правовые акты, содержащие нормы трудового права;
- Бюджетный кодекс Российской Федерации от 31 июля 1998 г. № 145-ФЗ;
- Налоговый кодекс Российской Федерации (часть первая от 31.07.1998 № 146-ФЗ, часть вторая от 05 августа 2000 № 117-ФЗ);
- Гражданский кодекс Российской Федерации (часть первая от 30 ноября 1994 г. № 51-ФЗ, часть вторая от 26 января 1996 г. № 14-ФЗ, часть третья от 26 ноября 2001 г. №146-ФЗ, часть четвертая от 18 декабря 2006 г. № 230-ФЗ);
- Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»;
- Федеральный закон от 23 августа 1996 г. № 127-ФЗ «О науке и государственной научно-технической политике»;
- Федеральный закон от 24 июля 1998 г. № 124-ФЗ «Об основных гарантиях прав ребенка в Российской Федерации»;
- Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 28 марта 1998 г. № 53-ФЗ «О воинской обязанности и военной службе»;
- Федеральный закон от 24 ноября 1995 г. № 181-ФЗ «О социальной защите инвалидов в Российской Федерации»;
- Закон РФ от 07 февраля 1992 г. № 2300-1 «О защите прав потребителей»;
- Постановление Правительства РФ от 17 июля 1995 г. № 713 «Об утверждении Правил регистрации и снятия граждан Российской Федерации с регистрационного учета по месту пребывания и по месту жительства в пределах Российской Федерации и перечня лиц, ответственных за прием и передачу в органы регистрационного учета документов для регистрации и снятия с регистрационного учета граждан Российской Федерации по месту пребывания и по месту жительства в пределах Российской Федерации»;
- иные нормативные правовые акты Российской Федерации.

3.2. Обработка персональных данных в Университете осуществляется на основании договоров с физическими лицами, согласий на обработку персональных данных заявлений обучающихся, доверенностей, согласий родителей (законных представителей) несовершеннолетних обучающихся, работников Университета, требований законодательства Российской Федерации.

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

4.1. Университет обрабатывает персональные данные:
- работников, в том числе бывших;
- кандидатов на замещение вакантных должностей;
- родственников работников, в том числе бывших;
- обучающихся;
- родителей (законных представителей) обучающихся;
- участников образовательных, спортивных, культурных и иных мероприятий, проводимых Университетом;
- участников олимпиад, конкурсов, иных состязаний интеллектуальной направленности, проводимых Университетом;
- участников проектов, реализуемых Университетом, в том числе, научно-исследовательских;
- физических лиц по гражданско-правовым договорам;
- работников контрагентов;
- физических лиц, указанных в заявлениях (согласиях, доверенностях) обучающихся и родителей (законных представителей) несовершеннолетних учащихся;
- физических лиц – посетителей Университета;
- пользователей официального сайта Университет «Сириус» (siriusuniversity.ru).

4.2. Специальные категории персональных данных Университет обрабатывает только на основании и согласно требованиям законодательства Российской Федерации при наличии согласий субъектов персональных данных на обработку специальных категорий персональных данных.

4.3. Биометрические персональные данные Университет обрабатывает при наличии согласий субъектов персональных данных на обработку биометрических персональных данных в письменной форме.

4.4. Персональные данные, разрешенные субъектом персональных данных для распространения, Университет обрабатывает на основании отдельно оформленного согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

4.5. Университет обрабатывает персональные данные, содержащиеся в информации, автоматически получаемой при доступе к официальному сайту Университета с использованием cookies, представляющая собой фрагменты текста, который автоматически сохраняется в память интернет-браузера пользователя с помощью интернет-сайтов Университета, а также информация, полученная в результате действий субъектов на интернет-сайтах Университета, в том числе о направлении комментариев, запросов, отзывов и вопросов.

4.6. Содержание и объем обрабатываемых персональных данных в Университете соответствуют заявленным целям обработки.

5. Порядок и условия обработки персональных данных

5.1. Обработка персональных данных осуществляется Университетом на основе следующих принципов:
- законности целей и способов обработки персональных данных;
- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
- соответствия объема и характера обрабатываемых персональных данных, способов их обработки целям обработки персональных данных;
- точности и актуальности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные.

5.2. Университет осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

5.3. Университет получает персональные данные от субъекта персональных данных, а в случаях, когда субъект персональных данных несовершеннолетний, – от его родителей (законных представителей) либо, если субъект персональных данных достиг возраста 14 лет, с их согласия. В случае, когда субъект персональных данных – физическое лицо, указанное в заявлениях (согласиях, доверенностях) учащихся и родителей (законных представителей) несовершеннолетних учащихся, Университет вправе получить персональные данные такого физического лица от учащихся, их родителей (законных представителей).

5.4. Университет обрабатывает персональные данные при соблюдении следующих условий:
- субъект персональных данных дал согласие на обработку своих персональных данных;
- обработка персональных данных необходима для выполнения Университетом возложенных на него законодательством и учредителем функций, полномочий и обязанностей, в соответствии с уставными целями деятельности;
- обработка персональных данных необходима для исполнения заключенных с субъектом персональных данных договоров;
- субъект персональных данных предоставил согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

5.5. Университет обрабатывает персональные данные без использования средств автоматизации и с использованием средств автоматизации. При осуществлении обработки персональных данных без использования средств автоматизации Университет руководствуется требованиями постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Университет осуществляет автоматизированную обработку персональных данных с использованием вычислительных ресурсов, находящихся на территории Российской Федерации.

5.6. Университет не осуществляет трансграничную передачу персональных данных.

5.7. На основании заключенного договора Университет вправе поручать обработку персональных данных другому оператору с согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством, в том числе: Образовательный Фонд «Талант и успех», ООО «Сириус.Информационные системы», АО «УК ИНТЦ «Сириус»», ОАНО «Лицей «Сириус», ООО «Цифровой оператор Сириус».

5.8. Университет обрабатывает персональные данные в сроки:
- необходимые для достижения целей обработки персональных данных;
- определенные законодательством для обработки отдельных видов персональных данных;
- указанные в согласии субъекта персональных данных.

5.9. Университет хранит персональные данные в течение срока, необходимого для достижения целей их обработки, а документы, содержащие персональные данные, – в течение срока хранения документов, предусмотренного номенклатурой дел, с учетом архивных сроков хранения.

5.10. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях, доступ к которым ограничен. Персональные данные, обрабатываемые с использованием средств автоматизации, хранятся в порядке и на условиях, которые определяет политика безопасности данных средств автоматизации.

5.11. При автоматизированной обработке персональных данных не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) информационных систем.

5.12. Университет прекращает обработку персональных данных в следующих случаях:
- достигнуты цели обработки персональных данных;
- истек срок действия согласия на обработку персональных данных;
- отозвано согласие на обработку персональных данных;
- обработка персональных данных неправомерна;
- в случае прекращения деятельности Университета.

5.13. Университет обеспечивает конфиденциальность персональных данных.

5.14. Университет передает персональные данные третьим лицам в следующих случаях:
- субъект персональных данных дал согласие на передачу своих данных;
- передать данные необходимо в соответствии с требованиями законодательства в рамках установленной процедуры.
- субъект персональных данных дал согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, установленном Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

5.15. Университет принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных, в том числе:
- принимает локальные нормативные акты, регламентирующие обработку персональных данных, требует их соблюдения;
- назначает ответственного за организацию обработки персональных данных;
- определяет список лиц, допущенных к обработке персональных данных;
- знакомит работников, непосредственно осуществляющих обработку персональных данных, с требованиями законодательства Российской Федерации о персональных данных, локальными нормативными актами по вопросам обработки персональных данных, лучшими практиками обработки и защиты персональных данных;
- получает в предусмотренных законодательством Российской Федерации случаях согласия субъектов персональных данных на обработку их персональных данных;
- организует учет информационных ресурсов и документов, содержащих персональные данные;
- определяет угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
- применяет организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
- осуществляет внутренний контроль за принимаемыми мерами по обеспечению безопасности персональных данных.

6. Актуализация, исправление, удаление и уничтожение персональных данных

6.1. В случае предоставления субъектом персональных данных или его законным представителем фактов о неполных, устаревших, недостоверных или незаконно полученных персональных данных Университет актуализирует, исправляет, блокирует, удаляет или уничтожает их и уведомляет о своих действиях субъекта персональных данных.

6.2. В случае выявления факта неточности персональных данных Университет осуществляет блокирование персональных данных и обеспечивает уточнение персональных данных в течение 7 (семи) рабочих дней со дня предоставления таких сведений.

6.3. В случае установления факта неправомерной обработки персональных данных Университет в срок, не превышающий 3 рабочих дней с даты такого выявления, устраняет допущенные нарушения или, в случае, если обеспечить правомерность обработки персональных данных невозможно, уничтожает такие персональные данные в срок, не превышающий 10 (десять) рабочих дней с даты выявления неправомерной обработки персональных данных, уведомляя об этом субъекта персональных данных или его законного представителя.

6.4. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на обработку персональных данных персональные данные подлежат уничтожению, если иное не предусмотрено договором, стороной, получателем (выгодоприобретателем) по которому является субъект персональных данных.

7. Права субъекта персональных данных

7.1. Субъекты персональных данных имеют право:

7.1.1. на предоставление согласия на обработку своих персональных данных;

7.1.2. на отзыв согласия на обработку своих персональных данных и распространение своих персональных данных;

7.1.3. на получение доступа к информации, касающейся обработки их персональных данных (за исключением случаев, предусмотренных законодательством Российской Федерации);

7.1.4. требовать от Университета уточнить персональные данные, блокировать их или уничтожить, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

7.1.5. на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;

7.1.6. на осуществление иных прав, предусмотренных законодательством Российской Федерации.

8. Обработка запросов субъектов персональных данных

8.1. По запросу субъекта персональных данных или его законного представителя Университет сообщает ему информацию об обработке его персональных данных.

8.2. Сведения, касающиеся обработки персональных данных, предоставляются субъекту персональных данных или его законному представителю на основании запроса или обращения в адрес Университета на официальную почту по адресу: pdn@talantiuspeh.ru.

8.3. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

8.4. Запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Университетом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Университетом;
- подпись субъекта персональных данных или его законного представителя.

8.5. Запрос регистрируется в течение 3 (трех) рабочих дней со дня его поступления.

8.6. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями законодательства о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

8.7. Сведения по запросу либо отказ в предоставлении сведений направляются субъекту персональных данных или его представителю в срок, не превышающий 30 (тридцати) календарных дней с даты получения запроса.

8.8. Сведения предоставляются субъекту персональных данных в доступной форме, исключая предоставление персональных данных, относящихся к другим субъектам персональных данных, за исключением наличия законных оснований для раскрытия таких персональных данных.