ПОЛИТИКА
в отношении обработки персональных данных в Федеральном государственном бюджетном образовательном учреждении высшего образования "Национальный исследовательский университет "МЭИ"
1.ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Автоматизированное рабочее место (АРМ) — программно-технический комплекс автоматизированной системы, предназначенный для автоматизации деятельности определенного вида.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Инцидент информационной безопасности – событие, в результате наступления которого произошло разглашение конфиденциальной информации, нарушение работоспособности ИСПД, внесение несанкционированных изменений, утечка или разглашение персональных данных клиентов и прочих событий, ведущих к нарушению прав и свобод граждан РФ.
Информационная система персональных данных (ИСПД) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных или наличия иного законного основания.
Неавтоматизированная обработка (обработка персональных данных без использования средств автоматизации) - действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляемые при непосредственном участии человека.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные (ПД) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе 4 персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2. ОБЩИЕ ПОЛОЖЕНИЯ

2.1 Настоящая Политика в отношении обработки персональных данных в (далее - Политика) ФГБОУ ВО "НИУ "МЭИ" (далее – Оператор) является официальным документом, в котором определены общие принципы, условия и цели обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных.
2.2 ФГБОУ ВО «НИУ «МЭИ» является оператором персональных данных и зарегистрирован в реестре операторов, осуществляющих обработку персональных данных под номером 10-0095973 дата и основание внесения оператора в реестр: приказ от 05.04.2010 г. №211, дата регистрации уведомления: 16.03.2010 г.) и обладает всеми правами, определенными оператору Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
2.3 Настоящая политика распространяется на всех субъектов персональных данных, которыми в рамках данного документа являются абитуриенты, обучающиеся, сотрудники ФГБОУ ВО «НИУ «МЭИ», включая сотрудников, работающих по договору подряда, а также сотрудники сторонних организаций, взаимодействующих с ФГБОУ ВО «НИУ «МЭИ» на основании соответствующих нормативных, правовых и организационно-распорядительных документов и (или) участвующие в выполнении работ (оказании услуг), включенных в государственное задание ФГБОУ ВО «НИУ «МЭИ».
2.4 Настоящая политика вступает в силу с момента ее утверждения и действует бессрочно, до замены ее новой политикой.

3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1 Под персональными данными субъекта понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
3.2 Обработка персональных данных должна осуществляться на законной и справедливой основе.
3.3 Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3.4 Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
3.5 Обработке подлежат только персональные данные, которые отвечают целям их обработки.
3.6 Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
3.7 При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
3.8 Хранение персональных данных должно осуществляться в форме, позволяющей определить субъект персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по 5 которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1 Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ "О персональных данных". Обработка персональных данных допускается в следующих случаях:
1) Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
2) Обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
3) Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
4) Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
5) Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.
6) Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
7) Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
8) Обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средств массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.
4.2 Обработка Оператором специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается в случаях, если:
-субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
-персональные данные сделаны общедоступными субъектом персональных данных;
-обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
-обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, и в связи с осуществлением правосудия;
-обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о противодействии терроризму, о противодействии 6 коррупции, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;
-обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась их обработка, если иное не установлено федеральным законом.
4.3 Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность - биометрические персональные данные - могут обрабатываться Оператором только при наличии согласия в письменной форме субъекта персональных данных.
4.4 Обработка персональных данных о судимости может осуществляться Оператором исключительно в случаях и в порядке, которые определяются в соответствии с федеральными законами.
4.5 Трансграничная передача персональных данных на территории иностранных государств может осуществляться Оператором только при наличии согласия субъекта персональных данных на трансграничную передачу его персональных данных.
4.6 До начала осуществления трансграничной передачи персональных данных Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.
4.7 В целях информационного обеспечения могут создаваться общедоступные источники персональных данных работников, в том числе справочники и адресные книги. В общедоступные источники персональных данных с письменного согласия работника могут включаться его фамилия, имя, отчество, должность, номера контактных телефонов, адрес электронной почты.
4.8 Сведения о работнике должны быть в любое время исключены из общедоступных источников персональных данных по требованию работника, либо по решению суда или иных уполномоченных государственных органов.
4.9 Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом.
4.10 Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
4.11 В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

5. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1 Оператор обрабатывает персональные данные исключительно в следующих целях:
-исполнение требований трудового законодательства РФ;
-исполнение требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога;
-исполнение требований пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение;
-исполнение работ (оказание услуг), включенных в государственное задание ФГБОУ ВО «НИУ «МЭИ»;
-автоматизация процессов получения, переработки, хранения служебной информации;
-исполнение государственной функции по присуждению ученых степеней, присвоению ученых званий, а также лишению (восстановлению) ученых степеней и ученых званий;
-исполнение государственной функции по выдаче разрешений на создание советов по защите диссертаций на соискание ученой степени кандидата наук, на соискание ученой степени доктора наук, установление и изменение состава этих советов, установление полномочий советов, приостановление, возобновление и прекращение деятельности таких советов;
-осуществление мониторинга деятельности диссертационных советов;
-создание и изменение, в т. ч. частичное, состава высшей аттестационной комиссии;
-общественное участие в системе государственной научной аттестации.

6. МЕРЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1 Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых и достаточных для обеспечения требований федерального законодательства в области защиты персональных данных.
6.2 Оператор предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.
6.3 Оператор предпринимает следующие организационно-технические меры:
-назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
-ограничение и регламентация состава работников, имеющих доступ к персональным данным;
-ознакомление работников с требованиями федерального законодательства и нормативных документов ФГБОУ ВО «НИУ «МЭИ» по обработке и защите персональных данных;
-обеспечение учёта и хранения материальных носителей информации и их обращения, исключающего хищение, подмену, несанкционированное копирование и уничтожение;
-определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
-разработка на основе модели угроз системы защиты персональных данных для соответствующего класса информационных систем;
-проверка готовности и эффективности использования средств защиты информации;
-реализация разрешительной системы доступа пользователей к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации;
-регистрация и учёт действий пользователей информационных систем персональных данных;
-парольная защита доступа пользователей к информационной системе персональных данных;
-применение средств контроля доступа к коммуникационным портам, устройствам ввода-вывода информации, съёмным машинным носителям и внешним накопителям информации;
-применение в необходимых случаях средств криптографической защиты информации для обеспечения безопасности персональных данных при передаче по открытым каналам связи и хранении на машинных носителях информации;
-осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ (программ-вирусов) и программных закладок;
-применение в необходимых случаях средств межсетевого экранирования;
-применение в необходимых случаях средств обнаружения вторжений в корпоративную сеть, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
-централизованное управление системой защиты персональных данных.
-резервное копирование информации;
-обучение работников, использующих средства защиты информации, применяемые в информационных системах персональных данных, правилам работы с ними;
-учёт применяемых средств защиты информации, эксплуатационной и технической документации к ним;
-использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
-проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных;
-размещение технических средств обработки персональных данных, в пределах контролируемой зоны;
-организация пропускного режима;
-поддержание технических средств охраны, сигнализации помещений в состоянии постоянной готовности.

7. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

7.1 Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных.
7.2 Иные права и обязанности оператора персональных данных, определяются законодательством Российской Федерации в области персональных данных.
7.3 Должностные лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.