10 Порядок обработки персональных данных
10.1 Обработка ПДн в Академии производится в соответствии с требованиями законодательства Российской Федерации и ЛНА Академии работниками структурных подразделений Академии и организациями, осуществляющими такую обработку, на основании договоров на оказание соответствующих услуг Академии.
10.2 Обработка ПДн в Академии включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
10.3 Обработка ПДн субъектов персональных данных осуществляется как на бумажных носителях, так и с использованием средств автоматизации (с помощью средств вычислительной техники) путем:
− получения оригиналов необходимых документов;
− копирования оригиналов документов;
− внесения сведений в учетные формы на бумажных и электронных
носителях;
− формирования ПДн в ходе кадровой работы;
− внесения ПДн в информационные системы.
10.4 Сбор, запись, систематизация, накопление (обновление, изменение) ПДн осуществляется путем получения ПДн непосредственно от субъектов персональных данных, и с согласия субъекта персональных данных на обработку его ПДн, если иное не предусмотрено ФЗ-152.
10.5 Обработка ПДн, разрешенных субъектом персональных данных для распространения, осуществляется в Академии на основании согласия субъекта персональных данных на распространение с соблюдением установленных субъектом персональных данных запретов и условий на обработку ПДн.
10.6 Академия осуществляет обработку ПДн без согласия субъекта персональных данных на обработку его ПДн:
− для достижения целей, предусмотренных законом РФ;
− для осуществления и выполнения обязанностей, возложенных законодательством РФ на Академию, как на Оператора персональных данных;
− для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ;
− для осуществления прав и законных интересов Академии или третьих лиц с соблюдением условий, при которых не нарушаются права и свободы субъекта персональных данных;
− в случае, если обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
− в случае, если обработка ПДн необходима для научной, творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
− в случае, если обработка ПДн осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПДн;
− обрабатываемые ПДн подлежат опубликованию или обязательному раскрытию в соответствии с ФЗ-152.
10.7 В целях внутреннего информационного обеспечения Академия может создавать справочники, адресные книги, информационные системы и другие источники, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено ФЗ-152, могут включаться его ПДн.
10.8 В Академии используются следующие информационные системы, обрабатывающие ПДн субъектов персональных данных: корпоративная электронная почта, система электронного документооборота; система нормативно-справочной информации, система управления закупочной деятельностью, система управления персоналом, система организации обучения, система управления карьерой и преемственностью, корпоративные сайты и информационные порталы.
10.9 Пользователь ИСПДн может самостоятельно, своими действиями, по своему усмотрению, раскрывать неопределенному кругу лиц (публиковать в информационных системах) информацию, которая может включать ПДн, в том числе: фамилия, имя, отчество, пол, дата рождения, город местонахождения, место работы, должность, сведения об образовании, профессиональном опыте, трудоустройстве, ссылки на профили в социальных сетях, дополнительную контактную информацию (электронную почту, мессенджеры), другую информацию о себе в свободной форме. Добавленная пользователем в профиль информация становится доступной неограниченному кругу лиц, с учетом настроек отображения информации профиля в ИСПДн.
10.10 Ввод в эксплуатацию новых ИСПДн производится только после выполнения процедур оценки эффективности принимаемых мер по обеспечению безопасности обрабатываемых в них ПДн.
10.11 Доступ к ПДн имеют работники Академии, которым это необходимо для исполнения должностных обязанностей и с соблюдением принципов персональной ответственности. Перечень лиц, имеющих доступ к ПДн, утверждается приказом.
10.12 При передаче ПДн субъекта персональных данных, работники Академии, осуществляющие обработку ПДн, должны соблюдать следующие требования:
− не сообщать ПДн субъекта персональных данных третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных ФЗ-152;
− не сообщать ПДн субъекта персональных данных в коммерческих целях без его письменного согласия;
− не отвечать на вопросы, связанные с передачей персональной информации по телефону, факсу, электронной почте;
− предупредить лиц, получающих ПДн субъекта персональных данных о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что правило соблюдено. Лица, получающие ПДн субъекта персональных данных, обязаны соблюдать режим конфиденциальности;
− разрешать доступ к ПДн субъекта персональных данных только лицам, определенным приказом Академии, при этом указанные лица должны иметь право получать только те ПДн, которые необходимы для выполнения конкретных функций;
− не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключение тех сведений, которые относятся к вопросу о возможности выполнения работников трудовой функции;
− передавать ПДн субъекта персональных данных представителям субъекта персональных данных в порядке, установленном Трудовым кодексом Российской Федерации, и ограничить эту информацию только теми ПДн субъекта персональных данных, которые необходимы для выполнения указанными представителями их функций.
10.13 Обработка ПДн субъектов персональных данных, находящихся на территории государств – членов Европейского союза, осуществляется в порядке, определенном положениями Регламента ЕС (GDPR), в случаях, когда к деятельности Академии по обработке ПДн применяются критерии территориального действия Регламента ЕС (GDPR).
10.14 Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться:
− при наличии согласия в письменной форме субъекта персональных данных на трансграничную передачу его ПДн;
− в случаях, предусмотренных международными договорами Российской Федерации;
− в случаях, предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
− в случае исполнения договора, стороной которого является субъект персональных данных;
− в случае защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
10.15 Академия осуществляет необходимые мероприятия для поддержания точности, достаточности, а в необходимых случаях актуальности по отношению к целям обработки обрабатываемых ПДн.
10.16 Академия производит обработку ПДн не дольше, чем этого требуют цели обработки ПДн.
10.17 В Академии организовано хранение ПДн в течение времени, установленного требованиями.
10.18 При достижении целей обработки, в случае утраты необходимости в достижении этих целей, по окончанию сроков хранения ПДн, обрабатываемые данные подлежат уничтожению.