Федеральный закон о персональных данных. Служба по контролю и надзору в сфере образования Ханты-Мансийского автономного округа – Югры Персональные данные государственного 152 фз

Содержание
  1. Федеральному закону 152 рф о персональных данных. Служба по контролю и надзору в сфере образования Ханты-Мансийского автономного округа – Югры
  2. Нормативная база
  3. Гис или не гис
  4. Актуальные угрозы ИБ
  5. Уровень защищенности ИСПДн
  6. Класс ГИС
  7. Базовый набор мер
  8. Адаптированный набор мер
  9. Дополненный набор мер
  10. Система защиты информации
  11. Аттестация
  12. Что в итоге
  13. А что потом?
  14. Статья 7 152 фз. Служба по контролю и надзору в сфере образования Ханты-Мансийского автономного округа – Югры. Федеральный законо персональных данных
  15. Статья 4. Законодательство Российской Федерации в области персональных данных
  16. Статья 5. Принципы обработки персональных данных (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
  17. Статья 6. Условия обработки персональных данных (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
  18. Официальный портал Сургутского политехнического колледжа – защита персональных данных
  19.  
  20. 1. Общие положения
  21. 2.              Основные термины и определения
  22. 3.              Правовые основания обработки персональных данных
  23. 4. Основные категории, цели и принципы обработки персональных данных
  24. 5.        Порядок, условия и сроки обработки персональных данных

Федеральному закону 152 рф о персональных данных. Служба по контролю и надзору в сфере образования Ханты-Мансийского автономного округа – Югры

Федеральный закон о персональных данных. Служба по контролю и надзору в сфере образования Ханты-Мансийского автономного округа – Югры Персональные данные государственного 152 фз

Отношение Операторов персональных данных к требованиям законодательства разнообразно. Кто-то предпочитает ничего не делать, не подавать уведомление об обработке ПДн в Роскомнадзор и надеяться, что вопросы контроля обработки ПДн его не коснутся.

Кто-то отдает вопросы защиты информации полностью на откуп сторонним организациям. Кто-то находит шаблонные комплекты организационно-распорядительных документов в общедоступных источниках, корректирует их, распечатывает и на этом останавливается.

Каждый из этих подходов имеет свои недостатки.

Бездействие Оператора не спасает его от плановых или внеплановых (например, организованных по жалобе субъекта ПДн) проверок контролирующих органов. На фоне новостей о постоянно растущих штрафах за нарушения требований обработки ПДн такой подход выглядит малопривлекательным.

При полной передаче вопросов защиты информации на аутсорсинг появляется риск значительно переплатить. Это часто выливается в покупку дорогостоящих средств защиты информации с избыточной и не всегда востребованной функциональностью.

Кроме того, созданная и внедренная система защиты без поддержки пользователей и администраторов Оператора в какой-то момент перестает быть актуальной.

Ведь система защиты — это не только реализация технических мер и средств, а еще и организационные мероприятия, направленные на выработку сотрудниками Оператора норм и правил корректного отношения к защищаемой информации.

Шаблонные комплекты из сети позволяют создать лишь видимость защиты информации, при этом информационные системы фактически остаются уязвимы и подвержены угрозам.

Мы предлагаем синтетическую концепцию, когда уполномоченное лицо Оператора самостоятельно проходит определенные шаги построения системы защиты. А на этапе технической реализации системы защиты возможно привлечение специализированных организаций.

Такой подход позволяет уполномоченным лицам Оператора лучше понять существующие процессы обработки информации, включить в работу всех заинтересованных лиц и в результате получить эффективную систему защиты информации. Рассмотрим подход подробнее.

Нормативная база

Каждый оператор, приступая к работе, задается вопросом — с чего начать? Определимся с нормативной базой, на которую будем опираться.

  1. Приказ Федеральной службы безопасности Российской Федерации от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

Разберем порядок действий на отдельно взятой информационной системе.

Гис или не гис

Сначала необходимо понять, относится ли рассматриваемая система к государственным информационным системам (ГИС) или нет. От этого будет зависеть подход к защите. Как определить, ГИС перед нами или нет, описано в отдельной .

Актуальные угрозы ИБ

Необходимо определить, какие угрозы ИБ актуальны для рассматриваемой информационной системы. Определение актуальных угроз производится в соответствии с «Методикой определения актуальных угроз безопасности персональных данных». В общем случае алгоритм выглядит так:

  1. По совокупности ответов на ряд первичных вопросов делается вывод об исходной защищенности информационной системы.
  2. Формируется перечень рассматриваемых угроз на основании «Базовой модели угроз безопасности персональных данных» и Банка данных угроз безопасности информации (см. выше). Для каждой угрозы экспертным путем определяется вероятность реализации.
  3. На основании вероятности реализации и уровня исходной защищенности определяется коэффициент реализуемости для каждой угрозы.
  4. Для каждой угрозы экспертным путем определяется показатель опасности для ИС и Оператора.
  5. На основании показателей реализуемости и опасности делается вывод об актуальности для каждой угрозы. Формируется перечень актуальных угроз.

Уровень защищенности ИСПДн

Необходимо определить, к какому типу относятся актуальные угрозы. Существуют три типа угроз:

  • связанные с наличием недекларированных возможностей в системном программном обеспечении;
  • связанные с наличием недекларированных возможностей в прикладном программном обеспечении;
  • не связанные с наличием недекларированных возможностей в системном и прикладном программном обеспечении.

Рассматриваем каждую угрозу в отдельности. Определяем, к какому максимальному типу они относятся.

Следующим шагом необходимо определить категорию обрабатываемых данных. Существуют следующие категории персональных данных:

  • специальные;
  • биометрические;
  • общедоступные;
  • иные.

В одной ИС могут обрабатываться несколько категорий персональных данных. Подробное определение категорий дано в № 152-ФЗ.

Необходимо определить объем обрабатываемых ПДн. Здесь возможны 3 вариации:

  • до 100 тысяч;
  • более 100 тысяч;
  • ПДн сотрудников Оператора (без привязки по объему).

На основании типа угроз, категории ПДн и объема ПДн делается вывод об уровне защищенности системы в соответствии с постановлением Правительства № 1119.

Для Определения УЗ можно воспользоваться специальной таблицей:

Класс ГИС

Если рассматриваемая система относится к ГИС, необходимо определить ее класс в соответствии с приказом ФСТЭК № 17 от 11.02.2013.

Для этого определяются дополнительные к предыдущему разделу показатели:

  1. Масштаб ГИС. Может быть федеральным, региональным и объектовым. Критерии определения зафиксированы в приказе ФСТЭК №17.
  2. Уровень значимости информации — определяется степенью возможного ущерба Оператора от нарушения конфиденциальности, целостности или доступности информации. Имеет три значения по убыванию значимости — УЗ1, УЗ2, УЗ3. Определяется экспертным путем. Критерии определения зафиксированы в приказе ФСТЭК № 17.

На основании уровня значимости и масштаба ИС делается вывод о классе ГИС.

Базовый набор мер

После определения уровня защищенности и класса (для ГИС) нужно перейти к формированию общего перечня требований и мер, которые необходимо обеспечить в ИС.

Для ИСПДн требования формируются в соответствии с определенным уровнем защищенности на основании № 152-ФЗ, постановления Правительства № 1119, приказа ФСБ РФ № 378 и приказа ФСТЭК № 21.

Для ГИС, помимо требований, необходимых для ИСПДн, дополнительно добавляются требования приказа ФСТЭК № 17.

В результате должен быть сформирован общий перечень требований и мер, которые необходимо обеспечить в ИС. Назовем его базовый набор мер.

Адаптированный набор мер

Следующим шагом является анализ полученного базового набора мер и его актуализация. То есть удаление из него всех мер, несвойственных рассматриваемой информационной системе. Например, удаляем меру «Защита беспроводных сетей», если беспроводные технологии в ИС не применяются. В итоге получаем адаптированный базовый набор мер.

Дополненный набор мер

Исследуем адаптированный базовый набор мер и соотносим его с перечнем актуальных угроз ИБ. В случае если ни одна мера не закрывает отдельную актуальную угрозу, дополняем набор дополнительными мерами. В результате все актуальные угрозы должны быть закрыты мерами ИБ из набора мер. На выходе получаем дополненный адаптированный базовый набор мер.

Система защиты информации

В соответствии с полученным набором мер осуществляется выбор технических средств защиты или организационных мероприятий, направленных на выполнение мер. Происходит формирование проекта системы защиты информации.

Для ИСПДн сертифицированные средства защиты информации применяются для закрытия актуальных угроз ИБ.

Для ГИС применяются только сертифицированные средства защиты информации.

Реализуется внедрение системы защиты по созданному проекту. Внедряются организационные меры и технические средства защиты. Разрабатываются политики, положения, инструкции, которые внедряются в процессы обработки информации.

Устанавливаются, настраиваются и вводятся в эксплуатацию средства защиты информации. На этом этапе привлекаются специализированные организации, оказывающие соответствующие услуги.

При самостоятельном внедрении ознакомьтесь с типичными ошибками при построении СЗПДН .

Аттестация

После введения системы защиты в эксплуатацию проводится оценка соответствия принятых мер требованиям законодательства.

Для ИСПДн оценка соответствия в форме аттестации не обязательна. Достаточным является проведение испытаний на соответствие требованиям безопасности с выдачей заключения. Испытания могут быть проведены оператором как самостоятельно, так и с привлечением специализированных организаций.

Для ГИС оценка соответствия в форме аттестации является обязательной процедурой. Для аттестации по требованиям безопасности информации необходимо привлечение специализированной организации, уполномоченной на данную деятельность.

Что в итоге

В результате данного подхода получаем систему защиты информации. Как видим, привлечение специализированных организаций происходит только на заключительных этапах. Данный подход позволяет сэкономить организациям значительные средства, так как основную часть работ они выполняют самостоятельно.

Кроме того, последовательно выполняя шаги, уполномоченные лица Операторов напрямую участвуют в работе по защите ИС, что должно положительно сказаться на эффективности полученной системы защиты информации.

А что потом?

Система защиты информации внедрена и принята в эксплуатацию. Можно ли успокоиться и забыть о ней? Конечно нет. Мир информационных систем и технологий очень изменчив. Технологии развиваются и совершенствуются, изменяются информационные системы.

Возможно, через какое-то время угрозы ИБ, которые не были актуальны при проектировании системы защиты, станут актуальны.

Для поддержания системы защиты информации в рабочем состоянии рекомендуем проводить аудит информационной безопасности не реже одного раза в год, привлекая для этого специалистов — либо собственными силами.

Удачи на пути создания собственной эффективной системы защиты информации.

Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»

РОССИЙСКАЯ ФЕДЕРАЦИЯФЕДЕРАЛЬНЫЙ ЗАКОН

О ПЕРСОНАЛЬНЫХ ДАННЫХ

Источник: https://lgotnk.ru/federalnomu-zakonu-152-rf-o-personalnyh-dannyh-sluzhba-po-kontrolyu-i.html

Статья 7 152 фз. Служба по контролю и надзору в сфере образования Ханты-Мансийского автономного округа – Югры. Федеральный законо персональных данных

Федеральный закон о персональных данных. Служба по контролю и надзору в сфере образования Ханты-Мансийского автономного округа – Югры Персональные данные государственного 152 фз

В целях настоящего Федерального закона используются следующие основные понятия:

1) персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2) оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

3) обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

4) автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

5) распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

6) предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

7) блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

8) уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

9) обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

10) информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

11) трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Статья 4. Законодательство Российской Федерации в области персональных данных

1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.

2. На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее – нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных.

Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию. (в ред. Федерального закона от 25.

07.2011 N 261-ФЗ)

3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.

4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.

Статья 5. Принципы обработки персональных данных (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

5. и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

7.

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Статья 6. Условия обработки персональных данных (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

Источник: https://meteoplan.ru/personal-account/statya-7-152-fz-sluzhba-po-kontrolyu-i-nadzoru-v-sfere-obrazovaniya/

Официальный портал Сургутского политехнического колледжа – защита персональных данных

Федеральный закон о персональных данных. Служба по контролю и надзору в сфере образования Ханты-Мансийского автономного округа – Югры Персональные данные государственного 152 фз

Защити свои персональные данные

 

Введена в действие приказом от 08.06.2015 №01-09-01/163/7

1. Общие положения

1.1.               Настоящий документ определяет политику автономного учреждения профессионального образования Ханты-Мансийского автономного округа – Югры «Сургутский политехнический колледж» в отношении обработки персональных данных и требований к защите персональных данных (далее по тексту – Политика).

1.2.               Настоящая политика разработана и утверждена в соответствии с требованиями статьи 18.1 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных» и действует в отношении всех персональных данных, обрабатываемых в автономном учреждении профессионального образования Ханты-Мансийского автономного округа – Югры «Сургутский политехнический колледж» (далее – Колледж).

1.3.               Настоящая Политика определяет цели, принципы, порядок и условия обработки  персональных данных работников, обучающихся и иных лиц, чьи персональные данные обрабатываются Колледжем, а также включает перечень мер, применяемых в целях обеспечения безопасности персональных данных при их обработке.

1.4.               Основной целью настоящей Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в автономном учреждении профессионального образования Ханты-Мансийского автономного округа – Югры «Сургутский политехнический колледж», а также интересов Колледжа.

1.5.               Настоящая Политика является общедоступным документом, декларирующим основы деятельности Колледжа, и подлежит размещению на официальном сайте Колледжа.

1.6.               Настоящая политика обязательна для соблюдения всеми работниками Колледжа, исполнителями договоров гражданско-правового характера.

Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессе обработки персональных данных Колледжем, а также в случаях передачи им в установленном порядке персональных данных на основании соглашений, договоров, поручений на обработку.

1.7.               Настоящая Политика вступает в силу с момента ее утверждения и действует бессрочно или до замены ее новой политикой.

1.8.               Персональные данные являются конфиденциальной, охраняемой информацией и на них распространяются все требования к защите конфиденциальной информации, установленные внутренними документами Колледжа.

2.              Основные термины и определения

2.1.               Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

2.2.               Биометрические персональные данные – сведения,  которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются для установления личности.

2.3.

               Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

2.4.               Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

2.5.               Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.6.               Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.7.               Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.8.               Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

2.9.               Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.10.            Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

3.              Правовые основания обработки персональных данных

3.1.               Правовыми основами настоящей Политики являются:

–         Конституция Российской Федерации;

–         Гражданский кодекс Российской Федерации;

–         Трудовой кодекс Российской Федерации;

–         Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»;

–         Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

–         Федеральный закон от 29 декабря 2012 года № 273-ФЗ «Об образовании в Российской Федерации»;

–         Постановления Правительства РФ в сфере обработки и защиты персональных данных;

–         нормативные акты уполномоченных органов (регуляторов) в области обработки персональных данных.

3.2.               Во исполнение настоящей Политики в Колледже разрабатываются и утверждаются локальные акты, регламентирующие порядок организации обработки и обеспечения безопасности персональных данных.

4. Основные категории, цели и принципы обработки персональных данных

4.1.               Колледж обрабатывает персональные данные следующих категорий субъектов персональных данных:

–         персональные данные работников Колледжа, их родственников (дети, супруги), соискателей на замещение вакантных должностей, уволенных работников;

–         персональные данные обучающихся в Колледже, абитуриентов, выпускников Колледжа, а также их законных представителей;

–         персональные данные контрагента (потенциального контрагента), а также персональные данные руководителя или сотрудника юридического лица, являющегося контрагентом (потенциальным контрагентом) Колледжа.

4.2.               и объем обрабатываемых категорий персональных данных субъектов персональных данных, перечисленных в разделе 4.1. настоящей Политики, определяются в соответствии с целями обработки персональных данных.

Автономное учреждение профессионального образования Ханты-Мансийского автономного округа – Югры «Сургутский политехнический колледж» не обрабатывает персональные данные, которые являются избыточными по отношению к нижеперечисленным целям обработки или несовместимы с такими целями.

4.3.   Целями обработки персональных данных являются:

–                    организация кадрового учета, ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучении и продвижении по службе, исполнение налогового законодательства РФ в связи с исчислением и уплатой НДФЛ, а также пенсионного законодательства РФ при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнение первичной статистической документации;

–                    осуществление основных функций и основной деятельности  Колледжа, предусмотренной действующим законодательством и нормативными актами Российской Федерации, Ханты-Мансийского автономного округа – Югры, Уставом, лицензиями и локальными актами Колледжа, в том числе реализация образовательных программ  начального и среднего профессионального образования, реализации дополнительных образовательных программ;

–                    рассмотрение обращений субъектов персональных данных;

–                    осуществление пропускного режима в Колледже;

–                    заключение, исполнение и прекращение гражданско-правовых договоров.

4.4.               Колледж в своей деятельности обеспечивает соблюдение принципов и условий обработки персональных данных, указанных в статьях 5 и 6 Федерального закона 152-ФЗ «О персональных данных».

4.5.   Обработка персональных данных Колледжа осуществляется на основе принципов: 

–                    законности и справедливости целей и способов обработки персональных данных; 

–                    соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Колледжа; 

–                    соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных; 

–                    достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных; 

–                    недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные; 

–                    хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки; 

–                    уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении. 

4.6.               Право доступа для обработки персональных данных имеют работники Колледжа в соответствии с возложенными на них функциональными обязанностями.

4.7.               Колледж не осуществляет обработку биометрических персональных данных за исключением фотоизображений субъектов персональных данных, которые используются в системе контроля доступом Колледжа в целях обеспечения пропускного режима.

4.8.               Колледж не выполняет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

4.9.               Колледж не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.

5.        Порядок, условия и сроки обработки персональных данных

5.1.               Обработка персональных данных в Колледже ведется смешанным способом: с использованием средств автоматизации и без (на бумажных носителях).

5.2.               Обработка персональных данных в Колледже допускается в случаях:

–                    если обработка персональных данных осуществляется с согласия субъекта персональных данных;

–                    если обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

–                    если обработка персональных данных необходима для осуществления прав и законных интересов Колледжа или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

–                    если обработка персональных данных необходима для осуществления научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

–                    если обработка персональных данных осуществляется в исследовательских, статистических или иных целях при условии обязательного обезличивания персональных данных;

–                    если осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;

–                    если осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законом.

5.3.

               Обработка персональных данных осуществляется Колледжем только после направления уведомления об обработке персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Ханты-Мансийскому автономному округу – Югре, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона от 27 июля 2006 года № 152-ФЗ, и регистрации в статусе Оператора персональных данных.

Источник: http://www.surpk.ru/bezopasnost-i-okhrana-truda/bezopasnost

Помощь юриста
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: