Политика Муниципального автономного общеобразовательного учреждения «Северский физико-математический лицей» в отношении обработки персональных данных сотрудников учреждения, а также обучающихся и (или) родителей (законных представителей).
1.Общие положения.
Настоящая Политика разработана на основании Конституции РФ, Гражданского Кодекса РФ, Трудового Кодекса РФ, и в соответствии с требованиями Федерального закона от 27 июля 2006 г. No152-ФЗ «О персональных данных», Постановления Правительства РФот21.03.2012 N 211«Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
Цель данной Политики – обеспечение прав граждан при обработке их персональных данных, и принятие мер от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных Субъектов. Персональные данные могут обрабатываться только для целей, непосредственно связанных с деятельностью учреждения, в частности для:
·предоставления образовательных услуг;
·проведения олимпиад, консультационных семинаров;
·направления на обучение;
·направления работ сотрудников (учащихся, воспитанников) на конкурсы;
·дистанционного обучения;
·ведения электронного дневника и электронного журнала успеваемости;
·ведения сайта ОУ;
·автоматизации работы библиотеки;
·проведения мониторинга деятельности школы.
Муниципальное автономное общеобразовательное учреждение «Северский физико-математический лицей» (далее—Учреждение) собирает данные только в объеме, необходимом для достижения выше названных целей.
Передача третьим лицам персональных данных без письменного согласия не допускается. Режим конфиденциальности персональных данных снимается в случаях обезличивания или включения их в общедоступные источники персональных данных, если иное неопределенно законом. Сотрудники, в обязанность которых входит обработка персональных данных Субъекта, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом, а также настоящей Политикой. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации. Настоящая политика утверждается Директором и является обязательной для исполнения всеми сотрудниками, имеющими доступ к персональным данным Субъекта.
2.Понятие и состав персональных данных Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу(далее –Субъекту). К персональным данным Субъекта, которые обрабатывает Учреждение относятся:
·фамилия, имя, отчество;
·адрес места жительства;
·паспортные данные;
·данные свидетельства о рождении;
·контактный телефон;
·результаты успеваемости и тестирования;
·номер класса;
·данные о состоянии здоровья;
·данные страхового свидетельства
;·данные о трудовой деятельности;
·биометрические данные(фотографическая карточка);
·иная необходимая информация, которую Субъект добровольно сообщает о себе для получения услуг предоставляемых Учреждением, если ее обработка не запрещена законом.
3.Принципы обработки персональных данных Субъекта Обработка персональных данных –любое действие(операция)или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение(обновление, изменение), извлечение, использование, передачу(распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Учреждение ведет обработку персональных данных Субъекта с использованием средств автоматизации (автоматизированная обработка), и без использования таких средств(неавтоматизированная обработка).Обработка персональных данных должна осуществляться на основе принципов:
·законности целей и способов обработки персональных данных и добросовестности;
·соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Учреждения;
·соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
·достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
·недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;
·уничтожения персональных данных после достижения целей обработки или в случае утраты необходимости в их достижении;
·личной ответственности сотрудников Учреждения за сохранность и конфиденциальность персональных данных, а также носителей этой информации.
4. Обязанности Учреждения.
В целях обеспечения прав и свобод человека и гражданина Учреждение при обработке персональных данных Субъекта обязано соблюдать следующие общие требования:
·обработка персональных данных Субъекта может осуществляться исключительно в целях оказания законных услуг Субъектам;
·персональные данные Субъекта следует получать у него самого. Если персональные данные Субъекта возможно получить только у третьей стороны, то Субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Сотрудники Учреждения должны сообщить Субъектам о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа Субъекта дать письменное согласие на их получение;
·Учреждение не имеет права получать и обрабатывать персональные данные о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных законом. В частности, вправе обрабатывать указанные персональные данные Субъекта только с его письменного согласия;
·предоставлять Субъекту или его представителю информацию о наличии персональных данных, относящихся к соответствующему Субъекту персональных данных, а также предоставить возможность ознакомления сними при обращении Субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса Субъекта персональных данных или его представителя;
·хранение и защита персональных данных Субъекта от неправомерного их использования или утраты обеспечивается учреждением, за счет его средств в порядке, установленном действующим законодательством РФ;
·в случае выявления недостоверных персональных данных или неправомерных действий сними оператора при обращении или по запросу Субъекта либо уполномоченного органа по защите прав субъектов персональных данных Учреждение обязано осуществить блокирование персональных данных на период проверки;
·в случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных Субъектом либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование;
·в случае достижения цели обработки персональных данных Учреждение обязано незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней, и уведомить об этом Субъекта, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;
· в случае отзыва Субъектом согласия на обработку своих персональных данных учреждение обязано прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней, если иное не предусмотрено соглашением между Учреждением и Субъектом. Об уничтожении персональных данных Учреждение обязано уведомить Субъекта.
5.Права Субъекта.
·Право на доступ к информации о самом себе.
·Право на определение форм и способов обработки персональных данных.
·Право на отзыв согласия на обработку персональных данных.
·Право ограничивать способы и формы обработки персональных данных, запрет на распространение персональных данных без его согласия.
·Право требовать изменение, уточнение, уничтожение информации о самом себе.
·Право обжаловать неправомерные действия или бездействия по обработке персональных данных и требовать соответствующей компенсации в суде.
·Право на дополнение персональных данных оценочного характера заявлением, выражающим его собственную точку зрения.
·Право определять представителей для защиты своих персональных данных.
·Право требовать от Учреждения уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные Субъекта, обо всех произведенных в них изменениях или исключениях из них.
6. Доступ к персональным данным Субъекта.
Персональные данные Субъекта могут быть предоставлены третьим лицам только с письменного согласия Субъекта. Доступ Субъекта к своим персональным данным предоставляется при обращении либо при получении запроса Субъекта. Учреждение обязано сообщить Субъекту информацию о наличии персональных данных о нем, а также предоставить возможность ознакомления сними в течение тридцати рабочих дней с момента обращения или получения запроса. Запрос должен содержать номер основного документа, удостоверяющего личность Субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись Субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации. Клиент имеет право на получение при обращении или при отправлении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:
·подтверждение факта обработки персональных данных, а также цель такой обработки;
·способы обработки персональных данных, применяемые учреждением;
·сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
·перечень обрабатываемых персональных данных и источник их получения;
·сроки обработки персональных данных, в том числе сроки их хранения;
·сведения о том, какие юридические последствия для Субъекта может повлечь за собой обработка его персональных данных. Сведения о наличии персональных данных должны быть предоставлены Субъекту в доступной форме, и в них недолжны содержаться персональные данные, относящиеся к другим субъектам персональных данных.Право Субъекта на доступ к своим персональным данным ограничивается в случае, если предоставление персональных данных нарушает конституционные права и свободы других лиц.
7. Защита персональных данных.
Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица. Защита персональных данных представляет собой жестко регламентированный технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе деятельности Учреждения. Регламентация доступа персонала к документам и базам данных с персональными сведениями входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий руководителями и специалистами Учреждения. Для защиты персональных данных Субъектов необходимо соблюдать ряд мер:
·осуществление пропускного режима в служебные помещения;
·назначение должностных лиц, допущенных к обработке ПД;
·хранение ПД на бумажных носителях в охраняемых или запираемых помещениях, сейфах, шкафах;
·наличие необходимых условий в помещениях для работы с документами и базами данных с персональными сведениями; в помещениях, в которых находится вычислительная техника;
·организация порядка уничтожения информации;
·ознакомление работников, непосредственно осуществляющих обработку ПД, с требованиями законодательства РФ в сфере ПД, локальными актами оператора в сфере ПД и обучение указанных работников;
·осуществление обработки ПД в автоматизированных информационных системах на рабочих местах с разграничением полномочий, ограничение доступа к рабочим местам, применение механизмов идентификации доступа по паролю и электронному ключу, средств криптозащиты;
·осуществление внутреннего контроля соответствия обработки ПД требованиям законодательства. Для защиты персональных данных создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности школы, посетители, работники других организационных структур. Посторонние лица недолжны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, рабочих материалов. Для защиты персональных данных Субъектов необходимо соблюдать ряд мер:
·порядок приема, учета и контроля деятельности посетителей;
·технические средства охраны, сигнализации;
·порядок охраны помещений;
·требования к защите информации, предъявляемые соответствующими нормативными документами. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
8. Ответственность за разглашение персональных данных.
Учреждение ответственно за персональную информацию, которая находится в его распоряжении и закрепляет персональную ответственность сотрудников за соблюдением, установленных в организации принципов уважения приватности. Каждый сотрудник Учреждения, получающий для работы доступ к материальным носителям персональным данных, несет ответственность за сохранность носителя и конфиденциальность информации. Учреждение обязуется поддерживать систему приема, регистрации и контроля рассмотрения жалоб Субъектов, доступную с помощью телефонной, телеграфной или почтовой связи. Любое лицо может обратиться к сотруднику Учреждения с жалобой на нарушение данной Политики. Жалобы и заявления по поводу соблюдения требований обработки данных рассматриваются в течение тридцати рабочих дней с момента поступления. Сотрудники Учреждения обязаны на должном уровне обеспечивать рассмотрение запросов, заявлений и жалоб Субъектов, а также содействовать исполнению требований компетентных органов. Лица, виновные в нарушении требований настоящей политики, привлекаются к дисциплинарной ответственности.
Утверждаю
Директор МАОУ СФМЛ
И.А.Дроздова
Приказ от 11.03.2020 N 88
Положение о порядке обработки персональных данных обучающихся в Муниципальном автономном общеобразовательном учреждении
«Северский физико-математический лицей».
Настоящее Положение разработано на основании Конституции Российской Федерации, Федерального закона от19 декабря 2005 No160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», Федерального закона от 27 июля 2006 No152-ФЗ «О персональных данных», Федерального закона от27 июля 2006 No149-ФЗ «Об информации, информационных технологиях и о защите информации» и Постановления Правительства Российской Федерации от17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным Постановлением Правительства Российской Федерации от 01.11.2012 N 1119, и Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства Российской Федерации от15.09.2008 N 687 с целью обеспечения уважения прав и основных свобод каждого обучающегося, при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1. Общие положения.
1.1. Персональные данные обучающегося— сведения о фактах, событиях и обстоятельствах жизни обучающегося, позволяющие идентифицировать его личность, необходимые администрации Муниципального автономного общеобразовательного учреждения «Северский физико-математический лицей» (далее – администрация) в связи с отношениями обучения и воспитания обучающегося и касающиеся обучающегося.
1.2. К персональным данным обучающегося относятся:
— сведения, содержащиеся в свидетельстве о рождении, паспорте или ином документе, удостоверяющем личность;
—информация, содержащаяся в личном деле обучающегося;
—информация, содержащаяся в личном деле обучающегося, лишенного родительского попечения;
—сведения, содержащиеся в документах воинского учета (при их наличии);
—информация об успеваемости;
—информация о состоянии здоровья;
—документ о месте проживания;
—иные сведения, необходимые для определения отношений обучения и воспитания.
1.3. Администрация может получить от самого обучающегося данные о:
—фамилии, имени, отчестве, дате рождения, месте жительстве обучающегося,
—фамилии, имени, отчестве родителей (законных представителей) обучающегося. Иные персональные данные обучающегося, необходимые в связи с отношениями обучения и воспитания, администрация может получить только с письменного согласия одного и родителей (законного представителя). К таким данным относятся документы, содержащие сведения, необходимые для предоставления обучающемуся гарантий и компенсаций, установленных действующим законодательством
:—документы о составе семьи;
—документы о состоянии здоровья(сведения об инвалидности, о наличии хронических заболеваний ит.п.);
—документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (родители-инвалиды, неполная семья, ребенок-сирота ит.п.). В случаях, когда администрация может получить необходимые персональные данные обучающегося только у третьего лица, администрация должна уведомить об этом одного из родителей (законного представителя) заранее и получить от него письменное согласие.
1.4. Администрация обязана сообщить одному из родителей (законному представителю) о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа одного из родителей (законного представителя) дать письменное согласие на их получение.
1.5. Персональные данные обучающегося являются конфиденциальной информацией и не могут быть использованы администрацией или любым иным лицом в личных целях.
1.6. При определении объема и содержания персональных данных обучающегося администрация руководствуется Конституцией Российской Федерации, федеральными законами и настоящим Положением.
2. Хранение, обработка и передача персональных данных обучающегося.
2.1. Обработка персональных данных обучающегося осуществляется для обеспечения соблюдения законов и иных нормативных правовых актов в целях воспитания и обучения обучающегося, обеспечения его личной безопасности, контроля качества образования, пользования льготами,
предусмотренными законодательством Российской Федерации и локальными актами администрации.
2.2. Право доступа к персональным данным обучающегося имеют:
—сотрудники Управления образования Администрации ЗАТО Северск;
—сотрудники Муниципального автономного учреждения «Ресурсный центр образования»;
—директор общеобразовательного учреждения;
—помощник руководителя;
—сотрудники централизованной бухгалтерии;
—заместители директора по УВР, ВР
—классные руководители (только к персональным данным обучающихся своего класса);
—заведующей библиотекой;
— педагог/психолог;
—специалист по охране прав детства;
—врач/медработник.
2.3. Директор общеобразовательного учреждения осуществляет прием обучающегося в общеобразовательное учреждение. Директор общеобразовательного учреждения может передавать персональные данные обучающегося третьим лицам, только если это необходимо в целях предупреждения угрозы жизни и здоровья обучающегося, а также в случаях, установленных федеральными законами.
2.4. Помощник руководителя: принимает или оформляет вновь личное дело обучающегося и вносит в него необходимые данные; предоставляет свободный доступ родителям (законным представителям) к персональным данным обучающегося на основании письменного заявления. К заявлению прилагается:
—копия документа, удостоверяющего личность;
—копия документа, подтверждающего полномочия законного представителя. Не имеет права получать информацию об обучающемся родитель (законный представитель), лишенный или ограниченный в родительских правах на основании вступившего в законную силу постановления суда.
2.5. Сотрудники централизованной бухгалтерии имеют право доступа к персональным данным обучающегося в случае, когда исполнение им своих трудовых обязанностей по отношению к обучающемуся (предоставление льгот, установленных законодательством) зависит от знания персональных данных обучающегося.
2.6. При передаче персональных данных обучающегося директор, помощник руководителя, сотрудники бухгалтерии, заместители директора по УВР, ВР, классные руководители, педагог/психолог, специалист по охране прав детства общеобразовательного учреждения обязаны:
—предупредить лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены,
—потребовать от этих лиц письменное подтверждение соблюдения этого условия.
2.7. Иные права, обязанности, действия работников, в трудовые обязанности которых входит обработка персональных данных обучающегося, определяются трудовыми договорами и должностными инструкциями.
2.8. Все сведения о передаче персональных данных обучающихся регистрируются в Журнале учета передачи персональных данных обучающихся общеобразовательного учреждения в целях контроля правомерности использования данной информации лицами, ее получившими.
3. Обязанности работников, имеющих доступ к персональным данным обучающегося, по их хранению и защите.
3.1. Работники, имеющие доступ к персональным данным обучающегося, обязаны:
3.1.1. не сообщать персональные данные обучающегося третьей стороне без письменного согласия одного из родителей (законного представителя), кроме случаев, когда в соответствии с федеральными законами такого согласия не требуется;
3.1.2. использовать персональные данные обучающегося, полученные только от него лично или с письменного согласия одного из родителей (законного представителя);
3.1.3. обеспечить защиту персональных данных обучающегося от их неправомерного использования или утраты, в порядке, установленном законодательством Российской Федерации;
3.1.4. ознакомить родителя (родителей) или законного представителя с настоящим Положением и их правами и обязанностями в области защиты персональных данных, под роспись;
3.1.5. соблюдать требование конфиденциальности персональных данных обучающегося;
3.1.6. исключать или исправлять по письменному требованию одного из родителей (законного представителя) обучающегося его недостоверные или неполные персональные данные, а также данные, обработанные с нарушением требований законодательства;
3.1.7. ограничивать персональные данные обучающегося при передаче уполномоченным работникам правоохранительных органов или работникам управления образования только той информацией, которая необходима для выполнения указанными лицами их функций;
3.1.8. запрашивать информацию о состоянии здоровья обучающегося только у родителей (законных представителей);
3.1.9. обеспечить обучающемуся или одному из его родителей (законному представителю) свободный доступ к персональным данным обучающегося, включая право на получение копий любой записи, содержащей его персональные данные;
3.1.10. предоставить по требованию одного из родителей (законного представителя) обучающегося полную информацию о его персональных данных и обработке этих данных.
3.2. Лица, имеющие доступ к персональным данным обучающегося, не вправе:
3.2.1. получать и обрабатывать персональные данные обучающегося о его религиозных и иных убеждениях, семейной и личной жизни;
3.2.2. предоставлять персональные данные обучающегося в коммерческих целях.
3.3. При принятии решений, затрагивающих интересы обучающегося, администрации запрещается основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.
4. Права и обязанности обучающегося, родителя (законного представителя).
4.1. В целях обеспечения защиты персональных данных, хранящихся у администрации, обучающийся, родитель (законный представитель) имеют право на:
4.1.1. требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований законодательства. При отказе администрации исключить или исправить персональные данные обучающегося родитель (законный представитель) имеет право заявить в письменной форме администрации о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера родитель (законный представитель) имеет право дополнить заявлением, выражающим его собственную точку зрения;
4.1.2. требование об извещении администрацией всех лиц, которым ранее были сообщены неверные или неполные персональные данные обучающегося, обо всех произведенных в них исключениях, исправлениях или дополнениях;
4.1.3. обжалование в суд любых неправомерных действий или бездействия администрации при обработке и защите персональных данных обучающегося;
4.1.4. возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
4.2. Родитель (законный представитель) обязан сообщать администрации сведения, которые могут повлиять на принимаемые администрацией в отношении обучаемого.
Утверждаю
Директор МАОУ СФМЛ
И.А.Дроздова
Приказ от 11.03.2020 N 88
Положение об обработке и обеспечении безопасности персональных данных, обрабатываемых в информационных системах персональных данных Муниципального автономного общеобразовательного учреждения «Северский физико-математический лицей».
1. Общие положения.
1.1. Настоящее Положение об обработке и обеспечении безопасности персональных данных, обрабатываемых в информационных системах персональных данных Муниципального автономного общеобразовательного учреждения «Северский физико-математический лицей» (далее –Положение) разработано в соответствии с Федеральным законом от27.07.2006 No152-ФЗ «О персональных данных», Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным Постановлением Правительства Российской Федерации от01.11.2012 N 1119, и Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства Российской Федерации от15.09.2008 N 687.1.2. Настоящим Положением определяется порядок обработки и обеспечения безопасности персональных данных, при их обработке в информационных системах персональных данных с использованием средств автоматизации и без использования средств автоматизации в Муниципальном автономном общеобразовательном учреждении «Северский физико-математический лицей» (далее –Школа).
1.3. В настоящем Положении используются следующие понятия:
1.3.1. Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
1.3.2. Информационная система персональных данных (далее – Информационная система) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
1.3.3. Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
1.3.4. Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
1.3.5. Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
1.3.6. Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
1.3.7. Обработка персональных данных без использования средств автоматизации (далее –Неавтоматизированный способ) –действия с персональными данными, такие как сбор, систематизация, накопление, хранение, использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
1.3.8. Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
1.3.9. Оператор – Школа, юридическое или физическое лицо, организующие и осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
1.3.10. Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу(субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
1.3.11. Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
1.3.12. Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта персональных данных.
1.3.13. Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
2. Порядок обработки персональных данных.
2.1. Обработка персональных данных в Информационных системах Школы должна осуществляться на основе принципов:
—законности целей и способов обработки персональных данных и добросовестности;
—соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
—соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
—достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
—недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
2.2. Обработка персональных данных в Информационных системах Школы может осуществляться оператором с письменного согласия субъектов персональных данных, за исключением следующих случаев, когда такого согласия не требуется, если:
—обработка персональных данных осуществляется на основании федерального закона, устанавливающего её цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
—обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных; — обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
—обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
2.3. Обработка оператором специальных категорий персональных данных в Информационных системах Школы допускается если:
—субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
—персональные данные являются общедоступными;
—персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно; обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну.
2.4. В случае если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
2.5. Оператор, получающий доступ к персональным данным, должен обеспечивать конфиденциальность таких данных, за исключением случаев:
—в случае обезличивания персональных данных;
—в отношении общедоступных персональных данных.
2.6. Обработка персональных данных в Информационных системах Школы осуществляется только с согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных федеральными законами, которыми предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
2.7. Письменное согласие субъекта персональных данных на обработку своих персональных данных в Информационных системах Школы должно включать в себя:
—фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
—наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
—цель обработки персональных данных;
—перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
—перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
—срок, в течение которого действует согласие, а также порядок его отзыва.
2.8. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных в Информационных системах Школы обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.
2.9. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных в Информационных системах Школы дает в письменной форме законный представитель субъекта персональных данных.
2.10. В случае смерти субъекта персональных данных согласие на обработку его персональных данных в Информационных системах Школы дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
2.11. Субъект персональных данных имеет право на получение сведений об обработке своих персональных данных в Информационных системах Школы, а оператор обязан их предоставить в соответствии со статьями 14 и 20 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
3. Меры по обеспечению безопасности персональных данных при их обработке
3.1. Безопасность персональных данных, обрабатываемых в Информационных системах Школы, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
3.2. Для обеспечения безопасности персональных данных при их обработке в Информационных системах Школы осуществляется защита:
—информации, обрабатываемой с использованием технических средств;
—информации, содержащейся на бумажной, магнитной, магнитно-оптической и иной основе (носителях).
3.3. Работы по обеспечению безопасности персональных данных при их обработке в Информационных системах Школы являются неотъемлемой частью работ по созданию Информационных систем.
3.4. Информационные системы Школы классифицируются оператором. Проведение классификации Информационных систем определено Порядком проведения классификации информационных систем персональных данных, утвержденным совместным приказом Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, Министерством информационных технологий и связи Российской Федерации от13.02.2008 N 55/86/20.3.5. Обмен персональными данными при их обработке в Информационных системах Школы осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих
организационных мер и (или) путем применения технических и программных средств.
3.6. Размещение Информационных систем Школы, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
3.7. Безопасность персональных данных при их обработке в Информационных системах Школы обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (далее – Уполномоченное лицо). Существенным условием договора является обязанность Уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе.
3.8. При обработке персональных данных в Информационных системах Школы безопасность обеспечивается:
—проведением мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
—своевременным обнаружением фактов несанкционированного доступа к персональным данным;
—недопущением воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
—возможностью незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
—постоянным контролем за обеспечением уровня защищенности персональных данных.
3.9. Защита персональных данных, обрабатываемая в Информационных системах Школы, обеспечивается за счет средств Школы в порядке, установленном федеральными законами.
3.10. Доступ сотрудников Школы к персональным данным, обрабатываемым в Информационных системах Школы, для выполнения своих должностных обязанностей производится к соответствующим персональным данным на основании списка, утвержденного оператором.
4. Особенности обработки персональных данных, осуществляемых без использования средств автоматизации.
4.1. Персональные данные при их обработке, осуществляемой Неавтоматизированным способом, должны обособляться от иной информации, фиксацией их на отдельных материальных носителях персональных данных (далее—Материальные носители), в специальных разделах книг (журналов) или на полях форм (бланков).
4.2. При фиксации персональных данных на Материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы. Для обработки различных категорий персональных данных, осуществляемой Неавтоматизированным способом, для каждой категории персональных данных должен использоваться отдельный Материальный носитель.
4.3. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – Типовая форма), должны соблюдаться следующие условия:
4.3.1. Типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать:
—сведения о цели обработки персональных данных, осуществляемой Неавтоматизированным способом;—имя (наименование) и адрес оператора;
—фамилию, имя, отчество и адрес субъекта персональных данных;
—источник получения персональных данных;
—сроки обработки персональных данных;— перечень действий с персональными данными, которые будут совершаться в процессе их обработки;
—общее описание используемых оператором способов обработки персональных данных.
4.3.2. Типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую Неавтоматизированным способом.
4.3.3. Типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных.
4.3.4. Типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.
4.4. При несовместимости целей обработки персональных данных, зафиксированных на одном Материальном носителе, если Материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных:
4.4.1. При необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же Материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, неподлежащих распространению и использованию, и используется (распространяется) копия персональных данных.
4.4.2. При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется Материальный носитель с предварительным копированием сведений, неподлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
4.5. Уничтожение или обезличивание части персональных данных, если это допускается Материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
4.6. Правила, предусмотренные пунктами 4.4 и 4.5 настоящего Положения, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном Материальном носителе персональных данных и информации, не являющейся персональными данными.
4.7. Уточнение персональных данных при осуществлении их обработки Неавтоматизированным способом производится путем обновления или изменения данных на Материальном носителе, а если это не допускается техническими особенностями материального носителя,— путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
4.8. Обработка персональных данных, осуществляемая Неавтоматизированным способом, должна производиться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (Материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
4.9. Необходимо обеспечивать раздельное хранение персональных данных (Материальных носителей), обработка которых осуществляется вразличных целях.
5. Обязанности лиц, имеющих доступ к персональным данным.
5.1. Ответственность за обеспечение безопасности персональных данных и надлежащий режим работы Информационных систем Школы возлагается на руководителя Школы.
5.2. В своей работе сотрудники Школы, допущенные к обработке персональных данных в Информационных системах Школы, должны руководствоваться требованиями федеральных законов, нормативно-правовых документов Правительства Российской Федерации, Федеральной службы по техническому и экспортному контролю, Федеральной службы
безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации, а также настоящим Положением и инструкцией пользователя по защите персональных данных, обрабатываемых в Информационных системах.
5.3. В должностные инструкции сотрудников Школы, уполномоченных на обработку персональных данных в Информационных системах Школы, должны быть внесены обязанности о необходимости выполнения требований по обеспечению безопасности обрабатываемых ими персональных данных.
5.4. Ответственный за обеспечение безопасности персональных данных в Школе руководствуется в своей деятельности инструкцией ответственного за обеспечение безопасности персональных данных, обрабатываемых в Информационных системах Школы.
5.5. При обнаружении нарушений порядка предоставления персональных данных, обрабатываемых в Информационных системах Школы, оператор незамедлительно приостанавливает предоставление персональных данных пользователям Информационных систем Школы до выявления причин нарушений и устранения этих причин.
5.6. За нарушение норм настоящего Положения, а также федеральных законов, регламентирующих порядок обработки и обеспечения безопасности персональных данных, сотрудники Школы, допущенные к работе с персональными данными в Информационных системах Школы, несут гражданско-правовую, административную, уголовную и дисциплинарную ответственность в соответствии с действующим законодательством.
Утверждаю
Директор МАОУ СФМЛ
И.А.Дроздова
Приказ от 11.03.2020 N 88
Положение о порядке обработки персональных данных работников Муниципального автономного общеобразовательного учреждения «Северский физико-математический лицей»
1. Общие положения.
Настоящее Положение о порядке обработки персональных данных (далее—Положение) Муниципального автономного общеобразовательного учреждения «Северский физико-математический лицей» (далее – Учреждение) разработано в соответствии с Трудовым кодексом Российской Федерации, Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от27 июля 2006 г. N 149-ФЗ«Об информации, информационных технологиях и о защите информации», Федеральным законом от27 июля 2006 г. N 152-ФЗ«О персональных данных», Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным Постановлением Правительства Российской Федерации от01.11.2012 N 1119, Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства Российской Федерации от15.09.2008 N 687, Правилами внутреннего трудового распорядка Учреждения и определяет порядок получения, учета, обработки, накопления и хранения персональных данных. Цель разработки Положения—определение порядка обработки персональных данных работников Учреждения и иных субъектов персональных данных, персональные данные которых подлежат обработке, на основании полномочий оператора; обеспечение защиты прав и свобод человека и гражданина, в т.ч. работника Учреждения, при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.1 Порядок ввода в действие и изменения Положения Настоящее Положение и изменения к нему утверждаются руководителем Учреждения и вводятся приказом. Все работники Учреждения должны быть ознакомлены под расписку с Положением и изменениями к нему.
1.2 Основные понятия и состав персональных данных работников.
Для целей настоящего Положения используются следующие основные понятия:
—персональные данные работника—любая информация, относящаяся к определенному или определяемому на основании такой информации работнику, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая работодателю в связи с трудовыми отношениями;
—обработка персональных данных—сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных работников Учреждения;
—конфиденциальность персональных данных—обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным работников, требование не допускать их распространения без согласия работника или иного законного основания;
—распространение персональных данных—действия, направленные на передачу персональных данных работников определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных работников в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным работников каким-либо иным способом;
—использование персональных данных—действия (операции) с персональными данными, совершаемые должностным лицом Учреждения в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работников либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
—блокирование персональных данных—временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных работников, в том числе их передачи;
—уничтожение персональных данных—действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных работников или в результате которых уничтожаются материальные носители персональных данных работников;
—обезличивание персональных данных—действия, в результате которых невозможно определить принадлежность персональных данных конкретному работнику;
—общедоступные персональные данные—персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
—информация—сведения (сообщения, данные) независимо от формы их представления;
—документированная информация—зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель. В состав персональных данных работников Учреждения входят документы, содержащие информацию о паспортных данных, образовании, отношении к воинской обязанности, семейном положении, месте жительства, состоянии здоровья, а также о предыдущих местах ихработы.
2. Комплекс документов, сопровождающий процесс оформления трудовых отношений работника в Учреждении при его приеме, переводе и увольнении Информация, представляемая работником при поступлении на работу в Учреждение, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:
—паспорт или иной документ, удостоверяющий личность, а также копии свидетельств о государственной регистрации актов гражданского состояния;
—трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
—страховое свидетельство государственного пенсионного страхования, страховой медицинский полис обязательного медицинского страхования граждан;
—документы воинского учета—для военнообязанных и лиц, подлежащих воинскому учету;
—документы об образовании, профессиональной переподготовке, повышении квалификации, стажировки, присвоении ученой степени, ученого звания (если таковые имеются);
—свидетельство о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации. При оформлении работника в Учреждении работником отдела кадров заполняются унифицированные формы Т-1 иТ-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:
—общие сведения(Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);
—сведения о воинском учете;
—данные о приеме на работу;
В дальнейшем в личную карточку вносятся:
—сведения о переводах на другую работу;
—сведения об аттестации;
—сведения о повышении квалификации;
—сведения о профессиональной переподготовке;
—сведения о наградах (поощрениях), почетных званиях;
—сведения об отпусках;
—сведения о социальных гарантиях;
—сведения о месте жительства и контактных телефонах.
В отделе кадров Учреждения создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде. Документы, содержащие персональные данные работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию; проведению собеседований с кандидатом на должность; подлинники и копии приказов поличному составу; личные дела и трудовые книжки работников; дела, содержащие основания к приказу поличному составу; дела, содержащие материалы аттестации работников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Учреждения, руководителям структурных подразделений; копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения). Документация по организации работы структурных подразделений (положения о структурных подразделениях, должностные инструкции работников, приказы, распоряжения, указания руководства Учреждения); документы по планированию, учету, анализу и отчетности в части работы с персоналом Учреждения.
3. Сбор, обработка, защита персональных данных, порядок обработки их ранения персональных данных.
3.1 Порядок получения персональных данных Все персональные данные работника Учреждения следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Должностное лицо работодателя должно сообщить работнику Учреждения о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение. Работодатель не имеет права получать и обрабатывать персональные данные работника Учреждения о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии сост. 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
Предоставление соискателем должности персональных данных до заключения трудового договора (резюме ит.п. информации) считается, в соответствии с Гражданским Кодексом Российской Федерации (ст. 158), молчаливым согласием (конклюдентным действием), подразумевает согласие субъекта на обработку его персональных данных и не требует наличия дополнительного письменного согласия.
3.2 Порядок обработки, передачи и хранения персональных данных Обработка указанных персональных данных работников работодателем возможна только с письменного их согласия либо без их согласия в следующих случаях:
1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
2) персональные данные являются общедоступными;
3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
6) обработка персональных данных необходима в связи с осуществлением правосудия;
7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации. Работодатель вправе обрабатывать персональные данные работников только с их письменного согласия. Письменное согласие работника на обработку своих персональных данных должно включать в себя:
—фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
—наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
—цель обработки персональных данных;
—перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
—перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
—срок, в течение которого действует согласие, а также порядок его отзыва. Согласие работника не требуется в следующих случаях:
—обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия работодателя;
—обработка персональных данных осуществляется в целях исполнения трудового договора, одной из сторон которого является субъект персональных данных;
—обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
—обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно. Таким образом, в соответствии сост. 86, гл. 14 ТК РФ в целях обеспечения прав и свобод человека и гражданина Работодатель и его представители при обработке персональных данных работника должны соблюдать следующие общие требования:
—обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
—при определении объема и содержания, обрабатываемых персональных данных Работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами;
—при принятии решений, затрагивающих интересы работника, Работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
—защита персональных данных работника от неправомерного их использования или утраты обеспечивается Работодателем за счет его средств в порядке, установленном федеральным законом;
—работники и их представители должны быть ознакомлены под расписку с документами Учреждения, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
—во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.
4. Передача и хранение персональных данных.
При передаче персональных данных работника Работодатель должен соблюдать следующие требования:
—не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
—не сообщать персональные данные работника в коммерческих целях без его письменного согласия.
—предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать о тэтих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
—осуществлять передачу персональных данных работников в пределах Учреждения в соответствии с настоящим Положением;
—разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретной функции;
—не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
—передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функции. Хранение и использование персональных данных:
·Персональные данные работников обрабатываются их ранятся в отделе кадров, персональные данные учащихся обрабатываются и хранятся в канцелярии и в предназначенных для этого элементах информационных систем.
·Персональные данные работников и учащихся могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде – в локальной компьютерной сети и в специальных компьютерных программах.
·При получении персональных данных не от работника (за исключением случаев, если персональные данные были предоставлены работодателю на основании федерального закона или если персональные данные являются общедоступными) работодатель до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:
·наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
·цель обработки персональных данных и ее правовое основание;
·предполагаемые пользователи персональных данных;
·установленные настоящим Федеральным законом права субъекта персональных данных.
5. Доступ к персональным данным работников Право доступа к персональным данным работников имеют
:—директор Учреждения;
—сотрудники отдела кадров;
—сотрудники бухгалтерии.
Работник Учреждения имеет право:
—получать доступ к своим персональным данным и ознакомление сними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные работника;
—требовать от Работодателя уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющих необходимыми для Работодателя персональных данных;
—получать от Работодателя:
·сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
·перечень обрабатываемых персональных данных и источник их получения;
·сроки обработки персональных данных, в том числе сроки их хранения;
·сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
— требовать извещения Работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
—обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Работодателя при обработке и защите его персональных данных;
—копировать и делать выписки персональных данных работника разрешается исключительно в служебных целях с письменного разрешения начальника отдела кадров;
—передача информации третьей стороне возможна только при письменном согласии работников.
6. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных Работники Учреждения, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.