header

ПОЛОЖЕНИЕ о порядке обработки персональных данных

субъектов Частного образовательного учреждения дополнительного профессионального образования «Учебный комбинат»

1. Основные понятия

Для целей настоящего Положения используются следующие основные понятия:
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
Безопасность персональных данных – состояние защищенности персональных данных, при котором обеспечиваются их конфиденциальность, доступность и целостность при их обработке в информационных системах персональных данных;
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;
Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;
Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам;
Обработка персональных данных – любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (в том числе распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
Персональные данные работника – любая информация, относящаяся к определенному или определяемому на основании такой информации работнику, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия, доходы, другая информация, необходимая работодателю в связи с возникновением трудовых отношений;
Обучающиеся – лица, осваивающие дополнительные профессиональные программы, программы профессионального обучения, профессиональной переподготовки, повышения квалификации.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации;
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных;
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2. Общие положения

2.1. Цель разработки настоящего Положения – обеспечение защиты прав и свобод человека и гражданина, при обработке его персональных данных, в том числе права на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
2.2. Положение разработано в соответствии со следующими нормативно-правовыми документами Российской Федерации:
1) Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года с поправками, одобренными Комитетом министров Совета Европы 15 июня 1999 года, ратифицированная Федеральным законом Российской Федерации от 19 декабря 2005 года № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» в рамках, определяемых данным Федеральным законом, заявлений;
2) Конституция Российской Федерации;
3) Гражданский кодекс Российской Федерации;
4) Кодекс об Административных Правонарушениях Российской Федерации;
5) Трудовой кодекс Российской Федерации;
6) Уголовный кодекс Российской Федерации;
7) Федеральный закон от 27 июля 2006 года № 152-ФЗ "О персональных данных" (далее – Федеральный закон № 152-ФЗ);
8) Федеральный закон от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации";
9) Перечень сведений конфиденциального характера, утвержденный Указом Президента Российской Федерации от 6 марта 1997 года № 188;
10) Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждённое постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687;
11) Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119.
2.3. Положение устанавливает порядок обработки персональных данных субъектов, контрагентов и работников Частного образовательного учреждения дополнительного профессионального образования «Учебный комбинат» (далее – Учреждение).
Под обработкой персональных данных понимаются действия (операции) с персональными данными, включающие:
1) сбор, хранение, уточнение (обновление, изменение);
2) систематизацию, накопление;
3) использование, распространение, передачу;
4) обезличивание, блокирование, уничтожение.
2.4. Положение определяет необходимый минимальный объем мер, соблюдение которых позволяет предотвратить утечку сведений, относящихся к персональным данным. При необходимости могут быть введены дополнительные меры, направленные на усиление защиты персональных данных.
Состав целей обработки, категорий, способов обработки персональных данных определены в настоящем положении.
2.5. Деятельность по организации обработки и защиты персональных данных в соответствии с требованиями законодательства Российской Федерации о персональных данных осуществляет работник Учреждения, ответственный за организацию обработки персональных данных Учреждения.
Деятельность по администрированию средств и механизмов защиты осуществляет работник Учреждения, назначенный администратором информационной безопасности Учреждения.
Техническое обслуживание информационных систем персональных данных осуществляет работник Учреждения, назначенный ответственным за техническое обслуживание информационных систем персональных данных Учреждения.
Ответственный за организацию обработки персональных данных, администратор информационной безопасности, ответственный за техническое обслуживание информационных систем персональных данных и ответственные за обработку персональных данных назначаются приказом директора Учреждения.
2.6. На основании договора Учреждение может поручать обработку персональных данных третьим лицам. Лицо, осуществляющее обработку персональных данных по поручению Учреждения, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом № 152-ФЗ. В поручении Учреждения, должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона № 152-ФЗ.
2.7. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации, Учреждение вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
2.8. Учреждение не имеет права получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законодательством.
2.9. Настоящее Положение вступает в силу с момента его утверждения и действует до замены его новым Положением.
2.10. Все изменения в Положение вносятся приказом директором Учреждения.
3. Порядок обработки персональных данных

3.1. Все персональные данные субъектов (работников, обучающихся, контрагентов и т.д.) Учреждение получает от них самих либо от их законных представителей.
3.2. Обработка персональных данных осуществляется в соответствии с действующим законодательством Российской Федерации на основании согласия субъекта персональных данных, кроме случаев, предусмотренных Федеральным законом № 152-ФЗ. Форма согласия утверждается приказом директора Учреждения. Допускается совмещение формы согласия субъекта с типовыми формами документов, содержащих персональные данные субъекта (например: анкеты, бланки).
3.3. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе.
3.4. Получение персональных данных субъекта у третьих лиц, возможно только при уведомлении субъекта об этом заранее и с его письменного согласия. Форма согласия утверждается приказом директора Учреждения. Допускается совмещение формы согласия субъекта с типовыми формами документов, содержащих персональные данные субъекта (например: анкеты, бланки).
3.5. Персональные данные субъектов (работников, обучающихся, контрагентов и т.д.) Учреждения обрабатываются в структурных подразделениях в соответствии с исполняемыми функциями.
3.6. Доступ к персональным данным, обрабатываемым без использования средств автоматизации, осуществляется в соответствии с приказом директора.
3.7. Доступ к персональным данным, обрабатываемым в информационных системах персональных данных (далее - ИСПДн), осуществляется в соответствии с приказом директора.
3.8. Уполномоченные лица, допущенные к персональным данным субъектов (работники, обучающиеся, контрагенты и т.д.) Учреждения, имеют право получать только те персональные данные субъекта, которые необходимы для выполнения конкретных функций, в соответствии с должностной инструкцией уполномоченных лиц.
3.9. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна выполняться в соответствии с требованиями «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.
Персональные данные при такой их обработке, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
3.10. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.
3.11. Персональные данные подлежат уничтожению либо обезличиванию в следующих случаях:
1) достижения целей обработки или в случае утраты необходимости в их достижении;
2) отзыва согласия субъекта персональных данных на обработку персональных данных;
3) представления субъектом (работником, обучающимся, контрагентом и т.д.) персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
4) выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его законного представителя и невозможности обеспечить правомерную обработку персональных данных.
3.12. Хранение материальных носителей персональных данных осуществляется в специально оборудованных шкафах и сейфах. Места хранения определяются приказом директора об утверждении мест хранения материальных носителей персональных данных Учреждения.
3.13. В срок, не превышающий 7 рабочих дней со дня предоставления субъектом (работником, обучающимся, контрагентом и т.д.) персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Учреждение вносит в них необходимые изменения, а также уведомляет субъекта о внесенных изменениях.
3.14. Уничтожение персональных данных осуществляется в срок, не превышающий 30 рабочих дней с момента достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами Российской Федерации.
3.15. Уничтожение персональных данных осуществляется в срок, не превышающий 30 рабочих дней с момента отзыва согласия субъекта персональных данных на обработку персональных данных.
3.16. Уничтожение персональных данных осуществляется в срок, не превышающий 7 рабочих дней с момента представления субъектом (работником, обучающимся, контрагентом и т.д.) персональных данных или его представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки.
3.17. В случае выявления неправомерной обработки персональных данных при обращении субъекта (работника, обучающегося, контрагента и т.д.) персональных данных или его законного представителя и невозможности обеспечить правомерную обработку персональных данных уничтожение персональных данных осуществляется в срок, не превышающий 10 рабочих дней с момента выявления неправомерной обработки персональных данных. Решение о неправомерности обработки персональных данных и необходимости уничтожения персональных данных принимает ответственный за организацию обработки персональных данных, который доводит соответствующую информацию до руководства. Учреждение уведомляет субъекта персональных данных или его законного представителя об уничтожении персональных данных.
3.18. Уничтожение персональных данных осуществляет комиссия в составе работников структурного подразделения, обрабатывавшего персональные данные субъекта и установившего необходимость уничтожения персональных данных под контролем руководителя этого структурного подразделения.
3.19. Способ уничтожения материальных носителей персональных данных определяется комиссией. Допускается применение следующих способов:
1) сжигание;
2) шредирование (измельчение);
3) передача на специализированные полигоны (свалки);
4) химическая обработка.
При этом составляется акт, подписываемый председателем комиссии, проводившей уничтожение материальных носителей персональных данных.
При необходимости уничтожения большого количества материальных носителей или применения специальных способов уничтожения допускается привлечение специализированных организаций. В этом случае комиссия Учреждения должна присутствовать при уничтожении материальных носителей персональных данных. При этом к акту уничтожения необходимо приложить накладную на передачу материальных носителей персональных данных, подлежащих уничтожению, в специализированную организацию.
3.20. Уничтожение полей баз данных Учреждения, содержащих персональные данные субъекта, выполняется в случаях, установленных в пункте 3.11 по заявке руководителя структурного подразделения, обрабатывавшего персональные данные субъекта и установившего необходимость их уничтожения.
3.21. Уничтожение осуществляет комиссия, в состав которой входят лица, ответственные за техническое обслуживание автоматизированных систем, которым принадлежат базы данных.
3.22. Уничтожение достигается путем затирания информации на носителях информации (в том числе и резервных копиях). При этом составляется акт, утверждаемый лицом, ответственным за техническое обслуживание автоматизированных систем, которому принадлежат базы данных.
3.23. Уничтожение архивов электронных документов и протоколов электронного взаимодействия может не производиться, если ведение и сохранность их в течение определенного срока предусмотрены соответствующими нормативными и (или) договорными документами.
3.24. При отсутствии технической возможности осуществить уничтожение персональных данных, содержащихся в базах данных, допускается проведение обезличивания путем перезаписи полей баз данных. Перезапись должна быть осуществлена таким образом, чтобы дальнейшая идентификация субъекта персональных данных была невозможна.
3.25. Контроль выполнения процедур уничтожения персональных данных осуществляет ответственный за организацию обработки персональных данных.
3.26. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных.
3.27. После уничтожения персональных данных, субъекту направляется уведомление об уничтожении персональных данных.
3.28. Работники должны быть ознакомлены под роспись с настоящим Положением и другими документами Учреждения, устанавливающими порядок обработки персональных данных субъектов (работники, обучающиеся, контрагенты и т.д.), а также права и обязанности в этой области.

3.1. Состав, сбор, обработка и защита персональных данных работников

3.1.1. В состав персональных данных работников Учреждения входят:

- анкета;
- автобиография;
- образование;
- сведения о трудовом и общем стаже;
- сведения о предыдущем месте работы;
- сведения о составе семьи;
- паспортные данные;
- сведения о воинском учете;
- сведения о заработной плате сотрудника;
- сведения о социальных льготах;
- специальность;
- занимаемая должность;
- размер заработной платы;
- наличие судимостей;
- адрес места жительства;
- домашний телефон;
- содержание трудового договора;
- содержание декларации, подаваемой в налоговую инспекцию;
- подлинники и копии приказов по личному составу;
- личные дела и трудовые книжки сотрудников;
- основания к приказам по личному составу;
- дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
- копии отчетов, направляемые в органы статистики;
- копии документов об образовании;
- результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;
- фотографии и иные сведения, относящиеся к персональным данным работника;
- рекомендации, характеристики;
- принадлежность лица к конкретной нации, этнической группе, расе;
- привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
- семейное положение, наличие детей, родственные связи;
- религиозные и политические убеждения (принадлежность к религиозной конфессии, членство в политической партии, участие в общественных объединениях, в том числе в профсоюзе, и др.);
- финансовое положение (доходы, долги, владение недвижимым имуществом, денежные вклады и др.);
- деловые и иные личные качества, которые носят оценочный характер;
- прочие сведения, которые могут идентифицировать человека.
Из указанного списка работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора.
3.1.2. Комплекс документов, сопровождающий процесс оформления трудовых отношений работника в Учреждение при приеме, переводе, увольнении его.
3.1.3. Информация, представляемая работником при поступлении на работу в Учреждение должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 ТК РФ лицо, поступающее на работу, предъявляет работодателю:
– паспорт или иной документ, удостоверяющий личность;
– трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства или трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
– страховое свидетельство государственного пенсионного страхования;
– документы воинского учета – для военнообязанных и лиц, подлежащих воинскому учету;
– документ об образовании, о квалификации или наличии специальных знаний – при поступлении на работу, требующую специальных знаний или специальной подготовки;
– свидетельство о присвоении ИНН (при его наличии у работника);
- иные документов, предусмотренные действующим законодательством Российской Федерации.
3.1.4. При оформлении работника в Учреждение ведущим специалистом по кадрам заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:
– общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, состав семьи, паспортные данные);
– сведения о воинском учете;
– данные о приеме на работу.
В дальнейшем в личную карточку вносятся:
– сведения о переводах на другую работу;
– сведения об аттестации;
– сведения о повышении квалификации;
– сведения о профессиональной переподготовке;
– сведения о наградах (поощрениях), почетных званиях;
– сведения об отпусках;
– сведения о социальных гарантиях;
– сведения о месте жительства и контактных телефонах.
3.1.5. Все персональные данные работника Учреждения следует получать у него самого. Если персональные данные работника, возможно, получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Должностное лицо работодателя должно сообщить работнику Учреждения о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
3.1.6. Работодатель не имеет права получать и обрабатывать персональные данные работника Учреждения о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
Обработка указанных персональных данных работников работодателем возможна только с их согласия либо без их согласия в следующих случаях:
 персональные данные являются общедоступными;
 персональные данные относятся к состоянию здоровья работника, и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия работника невозможно;
 по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом.
3.1.7. Работодатель вправе обрабатывать персональные данные работников только с их письменного согласия.
3.1.8. Письменное согласие работника на обработку своих персональных данных должно включать в себя:
 фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
 наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
 цель обработки персональных данных;
 перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
 перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
 срок, в течение которого действует согласие, а также порядок его отзыва.
Форма согласия работника на обработку персональных данных, форма отзыва согласия, а также формы согласий работника на получение персональных данных от третьих лиц и передачу персональных данных третьим лицам приведены в Приложениях №1, №2, №3 и №4 к настоящему Положению.
3.1.9. Согласие работника не требуется в следующих случаях:
– обработка персональных данных осуществляется на основании Трудового кодекса Российской Федерации или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъекты (работники, обучающиеся, контрагенты и т.д.), персональные данные которых подлежат обработке, а также определяющего полномочия работодателя;
– обработка персональных данных осуществляется в целях исполнения трудового договора;
– обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно.
– передача персональных данных в:
- в ФСС России и Пенсионный фонд России;
- в налоговые органы;
- в военные комиссариаты;
- в профсоюзные органы (в целях соблюдения трудового законодательства);
- в органы прокуратуры (при получении мотивированного запроса);
- в правоохранительные органы (при получении мотивированного запроса);
- в органы безопасности (при получении мотивированного запроса);
-государственным трудовым инспекторам при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства.
Обязанность работодателя предоставлять персональные данные во всех вышеперечисленных случаях обусловлена полномочиями соответствующих органов на получение такой информации.

3.2. Состав персональных данных обучающихся и порядок их обработки

3.2.1 В Учреждении предусмотрены следующие формы фиксации персональных данных обучающихся:
 договоры с обучающимися;
 анкеты;
 Журнал регистрации проживающих в общежитии «Энерго»;
 Журнал теоретического и производственного обучения;
 Дневники производственного обучения.
3.2.2 Персональные данные обучающегося включают в себя:
 сведения, содержащиеся в паспорте или ином документе, удостоверяющем личность;
 ИНН;
 страховой номер индивидуального лицевого счета застрахованного лица;
 фотографии;
 место работы и занимаемая должность;
 сведения о трудовом стаже;
 образование;
 информация о состоянии здоровья;
 контактные телефоны;
 сведения о текущей и итоговой успеваемости;
 достижения.
3.2.3 Все персональные данные обучающихся Учреждение получает от них самих либо от их законных представителей.
3.2.4 Обработка персональных данных обучающегося осуществляется для обеспечения законов и иных нормативных правовых актов, обеспечения образовательного процесса, обеспечения его личной безопасности.
3.2.5 Обработка персональных данных осуществляется в соответствии с действующим законодательством Российской Федерации на основании согласия обучающегося, кроме случаев, предусмотренных Федеральным законом № 152-ФЗ.
3.2.6 Обучающийся принимает решение о предоставлении его персональных данных и дает согласие на их обработку своей волей и в своем интересе.
3.2.7 Обработка персональных данных осуществляется только с согласия в письменной форме обучающегося (Приложение № 5).
3.2.8 Получение персональных данных обучающегося у третьих лиц, возможно только при уведомлении обучающегося об этом заранее и с его письменного согласия (Приложение №3).
3.2.9 Персональные данные обучающегося Учреждения обрабатываются в структурных подразделениях в соответствии с исполняемыми функциями.
3.2.10 Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия обучающегося, если иное не предусмотрено федеральным законом.
3.2.11 Уполномоченные лица, допущенные к персональным данным обучающегося Учреждения, имеют право получать только те персональные данные обучающегося, которые необходимы для выполнения конкретных функций, в соответствии с должностной инструкцией уполномоченных лиц.
3.2.12 Обработка персональных данных, осуществляемая без использования средств автоматизации, должна выполняться в соответствии с требованиями "Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.
Персональные данные при такой их обработке, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
Субъект или его законный представитель могут воспользоваться формами запросов, указанными в Приложениях №2, №6 и №7 к данному Положению.

4. Правила работы с обезличенными данными

4.1. Порядок обезличивания включает в себя замену идентифицирующей информации о субъекте (например: фамилию, имя и отчество) на произвольный код (далее – идентификатор).
4.2. Обезличивание должно проводится таким образом, чтобы определить принадлежность персональных данных конкретному субъекту персональных данных было невозможно без использования дополнительной информации.
4.3. В случае если обезличенные персональные данные используются в статистических или иных исследовательских целях, сроки обработки и хранения персональных данных устанавливаются руководством Учреждения исходя из служебной необходимости, и получение согласия субъекта на обработку его персональных данных не требуется на основании пункта 9 части 1 статьи 6 Федерального Закона № 152-ФЗ.
4.4. Если обезличенные персональные данные используются в целях продвижения товаров, работ, услуг на рынке, или в целях политической агитации, Учреждение обязано получить согласие субъекта персональных данных на подобную обработку.
4.5. Методы и способы защиты информации от несанкционированного доступа для обеспечения безопасности обезличенных персональных данных в информационных системах и целесообразность их применения определяются ответственным за организацию обработки персональных данных Учреждения индивидуально для каждой информационной системы персональных данных.

5. Доступ к персональным данным работников

5.1. Право доступа к персональным данным работников имеют:
–директор Учреждения;
– заместитель директора по учебно-производственной работе;
– ведущий специалист по кадрам;
– начальник отдела бухгалтерского и налогового учета и отчетности – главный бухгалтер;
- бухгалтер отдела бухгалтерского и налогового учёта и отчетности;
– руководители структурных подразделений по направлению деятельности (доступ к персональным данным только работников своего подразделения).
5.1.2. Процедура оформления доступа к персональным данным работника включает в себя ознакомление работника под роспись с настоящим Положением.
5.2. Работник Учреждения имеет право:
5.2.1. Получать доступ к своим персональным данным и ознакамливаться с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные работника.
5.2.2. Требовать от работодателя уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для работодателя персональных данных.
5.2.3. Получать от работодателя:
– сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
– перечень обрабатываемых персональных данных и источник их получения;
– сроки обработки персональных данных, в том числе сроки их хранения;
– сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
5.2.4. Требовать извещения работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
5.2.5. Обжаловать в уполномоченный орган по защите прав субъекты (работники, обучающиеся, контрагенты и т.д.) персональных данных или в судебном порядке неправомерные действия или бездействия работодателя при обработке и защите его персональных данных.
5.3. Копировать и делать выписки персональных данных работника разрешается исключительно в служебных целях с письменного разрешения директора Учреждения.

6. Передача персональных данных третьим лицам

6.1. При обработке персональных данных субъекта должны соблюдаться следующие требования:
1) Не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта;
2) Предупреждать лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать режим конфиденциальности в отношении этих данных.
6.2. При необходимости трансграничной передачи персональных данных на территорию иностранных государств, не обеспечивающих адекватной защиты прав субъекты (работники, обучающиеся, контрагенты и т.д.) персональных данных, Учреждение запрашивает согласие субъекта в письменной форме. Форма согласия утверждается приказом директора Учреждения. Допускается совмещение формы согласия субъекта с типовой формой документов, содержащих персональные данные субъекта (например: анкеты). Допускается совмещение формы согласия субъекта с другими формами согласий.
6.3. Список организаций обрабатывающих персональные данные субъектов:
1) ГУ - УПФР по городу-курорту Ессентуки Ставропольского края (межрайонное)
Условия передачи персональных данных: договор взаимодействия.
Местонахождение третьего лица: 357601, г. Ессентуки, ул. Вокзальная, 2
Трансграничная передача персональных данных не осуществляется.
Цели передачи персональных данных: Исполнение требований пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование.
Перечень действий, разрешенных третьему лицу: использование, уничтожение, передача (распространение, предоставление, доступ), накопление, систематизация, удаление, обезличивание, сбор, запись, уточнение (обновление, изменение), блокирование, хранение, извлечение.
Способы обработки ПДн третьим лицом: смешанная обработка персональных данных с передачей по внутренней сети и сети интернет.
2) Межрайонная ИФНС России №10 по Ставропольскому краю
Условия передачи персональных данных: договор взаимодействия.
Местонахождение третьего лица: 357600, г. Ессентуки, ул. Никольская, 3 Трансграничная передача персональных данных не осуществляется.
Цели передачи персональных данных: Исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физлиц и Расчета по страховым взносам
Перечень действий, разрешенных третьему лицу: систематизация, накопление, сбор, уничтожение, использование, извлечение, блокирование, хранение, передача (распространение, предоставление, доступ), запись, уточнение (обновление, изменение), обезличивание, удаление.
Способы обработки ПДн третьим лицом: смешанная обработка персональных данных с передачей по внутренней сети и сети интернет.
3) ПАО Сбербанк Доп.офис №5230/0765
Условия передачи персональных данных: договор.
Местонахождение третьего лица: Ессентуки, ул. Октябрьская, 458 Трансграничная передача персональных данных не осуществляется.
Цели передачи персональных данных: начисление заработной платы в рамках банковского зарплатного проекта.
Перечень действий, разрешенных третьему лицу: хранение, уточнение (обновление, изменение), использование, передача (распространение, предоставление, доступ), сбор, систематизация, накопление, блокирование, удаление, уничтожение, обезличивание, извлечение, запись.
Способы обработки ПДн третьим лицом: автоматизированная обработка персональных данных с передачей по внутренней сети и без передачи по сети интернет.
4) Дополнительный офис Ессентукский ПАО Ставропольпромстройбанк
Условия передачи персональных данных: договор.
Местонахождение третьего лица: г. Ессентуки, ул. Чкалова, 2 Трансграничная передача персональных данных не осуществляется.
Цели передачи персональных данных: перечисление заработной платы.
Перечень действий, разрешенных третьему лицу: сбор, запись, систематизация, накопление, уточнение (обновление, изменение), хранение, извлечение, передача (распространение, предоставление, доступ), использование, обезличивание, блокирование, удаление, уничтожение.
Способы обработки ПДн третьим лицом: автоматизированная обработка персональных данных с передачей по внутренней сети и сети интернет.
В случае поручения обработки персональных данных третьему лицу, ему предъявляются требования принимать необходимые организационные, технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных, в том числе: определение угроз безопасности персональных данных при их обработке в информационных системах; учёт машинных носителей персональных данных; обнаружение фактов несанкционированного доступа к персональным данным и принятием мер; контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищённости информационных систем персональных данных.
При передаче персональных данных на основе федерального закона условия передачи персональных данных устанавливаются соответствующим федеральным законом.

7. Права субъектов персональных данных

7.1. В целях обеспечения своих интересов субъекты имеют право:
1) получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);
2) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные субъекта, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ;
3) требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением Федерального закона № 152-ФЗ. Субъект при отказе Учреждения исключить или исправить персональные данные субъекта имеет право заявлять в письменной форме о своем несогласии, обосновав соответствующим образом такое несогласие. Персональные данные оценочного характера субъект имеет право дополнить заявлением, выражающим его собственную точку зрения;
4) требовать от Учреждения уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них изменениях или исключениях из них;
5) обжаловать в суд любые неправомерные действия или бездействие Учреждения при обработке и защите персональных данных субъекта.

8. Порядок обработки обращений и запросов субъектов

8.1. При обращении либо письменном запросе субъекта персональных данных или его законного представителя, на доступ к своим персональным данным Учреждение руководствуется требованиями статей 14, 18 и 20 Федерального закона № 152-ФЗ;
8.2. Доступ субъекта персональных данных или его законного представителя к своим персональным данным Учреждение предоставляет только под контролем ответственного за организацию обработки персональных Учреждения.
8.3. Обращение субъекта персональных данных или его законного представителя фиксируются в журнале учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных.
8.4. Письменный запрос субъекта персональных данных или его законного представителя фиксируются в журнале регистрации письменных запросов граждан на доступ к своим персональным данным.
8.5. Ответственный за организацию обработки персональных данных принимает решение о предоставлении доступа субъекта к персональным данным.
8.6. В случае если данных предоставленных субъектом (работником, обучающимся, контрагентом и т.д.) недостаточно для установления его личности или предоставление персональных данных нарушает конституционные права и свободы других лиц ответственный за организацию обработки персональных данных подготавливает мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона № 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо от даты получения запроса субъекта персональных данных или его законного представителя.
8.7. Для предоставления доступа субъекта персональных данных или его законного представителя к персональным данным субъекта ответственный за организацию обработки персональных данных привлекает работника (работников) структурного подразделения, обрабатывающего персональные данные субъекта по согласованию с руководителем этого структурного подразделения.
8.8. Сведения о наличии персональных данных Учреждение предоставляет субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных. Контроль предоставления сведений субъекту или его законному представителю осуществляет ответственный за организацию обработки персональных данных.
8.9. Сведения о наличии персональных данных должны быть предоставлены субъекту при ответе на запрос в течение тридцати дней от даты получения запроса субъекта персональных данных или его законного представителя.

9. Порядок действий в случае запросов надзорных органов

9.1. В соответствии с частью 4 статьи 20 Федерального закона № 152-ФЗ Учреждение сообщает в уполномоченный орган по защите прав субъектов (работники, обучающиеся, контрагенты и т.д.) персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение тридцати дней с даты получения такого запроса.
9.2. Сбор сведений для составления мотивированного ответа на запрос надзорных органов осуществляет ответственный за организацию обработки персональных данных при необходимости с привлечением работников Учреждения.
9.3. В течение установленного законодательством срока ответственный за организацию обработки персональных данных подготавливает и направляет в уполномоченный орган мотивированный ответ и другие необходимые документы.

10. Защита персональных данных субъекта

10.1. Защиту персональных данных субъектов (работники, обучающиеся, контрагенты и т.д.) от неправомерного их использования или утраты Учреждение обеспечивает за счет собственных средств, в порядке, установленном законодательством Российской Федерации.
При обработке персональных данных должны быть приняты необходимые организационные и технические меры по обеспечению их конфиденциальности.
Технические меры защиты персональных данных при их обработке техническими средствами устанавливаются в соответствии с:
1) РД ФСТЭК России - "Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных". Утверждены приказом ФСТЭК России № 21 от 18 февраля 2013 года;
2) специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К), утвержденными приказом Гостехкомиссии России от 30 августа 2002 года № 282;
3) внутренними документами Учреждения, действующими в сфере обеспечения информационной безопасности.
10.2. Защита персональных данных предусматривает ограничение к ним доступа.
10.3. Руководитель структурного подразделения Учреждения, осуществляющего обработку персональных данных:
1) несет ответственность за организацию защиты персональных данных в подчиненном структурном подразделении;
2) закрепляет за работниками, уполномоченными обрабатывать персональные данные, конкретные материальные носители, на которых допускается хранение персональных данных в случае, если такие носители необходимы для выполнения возложенных на работников функций;
3) организовывает изучение подчинёнными работниками, в чьи обязанности входит обработка персональных данных, нормативных правовых актов по защите персональных данных и требует их неукоснительного исполнения;
4) обеспечивает режим конфиденциальности в отношении персональных данных, обрабатываемых в структурном подразделении;
5) организовывает контроль доступа к персональным данным в соответствии с функциональными обязанностями работников подразделения.
10.4. Работники, допущенные к персональным данным, дают письменное обязательство о неразглашении таких данных в установленном порядке.

11. Обязанности лиц, допущенных к обработке персональных данных

Лица, допущенные к работе с персональными данными, обязаны:
1) знать законодательство Российской Федерации в области обработки и защиты персональных данных, нормативные документы Учреждения по защите персональных данных;
2) сохранять конфиденциальность персональных данных;
3) обеспечивать сохранность закрепленных за ними носителей персональных данных;
4) контролировать срок истечения действия согласий на обработку персональных данных и, при необходимости дальнейшей обработки персональных данных, обеспечивать своевременное получение новых согласий или прекращение обработки персональных данных;
5) докладывать своему непосредственному руководителю отдела (структурного подразделения) обо всех фактах и попытках несанкционированного доступа к персональным данным и других нарушениях.

12. Ответственность работника за нарушение норм, регулирующих обработку и защиту персональных данных субъектов

12.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, привлекаются к материальной, административной, уголовной и гражданско-правовой ответственности на основании судебного решения, а также к дисциплинарной ответственности.
12.2. К данным лицам могут быть применены следующие дисциплинарные взыскания:
1) замечание;
2) выговор;
3) предупреждение о неполном должностном соответствии;
4) освобождение от занимаемой должности;
5) увольнение.
12.3. За каждый дисциплинарный проступок может быть применено только одно дисциплинарное взыскание.
12.4. Копия приказа о применении к работнику дисциплинарного взыскания с указанием оснований его применения вручается работнику под расписку в течение пяти дней со дня издания приказа.
12.5. Если в течение года со дня применения дисциплинарного взыскания работник не будет подвергнут новому дисциплинарному взысканию, то он считается не имеющим дисциплинарного взыскания. Учреждение до истечения года со дня издания приказа о применении дисциплинарного взыскания, имеет право снять его с работника по собственной инициативе, по письменному заявлению работника или по ходатайству его непосредственного руководителя.

13. Формы документов

13.1. Формы: акта уничтожения документов содержащих персональные данные, акта уничтожения полей баз данных содержащих персональные данные и уведомление об уничтожении персональных данных, утверждаются приказом директора Учреждения.
13.2. Формы: журнала ознакомления работников с положениями законодательства Российской Федерации о персональных данных, журнал регистрации инцидентов информационной безопасности, журнала обращений граждан для получения доступа к своим персональным данным, журнал регистрации письменных запросов граждан на доступ к своим персональным данным, утверждаются приказом директора Учреждения.
13.3. Форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные утверждается приказом директора Учреждения.

14. Приложения
Приложение №1 - Форма согласия на обработку персональных данных работника.
Приложение №2 - Форма отзыва согласия на обработку персональных данных.
Приложение №3 - Форма согласия на получение персональных данных от третьих лиц.
Приложение №4 - Форма согласия на передачу персональных данных третьей стороне.
Приложение №5 - Форма согласия на обработку персональных данных обучающегося.
Приложение №6 - Форма запроса субъекта персональных данных на предоставление доступа к своим персональным данным.
Приложение №7 - Форма запроса субъекта персональных данных, в случае выявления недостоверных персональных данных.
Приложение №8 - Лист ознакомления работников ЧОУ ДПО «Учебный комбинат» с Положением о порядке обработки персональных данных субъектов Частного образовательного учреждения дополнительного профессионального образования «Учебный комбинат».

Просмотров: 179
p1
p2
p3
p4