Положение о защите, хранении, обработке и передаче персональных данных работников и обучающихся образовательной организации

Положение о защите, хранении, обработке и передаче персональных данных работников и обучающихся образовательной организации

Муниципальное казенное образовательное учреждение  дополнительного образования «Центр военно-патриотического воспитания, туризма и экскурсий» города-курорта Кисловодска (МКОУ ДО «ЦЕНТУР»)

]

Утверждаю

Приказ N ______ от «___»_______2017 года
Директор_______________Мерзеликин С.П.

«___»___________________2017 год

М. П.

1. Общие положения

1.1. Настоящее Положение разработано в соответствии с положениями Конституции Российской Федерации, Трудового кодекса РФ, Федерального закона «Об информации, информационных технологиях и о защите информации» N 149-ФЗ от 27.07.2006 года, Федерального закона «О персональных данных» N 152-ФЗ от 27.07.2006 года (далее — Федеральный закон) и других определяющих случаи и особенности обработки персональных данных федеральных законов.

1.2. Целью настоящего Положения является защита персональных данных, относящихся к личности и частной жизни работников и обучающихся (субъектов персональных данных) в Муниципальном казенном образовательном учреждении  дополнительного образования «Центр военно-патриотического воспитания, туризма и экскурсий» города-курорта Кисловодска (далее – образовательная организация) от несанкционированного доступа, неправомерного их использования или утраты.

1.3. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Под персональными данными работника понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность и содержащиеся в личном деле работника либо подлежащие включению в его личное дело в соответствии с настоящим положением.

1.4. Персональные данные субъекта являются конфиденциальной информацией и не могут быть использованы оператором или любым другим лицом в личных целях. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

1.5. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2. Принципы и условия обработки персональных данных

2.1. Обработка персональных данных должна осуществляться на законной и справедливой основе и ограничиваться достижением конкретных, заранее определенных и законных целей.

2.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

2.3. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

2.4. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом.

2.5. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

3. Хранение, обработка и передача персональных данных работника и обучающегося

3.1. Обработка персональных данных работника осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работнику в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работника, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

3.2. Персональные данные работника хранятся кадровой службой, в сейфе на бумажных носителях: трудовая книжка, личное дело (личная карточка и т.д.) и на электронных носителях с ограниченным доступом.

Право доступа к персональным данным работника имеют:

  • директор организации;
  • инспектор по кадрам организации

3.3. К личному делу работника образовательной организации приобщаются:

а) письменное заявление с просьбой о поступлении на работу;

б) собственноручно заполненная и подписанная гражданином Российской Федерации анкета установленной формы с приложением фотографии;

в) документы о прохождении конкурса на замещение вакантной должности гражданской службы (если гражданин назначен на должность по результатам конкурса);

г) копия паспорта и копии свидетельств о государственной регистрации актов гражданского состояния;

д) копия трудовой книжки или документа, подтверждающего прохождение военной или иной службы;

е) копии документов о профессиональном образовании, профессиональной переподготовке, повышения квалификации, стажировке, присвоении ученой степени, ученого звания (если таковые имеются);

з) копии распорядительных документов о принятии на работу, назначении на должность;

и) экземпляр трудовой договор, а также экземпляры письменных дополнительных соглашений, которыми оформляются изменения и дополнения, внесенные в трудовой договор;

к) копии приказа работодателя о переводе на иную должность, о временном замещении им иной должности;

л) копии документов воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);

м) копии распорядительных документов о переводе на иную должность, временном замещении, о прекращении трудового договора;

н) аттестационный лист, прошедшего аттестацию, и отзыв об исполнении им должностных обязанностей за аттестационный период;

р) копии документов о включении в кадровый резерв, а также об исключении его из кадрового резерва;

с) копии документов о поощрении, а также о наложении на него дисциплинарного взыскания до его снятия или отмены;

т) копии документов о начале служебной проверки, ее результатах, об отстранении от замещаемой должности;

у) документы, связанные с оформлением допуска к сведениям, составляющим государственную или иную охраняемую законом тайну, если исполнение обязанностей по замещаемой должности связано с использованием таких сведений;

ф) сведения о доходах, имуществе и обязательствах имущественного характера если это предусмотрено законом;

х) копия страхового свидетельства обязательного пенсионного страхования;

ц) копия свидетельства о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации;

ч) копия страхового медицинского полиса обязательного медицинского страхования граждан;

3.4. В личное дело вносятся также письменные объяснения если такие объяснения даны им после ознакомления с документами своего личного дела.

К личному делу приобщаются иные документы, предусмотренные федеральными законами и иными нормативными правовыми актами Российской Федерации.

3.5. Документы, приобщенные к личному делу, брошюруются, страницы нумеруются, к личному делу прилагается опись.

3.6. В обязанности кадровой службы, осуществляющей ведение личных дел, входит:

а) приобщение документов, указанных в пунктах 3.3 и 3.4 настоящего Положения, к личным делам гражданских служащих;

б) обеспечение сохранности личных дел;

в) обеспечение конфиденциальности сведений, содержащихся в личных делах, в соответствии с Федеральным законом, другими федеральными законами, иными нормативными правовыми актами Российской Федерации, а также в соответствии с настоящим Положением;

г) ознакомление работника с документами своего личного дела по просьбе работника и во всех иных случаях, предусмотренных законодательством Российской Федерации.

3.7. Личные дела, уволенных работников, хранятся кадровой службой в течение 3-х лет со дня увольнения, после чего передаются в архив.

3.8. Инспектор по кадрам вправе передавать персональные данные работника в бухгалтерию организации в случаях, установленных законодательством, необходимых для исполнения обязанностей работников бухгалтерии.

3.9. Директор образовательной организации может передавать персональные данные работника третьим лицам, только если это необходимо в целях предупреждения угрозы жизни и здоровья Работника, а также в случаях, установленных законодательством.

3.10. При передаче персональных данных Работника инспектор по кадрам и директор образовательной организации предупреждают лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требуют от этих лиц письменное подтверждение соблюдения этого условия.

3.11. Все персональные данные несовершеннолетнего обучающегося (воспитанника) в возрасте до 14 лет (малолетнего) предоставляются его родителями (законными представителями).

Если персональные данные обучающегося (воспитанника) возможно получить только у третьей стороны, то родители (законные представители) обучающегося (воспитанника) должны быть уведомлены об этом заранее и от них должно быть получено письменное согласие. Родители (законные представители) обучающегося (воспитанника) должны быть проинформированы о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.

3.12. Персональные данные несовершеннолетнего обучающегося (воспитанника) в возрасте старше 14 лет могут быть предоставлены самим обучающимся с письменного согласия своих законных представителей — родителей, усыновителей или попечителя. Если персональные данные обучающегося (воспитанника) возможно получить только у третьей стороны, то обучающийся (воспитанник) должен быть уведомлен об этом заранее и от него и (или) его родителей (законных представителей) должно быть получено письменное согласие. Обучающийся (воспитанник) и (или) его родители (законные представители) должны быть проинформированы о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.

3.13. Все сведения о передаче персональных данных субъектов учитываются для контроля правомерности использования данной информации лицами, ее получившими.

3.14. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается только в случаях, если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных или персональные данные сделаны общедоступными самим субъектом персональных данных.

4. Обязанности оператора по хранению и защите персональных данных

4.1. Образовательная организация обязана за свой счет обеспечить защиту персональных данных работников и обучающихся от неправомерного их использования или утраты в порядке, установленном законодательством РФ.

4.2. Образовательная организация обязана принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Образовательная организация самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам могут, в частности, относиться:

1) назначение ответственного за организацию обработки персональных данных;

2) издание документов, определяющих политику образовательной организации в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике образовательной организации в отношении обработки персональных данных, ее локальным нормативным актам;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом;

6) ознакомление работников образовательной организации, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику образовательной организации в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

4.3. Работники и обучающиеся и (или) их родители (законные представители) должны быть ознакомлены с настоящим Положением

4.4. Образовательная организация обязана осуществлять передачу персональных данных работников и обучающихся только в соответствии с настоящим Положением и законодательством РФ.

4.5. Образовательная организация обязана предоставлять персональные данные работников и обучающихся только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей, в соответствии с настоящим Положением и законодательством РФ.

4.6. Образовательная организация не вправе предоставлять персональные данные работников и обучающихся в коммерческих целях без их письменного согласия.

4.7. Образовательная организация обязана обеспечить работникам и обучающимся свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных законодательством.

4.8. Образовательная организация обязана по требованию субъекта предоставить ему полную информацию о его персональных данных и обработке этих данных.

4.9. Образовательная организация обязана знакомить работника с записями в личной карточке Т-2.

5. Права работника и обучающегося на защиту его персональных данных

5.1. Субъекты в целях обеспечения защиты своих персональных данных, хранящихся в образовательной организации, имеют право:

  • получать полную информацию о своих персональных данных, их обработке, хранении и передаче;
  • определять своих представителей для защиты своих персональных данных;

  • требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушениями настоящего Положения и законодательства РФ.

  • При отказе образовательной организации исключить или исправить его персональные данные субъект вправе заявить в письменном виде о своем несогласии с соответствующим обоснованием;

    • требовать от образовательной организации извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях.

    5.2. Если субъект считает, что образовательная организация осуществляет обработку его персональных данных с нарушением требований Федерального закона или иным образом нарушает его права и свободы, субъект вправе обжаловать действия или бездействие Работодателя в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

    6. Порядок уничтожения, блокирования персональных данных

    6.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных образовательная организация обязана осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту, с момента такого обращения на период проверки.

    6.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных образовательная организация обязана осуществить блокирование персональных данных, относящихся к этому субъекту, с момента такого обращения на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта или третьих лиц.

    6.3. В случае подтверждения факта неточности персональных данных образовательная организация на основании сведений, представленных субъектом персональных данных, или иных необходимых документов обязана уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

    6.4. В случае выявления неправомерной обработки персональных данных, осуществляемой образовательной организацией, образовательная организация в срок, не превышающий трех рабочих дней с даты этого выявления, обязана прекратить неправомерную обработку персональных данных.

    6.5. В случае если обеспечить правомерность обработки персональных данных невозможно, образовательная организация в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязана уничтожить такие персональные данные.

    6.6. Об устранении допущенных нарушений или об уничтожении персональных данных образовательная организация обязана уведомить субъекта персональных данных.

    6.7. В случае достижения цели обработки персональных данных образовательная организация обязана прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого является субъект персональных данных.

    6.8. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных образовательная организация обязана прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого является субъект персональных данных.

    6.9. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 6.4-6.8 настоящего Положения, образовательная организация осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

    7. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника

    7.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Трудовым кодексом РФ и иными Федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

    7.2. Все что не учтено в настоящем Положении, применяется в соответствии с нормами действующего законодательства.

    8. Заключительные положения

    8.1. Настоящее Положение вступает в силу с момента его утверждения.

    8.2. Работодатель обеспечивает неограниченный доступ к настоящему документу.

    8.3. Настоящее Положение доводится до сведения всех работников, обучающихся и их родителей (законных представителей).