Цветовая схема:
C C C C
Шрифт
Arial Times New Roman
Размер шрифта
A A A
Кернинг
1 2 3
Изображения:
  • 636785, г.Стрежевой, ул. Ермакова, д. 45
  • +7 (38259) 5-24-74
  • dshi@admstrj.tomsk.ru

Сведения об организации

Работа с персональными данными

Положение о защите, хранении, обработке и передаче персональных данных работников и обучающихся

 

1. Общие положения

 

1.1. Настоящее Положение разработано в соответствии с положениями Конституции Российской Федерации, Трудового кодекса РФ, Федерального закона от 27.07.2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федерального закона от 27.07.2006 года № 152-ФЗ "О персональных данных" (далее - Федеральный закон) и других определяющих случаи и особенности обработки персональных данных федеральных законов.

1.2. Целью настоящего Положения является защита персональных данных, относящихся к личности и частной жизни работников и обучающихся (субъектов персональных данных) в муниципальном бюджетном учреждении дополнительного образования «Детская школа искусств» городского округа Стрежевой (далее - образовательная организация) от несанкционированного доступа, неправомерного их использования или утраты.

1.3. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

1.4. Персональные данные субъекта являются конфиденциальной информацией и не могут быть использованы оператором или любым другим лицом в личных целях. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

1.5. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

 

2. Принципы и условия обработки персональных данных

 

2.1. Обработка персональных данных должна осуществляться на законной и справедливой основе и ограничиваться достижением конкретных, заранее определенных и законных целей.

2.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

2.3. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

2.4. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом.

2.5. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

 

3. Хранение, обработка и передача персональных данных работника и обучающегося

 

3.1. Обработка персональных данных работника осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работнику в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работника, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

3.2. Персональные данные работника хранятся в отделе кадрового и правового обеспечения, в сейфе на бумажных носителях: трудовая книжка, личная карточка и на электронных носителях с ограниченным доступом.

Право доступа к персональным данным работника имеют:

- руководитель организации;

- начальник отдела кадрового и правового обеспечения;

- сотрудники отдела кадрового и правового обеспечения.

3.3. Сотрудники отдела кадрового и правового обеспечения вправе передавать персональные данные работника в бухгалтерию организации в случаях, установленных законодательством, необходимых для исполнения обязанностей работников бухгалтерии.

3.4. Руководитель организации может передавать персональные данные работника третьим лицам, только если это необходимо в целях предупреждения угрозы жизни и здоровья Работника, а также в случаях, установленных законодательством.

3.5. При передаче персональных данных Работника Руководитель организации предупреждают лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требуют от этих лиц письменное подтверждение соблюдения этого условия.

3.6. Все персональные данные несовершеннолетнего обучающегося (воспитанника) в возрасте до 14 лет (малолетнего) предоставляются его родителями (законными представителями).

Если персональные данные обучающегося (воспитанника) возможно получить только у третьей стороны, то родители (законные представители) обучающегося (воспитанника) должны быть уведомлены об этом заранее и от них должно быть получено письменное согласие. Родители (законные представители) обучающегося (воспитанника) должны быть проинформированы о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.

3.7. Персональные данные несовершеннолетнего обучающегося (воспитанника) в возрасте старше 14 лет могут быть предоставлены самим обучающимся с письменного согласия своих законных представителей - родителей, усыновителей или попечителя. Если персональные данные обучающегося (воспитанника) возможно получить только у третьей стороны, то обучающийся (воспитанник) должен быть уведомлен об этом заранее и от него и (или) его родителей (законных представителей) должно быть получено письменное согласие. Обучающийся (воспитанник) и (или) его родители (законные представители) должны быть проинформированы о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.

3.8. Все сведения о передаче персональных данных субъектов учитываются для контроля правомерности использования данной информации лицами, ее получившими.

3.9. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается только в случаях, если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных или персональные данные сделаны общедоступными самим субъектом персональных данных.

 

4. Требования к помещениям, в которых производится обработка персональных данных

 

4.1. Размещение оборудования информационных систем персональных данных и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

4.2. Помещения, в которых располагаются технические средства информационных систем персональных данных или хранятся носители персональных данных, должны соответствовать требованиям пожарной безопасности, установленным действующим законодательством Российской Федерации.

 

5. Обязанности оператора по хранению и защите персональных данных

 

5.1. Образовательная организация обязана за свой счет обеспечить защиту персональных данных работников и обучающихся от неправомерного их использования или утраты в порядке, установленном законодательством РФ.

5.2. Образовательная организация обязана принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Образовательная организация самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам могут, в частности, относиться:

1) назначение ответственного за организацию обработки персональных данных;

2) издание документов, определяющих политику образовательной организации в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике образовательной организации в отношении обработки персональных данных, ее локальным нормативным актам;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом;

6) ознакомление работников образовательной организации, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику образовательной организации в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

5.3. Работники и обучающиеся и (или) их родители (законные представители) должны быть ознакомлены с настоящим Положением и их правами в области защиты персональных данных под расписку.

5.4. Образовательная организация обязана осуществлять передачу персональных данных работников и обучающихся только в соответствии с настоящим Положением и законодательством РФ.

5.5. Образовательная организация обязана предоставлять персональные данные работников и обучающихся только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей, в соответствии с настоящим Положением и законодательством РФ.

5.6. Образовательная организация не вправе предоставлять персональные данные работников и обучающихся в коммерческих целях без их письменного согласия.

5.7. Образовательная организация обязана обеспечить работникам и обучающимся свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных законодательством.

5.8. Образовательная организация обязана по требованию субъекта предоставить ему полную информацию о его персональных данных и обработке этих данных.

 

6. Права работника и обучающегося на защиту его персональных данных

 

6.1. Субъекты в целях обеспечения защиты своих персональных данных, хранящихся в образовательной организации, имеют право:

- получать полную информацию о своих персональных данных, их обработке, хранении и передаче;

- определять своих представителей для защиты своих персональных данных;

- требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушениями настоящего Положения и законодательства РФ.

При отказе образовательной организации исключить или исправить его персональные данные субъект вправе заявить в письменном виде о своем несогласии с соответствующим обоснованием;

- требовать от образовательной организации извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях.

6.2. Если субъект считает, что образовательная организация осуществляет обработку его персональных данных с нарушением требований Федерального закона или иным образом нарушает его права и свободы, субъект вправе обжаловать действия или бездействие Работодателя в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

 

7. Порядок уничтожения, блокирования персональных данных

 

7.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных образовательная организация обязана осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту, с момента такого обращения на период проверки.

7.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных образовательная организация обязана осуществить блокирование персональных данных, относящихся к этому субъекту, с момента такого обращения на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта или третьих лиц.

7.3. В случае подтверждения факта неточности персональных данных образовательная организация на основании сведений, представленных субъектом персональных данных, или иных необходимых документов обязана уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

7.4. В случае выявления неправомерной обработки персональных данных, осуществляемой образовательной организацией, образовательная организация в срок, не превышающий трех рабочих дней с даты этого выявления, обязана прекратить неправомерную обработку персональных данных.

7.5. В случае если обеспечить правомерность обработки персональных данных невозможно, образовательная организация в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязана уничтожить такие персональные данные.

7.6. Об устранении допущенных нарушений или об уничтожении персональных данных образовательная организация обязана уведомить субъекта персональных данных.

7.7. В случае достижения цели обработки персональных данных образовательная организация обязана прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого является субъект персональных данных.

7.8. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных образовательная организация обязана прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого является субъект персональных данных.

7.9. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 7.4-7.8 настоящего Положения, образовательная организация осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

 

8. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника

 

8.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Трудовым кодексом РФ и иными Федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

8.2. Моральный вред, причиненный субъекту вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом убытков.

 

9. Заключительные положения

 

9.1. Настоящее Положение вступает в силу с момента его утверждения.

9.2. Работодатель обеспечивает неограниченный доступ к настоящему документу.

9.3. Настоящее Положение доводится до сведения всех работников, обучающихся и их родителей (законных представителей) персонально под роспись.