Приложение к приказу МБУ «Курганский городской инновационно-методический центр»
от «16» февраля 2015г. №01-03/10
«Об утверждении Положения об обработке персональных данных»
Положение об обработке и защите персональных данных
1. Общие положения
1.1. Настоящее Положение разработано в соответствии с Конституцией РФ, Трудовым кодексом РФ, Федеральным законом РФ "О персональных данных" № 152-ФЗ от 27.07.2006 г., Федеральным законом от 29.12.2012 г. № 273-ФЭ "Об образовании в Российской Федерации», Уставом МБУ «Курганский городской инновационно - методический центр» (далее МБУ КГ ИМЦ) и иными нормативными правовыми актами, действующими на территории Российской Федерации.
1.2. Настоящее Положение определяет порядок обработки и защиты персональных данных работников и переданных МБУ КГ ИМЦ данных третьих лиц, утверждается и вводится в действие приказом директора МБУ КГ ИМЦ и является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным сотрудников и переданных МБУ КГ ИМЦ данных третьих лиц, обрабатываемых в соответствии с деятельностью учреждения.
1.3. Действие настоящего Положения распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, распространению (в том числе передачу), блокированию, удалению, уничтожению персональных данных, осуществляемых с использованием средств автоматизации и без их использования.
1.4. Персональные данные работника являются конфиденциальной информацией.
2. Понятие и состав персональных данных
2.1. Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн);
2.2. В МБУ КГ ИМЦ обрабатываются ПДн следующих субъектов ПДн:
2.2.1. работники (субъекты), состоящие в трудовых отношениях с оператором (работодателем);
2.2.2. обучающиеся в образовательных учреждениях муниципальной системы образования, проходящие государственную итоговую аттестацию (далее ГИА);
2.2.3. иные лица в процессе оформления договорных отношений и иных договоров гражданско-правового характера;
2.2.4. дети, поступающие на обследование в психолого - медико -педагогическую комиссию (далее ПМПК);
2.2.5. участники городских конкурсов, конференций, соревнований, 2 этапа всероссийской олимпиады школьников.
2.3. Категории персональных данных сотрудников:
В состав персональных данных обучающихся в образовательных учреждениях г. Кургана входят документы, содержащие следующую информацию: Фамилия, имя, отчество, дата и место рождения, Паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, код подразделения) и гражданство, наименование образовательной организации, в которой освоена образовательная программа, номер класса обучающегося, форма обучения, уровень общего образования ( начальное общее, основное общее или среднее общее образование), форма государственной итоговой аттестации, перечень учебных предметов, выбранных для сдачи государственной итоговой аттестации, отнесение обучающегося к категории лиц с ограниченными возможностями здоровья, детей-инвалидов или инвалидов, место сдачи государственной итоговой аттестации, сведения о результатах государственной итоговой аттестации.
В состав персональных данных работников образовательных учреждений города Кургана входят: фамилия, имя, отчество, реквизиты документа, удостоверяющего личность, место работы, должность, образование и квалификация, виды работ к которым работник привлекается во время проведения государственной итоговой аттестации, место и время выполнения работ, сведения о месте прохождения государственной итоговой аттестации.
В состав персональных данных иных лиц в процессе оформления договорных отношений и иных договоров гражданско-правового характера входят: фамилия, имя, отчество, реквизиты документа, удостоверяющего личность, адрес места регистрации по месту жительства или по месту пребывания, сведения о номере и серии страхового свидетельства государственного пенсионного страхования (далее - СНИЛС), сведения о постановке на учет в качестве индивидуального предпринимателя, в случае заключения договора с ИП, выписка из ЕГРИП, в случае необходимости, сведения об идентификационном номере налогоплательщика (далее - ИНН) субъекта персональных данных, доверенность, в случае осуществления деятельности от имени индивидуального предпринимателя.
В состав сведений для прохождения ПМПК входят: заявление о проведении или согласие на проведение обследования ребенка в территориальной ПМПК; копия паспорта или свидетельство о рождении ребенка (предоставляются с предъявлением оригинала или заверенной в установленном порядке к ней); направление образовательной организации, организации, осуществляющей социальное обслуживание, медицинской организации и другой организации (при наличии), заключение (заключения) психолого -медико - педагогического консилиума образовательной организации или специалиста (специалистов), осуществляющего психолого - медико - педагогическое сопровождение обучающихся в образовательной организации (для обучающихся образовательных организаций) (при наличии), заключение (заключения) комиссии о результатах ранее проведенного обследования ребенка (при наличии), подробная выписка из истории развития ребенка с заключениями врачей, наблюдающих ребенка в медицинской организации по месту жительства (регистрации), педагогическое представление или характеристика обучающегося, выданная образовательной организацией, письменные работы по русскому (родному) языку, математике, рисунки и другие результаты самостоятельной продуктивной деятельности ребенка, отражающие особенности его развития. При необходимости комиссия запрашивает у соответствующих органов и организаций или у родителей (законных представителей) дополнительную информацию о ребенке. При решении комиссии о дополнительном обследовании, оно проводится в другой день.
2.4. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.
3. Обработка и защита персональных данных
3.1. Обработка ПДн работника, обучающегося, родителя (законного представителя) - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, распространение (в том числе передачу), блокирование, удаление, уничтожение ПДн. Предусмотрена передача по внутренней локальной сети и сети Интернет.
3.2. Обработка персональных данных работника, обучающегося, родителя (законного представителя) осуществляется с целью ведения кадрового учета личных дел (содействия в трудоустройстве, обучении и продвижении по службе), организации учебно-воспитательного процесса (контроля количества и качества выполняемой работы), обеспечения личной безопасности, статистической обработки данных, научной, творческой деятельности педагогов и обучающихся, для обеспечения соблюдения законов РФ и иных нормативных правовых актов.
3.3. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных в форме, предусмотренных частью 4 ст.9 ФЗ РФ "О персональных данных" № 152-ФЗ от 27.07.2006 г, за исключением случаев, предусмотренных частью 2 ст.6 ФЗ РФ "О персональных данных" № 152-ФЗ от 27.07.2006 г. (Приложение №1,2)
3.4. При обработке персональных данных в отношении каждой категории персональных данных определяются места хранения, а также устанавливается перечень лиц, осуществляющих их обработку либо имеющих к ним доступ (как с использованием средств автоматизации, так и без них), определенным распорядительными документами и иными письменными указаниями оператора.
3.5. Все персональные данные субъекта можно получать только у него самого, за исключением случаев, предусмотренных федеральным законом. Персональные данные несовершеннолетнего обучающегося до получения им основного общего образования можно получать только у его родителей (законных представителей). Если персональные данные субъекта возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Субъект должен быть проинформирован о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.
3.6. В соответствии со ст. 24 Конституции РФ оператор (руководитель учреждения и (или) уполномоченное им лицо)'вправе осуществлять сбор, хранение, использование и распространение информации о частной жизни субъекта только с его письменного согласия, форма которого определяется ч.4 ст.9 Федерального закона «О защите персональных данных» или на основании судебного решения.
3.7. Лица, получающие персональные данные субъектов, обязаны соблюдать режим секретности
(конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.
3.8. Защита персональных данных субъектов от неправомерного их использования или утраты должна быть обеспечена работодателем в порядке, установленном Трудовым кодексом РФ, иными федеральными законами.
3.9. Работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а также осведомлены об их правах и обязанностях в этой области
3.10. Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.
3.11. В случае, если оператору оказывают услуги юридические и физические лица на основании заключенных договоров (либо иных оснований) и в силу данных договоров, они должны иметь доступ к персональным данным работников, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
3.12 Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
4. Хранение, использование и уничтожение персональных данных
4.1. Персональные данные могут храниться на бумажных и электронных носителях у оператора (руководителя образовательного учреждения и (или) уполномоченного им лица).
4.2. Доступ к электронным базам данных, содержащим персональные данные, обеспечивается системой паролей. Пароли устанавливаются оператором (руководителем учреждения и (или) уполномоченным им лицом) и сообщаются индивидуально установленным лицам, имеющим доступ к персональным данным работников и обучающихся.
4.3. Персональные данные при их неавтоматизированной обработке обособляются от иной информации, в частности путем фиксации их на отдельных материальных (бумажном или электронном) носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).
4.4. Бумажные носители персональных данных:
- трудовая книжка;
- журналы учета: трудовых книжек, листков нетрудоспособности, регистрации трудовых договоров
- личная карточка Т-2;
- личные дела;
- приказы по личному составу;
- входящая и исходящая корреспонденция военкомата, страховой компании, службы судебных приставов;
- протоколы проведения городских конкурсов, конференций, соревнований и олимпиад;
- материалы по подготовке и проведению ГИА;
- журналы учета и документы об образовании.
Персональные данные работника размещаются в личном деле, которое заполняется после издания приказа о его приеме на работу.
В процессе трудовой деятельности к документам, содержащим персональные данные работника, также будут относиться:
а)трудовой договор;
б)приказы по личному составу;
в)приказы о поощрениях и взысканиях;
г)листки нетрудоспособности;
д)карточка унифицированной формы Т-2;
ж)другие документы.
Персональные сведения о работниках организации хранятся в специально оборудованных шкафах или сейфах. Ключ от шкафов и сейфов, в которых хранятся персональные сведения о работниках организации, находится у ответственного за хранение, а при его отсутствии — у руководителя учреждения и (или) уполномоченного им лица.
4.5. Документы, находящиеся в работе, могут находиться на рабочих столах или в специальных папках только в течение рабочего дня. По окончании рабочего дня данные документы должны храниться в шкафах и сейфах.
4.6. Личные карточки уволенных работников хранятся в архиве учреждения в алфавитном порядке в течение 75 лет (ст. 339 «Перечня типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения», утвержденного Руководителем Федеральной архивной службы России 6 октября 2000 года).
4.7. Персональные данные обучающегося вносятся в региональные информационные системы.
4.8. Персональные данные обучающегося и родителей (законных представителей) вносятся в компьютеры, которые хранятся в помещении, ограничивающем доступ третьих лиц и передаются только между специально уполномоченными лицами.
4.9. При заполнении базы (листы регистрации, листы посещений и др.), содержащих персональные данные субъектов, следует учитывать:
- во-первых, что необходимость их ведения предусмотрена федеральными законами и локальными актами учреждения, содержащими сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способах фиксации и составе информации, запрашиваемой у субъектов персональных данных, перечне лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность документов, сроках обработки персональных данных;
- во-вторых, что копирование содержащейся в них информации не допускается.
4.10. Право доступа к личным данным субъектов имеют только оператор (руководитель учреждения и (или) уполномоченное им лицо) и лица, уполномоченные действующим законодательством.
4.11. Лица, обрабатывающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.
4.12. Доступ к персональным данным работников без получения специального разрешения имеют, руководитель учреждения; главный бухгалтер.
4.13. Доступ к персональным данным третьих лиц (обучающиеся и работники образовательных учреждений г. Кургана) без получения специального разрешения имеют:
руководитель учреждения;
заместители руководителя образовательного учреждения;
секретарь,
методисты,
старшие методисты,
инженеры,
заведующие отделами,
бухгалтер,
специалисты ПМПК.
4.14. По письменному запросу, на основании приказа руководителя образовательного учреждения, к персональным данным работников и обучающихся могут быть допущены иные лица, в пределах своей компетенции.
4.15. В случае, если оператору оказывают услуги юридические и физические лица на основании заключенных договоров (либо иных оснований) и в силу данных договоров, они должны иметь доступ к персональным данным работников, существенным условием договора является обязанность обеспечения. указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
4.16. Оператор (руководитель учреждения и (или) уполномоченное им лицо) при обработке персональных данных должен руководствоваться настоящим Положением и обязан использовать персональные данные работников и обучающихся лишь в целях, для которых они были предоставлены.
4.17. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, зачеркивание, стирание, сжигание). На дела временного срока хранения составляется акт об уничтожении.
5. Передача персональных данных
5.1. При передаче персональных данных субъекта работодатель должен соблюдать следующие требования:
5.1.1. Не сообщать персональные данные субъекта третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, на основании заключенных договоров, а также в случаях, установленных федеральным законом (Трудовым кодексом РФ (ст. 228 ТК РФ), иными федеральными законами).
5.1.2. Осуществлять передачу персональных данных работника в пределах одного работодателя в соответствии с настоящим Положением;
5.1.3. Разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
5.1.4. Потребителями персональных данных работников вне организации могут быть следующие государственные и негосударственные структуры:
- налоговые инспекции;
- правоохранительные органы;
- органы статистики;
- военкоматы;
- органы социального страхования;
- пенсионные фонды;
- муниципальные, региональные, федеральные органы власти и управления;
- страховые организации;
- другие.
5.1.5. Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
5.1.6. Передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом и настоящим Положением, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
6. Права субъектов по обеспечению защиты персональных данных
6.1. Работники и третьи лица чьи данные переданы оператору на обработку, имеют право на полную информацию о своих персональных данных (персональных данных своих несовершеннолетних детей до получения ими основного общего образования) и их обработке, свободный бесплатный доступ к своим персональным данным (персональным данным своих несовершеннолетних детей до получения ими основного общего образования). Работники и третьи лица чьи данные переданы оператору на обработку могут потребовать исключить или исправить неверные или неполные персональные данные, а также данные, обработанные с нарушением установленных требований.
6.2. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
7. Права и обязанности субъекта и оператора в области персональных данных
7.1. Субъект обязан предоставлять работодателю достоверные сведения о себе и своевременно сообщать ему об изменении своих персональных данных. Работодатель имеет право проверять достоверность сведений, предоставленных сотрудником сверяя предоставленные данные с имеющимися у сотрудника документами.
7.2. Для обеспечения достоверности персональных данных работники и третьи лица, чьи данные переданы оператору на обработку, обязаны предоставлять оператору (руководителю образовательного учреждения и (или) уполномоченному им лицу) сведения о себе.
7.3. В случае изменения сведений, составляющих персональные данные, необходимые для заключения трудового договора, работник обязан в течение 10 рабочих дней сообщить об этом оператору (руководителю образовательного учреждения и (или) уполномоченному им лицу).
7.4. В случае изменения сведений, составляющих персональные данные третьих лиц, которые были переданы оператору законные представители обязаны в течение месяца сообщить об этом оператору (руководителю учреждения и (или) уполномоченному им лицу).
7.5. Оператор обязан:
7.5.1. Осуществлять защиту персональных данных работника;
7.5.2. Обеспечить хранение первичной учетной документации по учету оплаты труда, по учету кадров, документы по учету использования рабочего времени и расчетов с работниками по оплате труда и др. При этом персональные данные не должны храниться дольше, чем эго оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные;
7.5.3. Заполнение документации, содержащей персональные данные работника осуществлять в соответствии с унифицированными формами первичной учетной документации;
7.5.4. По письменному заявлению работника не позднее трех дней со дня подачи этого заявления выдавать последнему копии документов, связанных с работой (копии приказа о приеме на работу, приказов о переводах на другую работу, приказа об увольнении с работы; выписки из трудовой книжки; справки о заработной плате, периоде работы у данного работодателя и другое). Копии документов, связанных с работой, должны быть заверены надлежащим образом и предоставляться работнику безвозмездно;
7.5.5. Вести учет передачи персональных данных работника третьим лицам путем ведения соответствующего журнала, отражающего сведения о поступившем запросе (кто является отправителем запроса, дата его поступления работодателю), дату ответа на запрос, какая именно информация была передана либо отметку об отказе в ее предоставлении, либо ограничиваться помещением в личное дело работника выписок, копий документов и т.п., отражающих сведения о поступившем запросе и результатах его рассмотрения;
7.6. В целях обеспечения защиты персональных данных, хранящихся у оператора, субъекты имеют право на:
7.6.1. Полную информацию об их персональных данных и обработке этих данных, в частности работник имеет право знать, кто и в каких целях использует или использовал его персональные данные;
7.6.2. Свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
7.6.3. Требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Положения. При отказе работодателя исключить или исправить персональные данные работник имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения.
8. Ответственность за нарушение настоящего положения
8.1. За нарушение порядка обработки (сбора, хранения, использования, распространения и защиты) персональных данных должностное лицо несет административную ответственность (на основании ст. 13.11 «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» Кодекса РФ об административных правонарушениях).
8.2. За нарушение правил хранения и использования персональных данных, повлекшее за собой материальный ущерб оператору, работник несет материальную ответственность (на основании ст. 238 «Материальная ответственность работника за ущерб, причиненный работодателю» и ст.241 «Пределы материальной ответственности работника» Трудового кодекса РФ).
8.3. Материальный ущерб, нанесенный работнику за счет ненадлежащего хранения и использования персональных данных, подлежит возмещению в полном объеме (ст. 235 «Материальная ответственность работодателя за ущерб, причиненный имуществу работника» Трудового кодекса РФ), а моральный — в форме и размерах, определенных трудовым договором (ст. 237 «Возмещение морального вреда, причиненного работнику» Трудового кодекса РФ).
07.06.2016, 1846 просмотров.