ПОЛОЖЕНИЕ

об обработке и защите персональных данных

 Настоящее Положение разработано на основании Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», Федерального закона от 27.07.2011 г. № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», нормативно-правовых актов Российской Федерации в области трудовых отношений и образования, нормативных и распорядительных документов Министерства общего и профессионального образования Ростовской области, Рособразования и Рособрнадзора.

I. Общие положения

1.1.Настоящее Положение имеет своей целью закрепление механизмов обеспечения прав субъекта на сохранение конфиденциальности информации о фактах, событиях и обстоятельствах его жизни. Целью и задачей образовательной организации в области защиты персональных данных является обеспечение в соответствии с законодательством Российской Федерации обработки, хранения и защиты персональных данных работников, обучающихся и выпускников, а также установление ответственности должностных лиц, имеющих доступ к персональным данным работников, обучающихся и выпускников ГБПОУ РО «ККПТ», за невыполнение требований норм, регулирующих обработку и защиту персональных данных, в т.ч. персональных данных, содержащихся в документах, полученных из других организаций, в обращениях граждан и иных субъектов персональных данных.

1.2.Настоящее Положение об обработке и защите персональных данных (далее-Положение) определяет порядок сбора, хранения, передачи и любого другого использования персональных данных работников, обучающихся в соответствии с законодательством Российской Федерации и гарантии конфиденциальности сведений о работнике предоставленных работником работодателю.

1.3.Персональные данные могут храниться в бумажном и (или) электронном виде централизованного или в соответствующих структурных подразделениях с соблюдением предусмотренных нормативно-правовыми актами Российской Федерации мер по защите персональных данных. Право на обработку персональных данных представляется работникам структурных подразделений и (или) должностным лицам. Положением об обработке и защите персональных данных, распорядительными документами и иными письменными указаниями руководителя.

1.4.Настоящее Положение вступает в силу с момента его утверждения директором и действует бессрочно, до замены его новым Положением. Все изменения в Положении вносятся приказом директора.

1.5.Все работники ГБПОУ РО «ККПТ» должны быть ознакомлены с настоящим Положением под роспись.

1.6.Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 75 лет срока хранения, или продлевается на основании заключения экспертной комиссии, если иное не определено законом.

II. Основные понятия и состав персональных данных

2.1.Оператор персональных данных (далее оператор)- государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. В рамках настоящего Положения оператором является- государственное бюджетное образовательное учреждение среднего профессионального образования Ростовской области «Красносулинский колледж промышленных технологий».

2.2.Субъект-субъект персональных данных, физическое лицо.

2.3.Работник - физическое лицо, состоящее в трудовых отношениях с оператором.

2.4.Персональные данные - любая информация, относящаяся к определенным или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в т.ч. его фамилия, имя , отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, определяемая нормативно-правовыми актами Российской Федерации в области трудовых отношений и образования, нормативными и распорядительными документами Министерства общего и профессионального образования Ростовской области, Рособразования, Рособрнадзора, Положением об обработке и защите персональных данных и приказом ГБПОУ РО «ККПТ». Получение персональных данных осуществляется в соответствии с нормативно-правовыми актами Российской Федерации в области трудовых отношений и образования, нормативными и распорядительными документами Министерства общего и профессионального образования Ростовской области, Рособразования, Рособрнадзора, Положением об обработке и защите персональных данных и приказами учреждения на основе согласия субъектов на обработку их персональных данных. Оператор не вправе требовать от субъекта персональных данных :предоставления информации о его национальности и расовой принадлежности, политических и религиозных убеждениях и о его частной жизни. Без согласия субъектов осуществляется обработка общедоступных персональных данных или содержащих только фамилии, имена и отчества, обращений и запросов организаций и физических лиц, регистрация и отправка корреспонденции почтовой связью, оформление разовых пропусков, обработка персональных данных для исполнения трудовых договоров или без использования средств автоматизации, и в иных случаях, предусмотренных законодательством Российской Федерации.

2.5.Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т.ч. передачу), обезличивание, блокирование, уничтожение персональных данных.

2.6.Распространение персональных данных- действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в т.ч. обнародование персональных данных в средствах массовой информации, размещения в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо способом.

2.7.Использование персональных данных - действия (операции) с персональными данными, совершаемые работодателем в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

2.8.Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в т.ч. их передачи.

2.9.Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Персональные данные могут храниться в бумажном и (или) электронном виде централизованно или в соответствующих структурных подразделениях с соблюдением предусмотренных нормативно правовыми актами Российской Федерации мер по защите персональных данных. Право на обработку персональных данных предоставляется работникам структурных подразделений и (или) должностным лицам, определенным Положением об обработке и защите персональных данных, распорядительными документами и иными письменными указаниями Оператора.

2.10.К персональным данным относятся:

• Сведения, содержащиеся в документе, удостоверяющих личность работника;
• Информация, содержащаяся в трудовой книжке работника;
• Информация, содержащаяся в страховом свидетельстве государственного пенсионного страхования;
• Сведения, содержащиеся в документах воинского учета для военнообязанных и лиц, подлежащих призыву на военную службу;
• Сведения об образовании, квалификации или наличии специальных знаний или подготовки;
• Информация медицинского характера, в случаях, предусмотренных законодательством;
• Сведения, содержащиеся в свидетельстве о постановке на учет физического лица в налоговом органе на территории Российской Федерации;
• Сведения о семейном положении;
• Сведения о доходах;
• Сведения о социальных льготах;
• Сведения о наличии судимости;
• Место работы или учебы членов семьи;
• Содержание трудового договора;
• Подлинники и копии приказов по личному составу;
• Подлинники и копии приказов по контингенту обучающихся;
• Основания к приказам по личному составу;
• Сведения об успеваемости и посещаемости;
• Документы, содержащие информацию по повышению квалификации и переподготовке сотрудника, его аттестация, служебное расследование;
• Сведения о награждении государственными наградами Российской Федерации, присвоение почетных, воинских и специальных званий.

III. Обработка персональных данных работника

3.1.Общие требования при обработке персональных данных.

В целях обеспечения прав и свободы человека и гражданина при обработке персональных данных обязаны соблюдать следующие требования:

3.1.1.Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения Конституции Российской Федерации, законов и иных нормативных правовых актов РФ, содействия субъектам персональных данных в трудоустройстве, продвижении по службе, обучении, контроля количества и качества выполняемой работы, обеспечения личной безопасности субъекта персональных данных и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества и имущества оператора.

3.1.2.Персональные данные не могут быть использованы в целях причинения имущественного и/или морального вреда гражданам, затруднения реализации прав и свободы граждан Российской Федерации.

3.1.3.При принятии решений, затрагивающих интересы субъекта персональных данных, нельзя основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.1.4.Работники или иные законные представители должны быть ознакомлены под расписку с документами оператора, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области.

3.1.5.Субъекты персональных данных, не являющиеся работниками, или их законные представители имеют право ознакомиться с документами оператора, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области.

3.1.6.Субъекты персональных данных не должны отказываться от своих прав на сохранение и защиту тайны.

3.2.Получение персональных данных.

3.2.1.Все персональные данные следует получать непосредственно от субъекта персональных данных. Субъект самостоятельно принимает решение о предоставлении своих персональных данных и дает письменное согласие на их обработку оператором. Форма заявления-согласия субъекта на обработку персональных данных представлена в приложении № 1 к настоящему положению.

3.2.2.В случае недееспособности либо несовершеннолетия субъекта персональных данных все персональные данные следует получать от его законных представителей. Законный представитель самостоятельно принимает решение о предоставлении персональных данных своего подопечного и дает письменное согласие на их обработку оператором. Форма заявления-согласия на обработку персональных данных подопечного представлена в приложении № 2 к настоящему положению.

3.2.3.Согласие субъекта не требуется в следующих случаях:

1. обработка персональных данных осуществляется на основании Трудового кодекса Российской Федерации или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия работодателя;
2. обработка персональных данных осуществляется в целях исполнения договора;
3. обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получение его согласия невозможно.

3.2.4.Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случаях указанных в п.3.2.2. настоящего положения согласие может быть отозвано законным представителем субъекта персональных данных. Форма отзыва согласия на обработку персональных данных представлена в приложении № 3 настоящего положения.

3.2.5.В случаях, когда оператор может получить необходимые персональные данные субъекта только у третьей стороны, субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. В уведомлении оператор обязан сообщить о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение. Согласие оформляется в письменной форме в двух экземплярах, один из которых предоставляется субъекту, второй хранится у оператора. Форма заявления-согласия субъекта на получение его персональных данных от третьей стороны представлена в приложении № 4 настоящего положения.

3.2.6.Запрещается получать и обрабатывать персональные данные субъекта о его политических, религиозных и иных убеждениях и частной жизни.

3.2.7.Запрещается получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профессиональной деятельности, за исключением случаев, предусмотренных федеральными законами.

3.2.8.В случаях, непосредственно связанных с вопросами трудовых отношениях, в соответствии со ст.24 Конституции Российской Федерации оператор вправе получать и обрабатывать данные о частной жизни субъекта только с его письменного согласия.

3.2.9.В случае увольнения, отчисления субъекта персональных данных и иного достижения целей обработки персональных данных, зафиксированных в письменном соглашении, Оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами.

3.2.10.В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники или законные представители.

3.3.Хранение и защита персональных данных.

3.3.1.Хранение персональных данных субъектов осуществляется кадровой службой, бухгалтерией, учебной частью как на бумажных носителях, так и в электронном виде.

3.3.2.Личные дела хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела хранятся в специально отведенной секции сейфа, обеспечивающего защиту от несанкционированного доступа.

3.3.3.Подразделения, хранящие персональные данные на бумажных и электронных носителях, обеспечивают их защиту от несанкционированного доступа и копирования в соответствии с Федеральным законом от 27.07.2006 г. № 152- ФЗ «О персональных данных».

3.4.Передача персональных данных.

3.4.1.При передаче персональных данных субъекта оператор обязан соблюдать следующие требования:

• не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами. Форма заявления-согласия субъекта на передачу его персональных данных третьей стороне см. в приложении № 5 настоящего положения;
• предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать требования конфиденциальности;
• не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия;
• не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения им трудовой функции;
• передавать персональные данные субъекта представителям субъектов в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функций;
• все сведения о передаче персональных данных субъекта регистрируются в журнале учета передачи персональных данных в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившим запрос, дата передачи персональных данных или дата уведомления об отказе в их представлении, а также отмечается какая именно информация была передана.

3.4.2.Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта распространяются как на бумажные, так и на электронные носители информации.

3.4.3.Внутренний доступ к персональным данным. Право доступа к персональным данным субъекта имеют:

• руководитель организации;
• сотрудники бухгалтерии;
• сотрудники кадровой службы;
• юрисконсульт;
• архивариус;
• непосредственные руководители по направлению деятельности (доступ к персональным данным сотрудников, непосредственно находящихся в его подчинении);
• заведующие отделениями (доступ к персональным данным субъектов в части их касающейся);
• классный руководитель (доступ к персональным данным учащихся своей группы в части его касающейся);
• преподаватель (доступ к информации, содержащейся в журналах тех групп, в которых он ведет занятия);
• секретарь учебной части;
• сам субъект, носитель данных.

3.4.4.Все сотрудники, имеющие доступ к персональным данным субъектов, обязаны подписать соглашение о неразглашении персональных данных. Форма соглашения о неразглашении персональных данных представлена в приложении № 6 настоящего положения.

3.5.Уничтожение персональных данных.

3.5.1.Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

3.5.2.Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

IV. Права и обязанности субъектов персональных данных и Оператора

4.1.В целях обеспечения защиты персональных данных субъекты персональных данных в соответствии с Федеральным законом Российской Федерации от 27.06.2006 г. № 252-Ф «О персональных данных» за исключением случаев, предусмотренных данным Федеральным законом, имеют право:

• получать полную информацию о своих персональных данных и обработке этих данных (в т.ч. автоматизированной);
• осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
• требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением законодательства;
• при отказе оператора или уполномоченного им лица исключить или исправить персональные данные субъекта- заявить в письменной форме о своем несогласии, представив соответствующее обоснование;
• дополнить персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;
• требовать от Оператора или уполномоченного им лица уведомление всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них изменениях или исключениях из них;
• обжаловать в суд любые неправомерные действия или бездействия Оператора, или уполномоченного им лица при обработке персональных данных субъекта.

4.2.Для защиты персональных данных субъектов Оператор обязан:

• за свой счет обеспечить защиту персональных данных субъекта от неправомерного их использования или утраты в порядке, установленном законодательством РФ;
• ознакомить работника или его представителя с настоящим положением и его правами в области защиты персональных данных под расписку;
• по запросу ознакомить субъекта персональных данных, не являющегося работником, или в случае недееспособности либо несовершеннолетия субъекта, его законных представителей с настоящим положением и его правами в области защиты персональных данных;
• осуществлять передачу персональных данных субъекта только в соответствии с настоящим Положением и законодательством Российской Федерации;
• предоставлять персональные данные субъекта только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей в соответствии с настоящим положением и законодательством Российской Федерации;
• обеспечить субъекту свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством;
• по требованию субъекта или его законного представителя предоставить ему полную информацию о его персональных данных и обработке этих данных.

4.3.Субъект персональных данных или его законный представитель обязуется предоставлять персональные данные, соответствующие действительности.

V. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

5.1.Руководитель, за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника, несет административную и уголовную ответственность в порядке установленном федеральными законами РФ

5.2.Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, содержащему персональные данные, несет персональную ответственность за данное разрешение.

5.3.Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

Согласовано:

Главный бухгалтер                                                             А.С.Дементьева

Cпециалист по кадровой работе                                       Н.В.Загриценко