МИНИСТЕРСТВО ОБЩЕГО И ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ РОСТОВСКОЙ ОБЛАСТИ   ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ПРОФЕССИОНАЛЬНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ РОСТОВСКОЙ ОБЛАСТИ «Красносулинский колледж промышленных технологий»

 

 

 

 

 

ПОЛОЖЕНИЕ

об обработке и защите персональных данных

 

 Настоящее Положение разработано на основании Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», Федерального закона от 27.07.2011 г. № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», нормативно-правовых актов Российской Федерации в области трудовых отношений и образования, нормативных и распорядительных документов Министерства общего и профессионального образования Ростовской области, Рособразования и Рособрнадзора.

 

I. Общие положения

1.1.Настоящее Положение имеет своей целью закрепление механизмов обеспечения прав субъекта на сохранение конфиденциальности информации о фактах, событиях и обстоятельствах его жизни. Целью и задачей образовательной организации в области защиты персональных данных является обеспечение в соответствии с законодательством Российской Федерации обработки, хранения и защиты персональных данных работников, обучающихся и выпускников, а также установление ответственности должностных лиц, имеющих доступ к персональным данным работников, обучающихся и выпускников ГБПОУ РО «ККПТ», за невыполнение требований норм, регулирующих обработку и защиту персональных данных, в т.ч. персональных данных, содержащихся в документах, полученных из других организаций, в обращениях граждан и иных субъектов персональных данных.

1.2.Настоящее Положение об обработке и защите персональных данных (далее-Положение) определяет порядок сбора, хранения, передачи и любого другого использования персональных данных работников, обучающихся в соответствии с законодательством Российской Федерации и гарантии конфиденциальности сведений о работнике предоставленных работником работодателю.

1.3.Персональные данные могут храниться в бумажном и (или) электронном виде централизованного или в соответствующих структурных подразделениях с соблюдением предусмотренных нормативно-правовыми актами Российской Федерации мер по защите персональных данных. Право на обработку персональных данных представляется работникам структурных подразделений и (или) должностным лицам. Положением об обработке и защите персональных данных, распорядительными документами и иными письменными указаниями руководителя.

1.4.Настоящее Положение вступает в силу с момента его утверждения директором и действует бессрочно, до замены его новым Положением. Все изменения в Положении вносятся приказом директора.

1.5.Все работники ГБПОУ РО «ККПТ» должны быть ознакомлены с настоящим Положением под роспись.

1.6.Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 75 лет срока хранения, или продлевается на основании заключения экспертной комиссии, если иное не определено законом.

II. Основные понятия и состав персональных данных

2.1.Оператор персональных данных (далее оператор)- государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. В рамках настоящего Положения оператором является - государственное бюджетное образовательное учреждение среднего профессионального образования Ростовской области «Красносулинский колледж промышленных технологий».

2.2.Субъект-субъект персональных данных, физическое лицо.

2.3.Работник - физическое лицо, состоящее в трудовых отношениях с оператором.

2.4.Персональные данные - любая информация, относящаяся к определенным или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в т.ч. его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, определяемая нормативно-правовыми актами Российской Федерации в области трудовых отношений и образования, нормативными и распорядительными документами Министерства общего и профессионального образования Ростовской области, Рособрнадзора, Положением об обработке и защите персональных данных и приказом ГБПОУ РО «ККПТ». Получение персональных данных осуществляется в соответствии с нормативно-правовыми актами Российской Федерации в области трудовых отношений и образования, нормативными и распорядительными документами Министерства общего и профессионального образования Ростовской области, Рособрнадзора, Положением об обработке и защите персональных данных и приказами учреждения на основе согласия субъектов на обработку их персональных данных. Оператор не вправе требовать от субъекта персональных данных: предоставления информации о его национальности и расовой принадлежности, политических и религиозных убеждениях и о его частной жизни. Без согласия субъектов осуществляется обработка общедоступных персональных данных или содержащих только фамилии, имена и отчества, обращений и запросов организаций и физических лиц, регистрация и отправка корреспонденции почтовой связью, оформление разовых пропусков, обработка персональных данных для исполнения трудовых договоров или без использования средств автоматизации, и в иных случаях, предусмотренных законодательством Российской Федерации.

2.5.Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т.ч. передачу), обезличивание, блокирование, уничтожение персональных данных.

2.6.Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в т.ч. обнародование персональных данных в средствах массовой информации, размещения в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо способом.

2.7.Использование персональных данных - действия (операции) с персональными данными, совершаемые работодателем в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

2.8.Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в т.ч. их передачи.

 

2.9.Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Персональные данные могут храниться в бумажном и (или) электронном виде централизованно или в соответствующих структурных подразделениях с соблюдением предусмотренных нормативно правовыми актами Российской Федерации мер по защите персональных данных. Право на обработку персональных данных предоставляется работникам структурных подразделений и (или) должностным лицам, определенным Положением об обработке и защите персональных данных, распорядительными документами и иными письменными указаниями Оператора.

2.10.К персональным данным относятся:

• Сведения, содержащиеся в документе, удостоверяющих личность работника;
• Информация, содержащаяся в трудовой книжке работника;
• Информация, содержащаяся в страховом свидетельстве государственного пенсионного страхования;
• Сведения, содержащиеся в документах воинского учета для военнообязанных и лиц, подлежащих призыву на военную службу;
• Сведения об образовании, квалификации или наличии специальных знаний или подготовки;
• Информация медицинского характера, в случаях, предусмотренных законодательством;
• Сведения, содержащиеся в свидетельстве о постановке на учет физического лица в налоговом органе на территории Российской Федерации;
• Сведения о семейном положении;
• Сведения о доходах;
• Сведения о социальных льготах;
• Сведения о наличии судимости;
• Место работы или учебы членов семьи;
• Содержание трудового договора;
• Подлинники и копии приказов по личному составу;
• Подлинники и копии приказов по контингенту обучающихся;
• Основания к приказам по личному составу;
• Сведения об успеваемости и посещаемости;
• Документы, содержащие информацию по повышению квалификации и переподготовке сотрудника, его аттестация, служебное расследование;
• Сведения о награждении государственными наградами Российской Федерации, присвоение почетных, воинских и специальных званий.

 

III. Обработка персональных данных работника

3.1.Общие требования при обработке персональных данных.

В целях обеспечения прав и свободы человека и гражданина при обработке персональных данных обязаны соблюдать следующие требования:

3.1.1.Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения Конституции Российской Федерации, законов и иных нормативных правовых актов РФ, содействия субъектам персональных данных в трудоустройстве, продвижении по службе, обучении, контроля количества и качества выполняемой работы, обеспечения личной безопасности субъекта персональных данных и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества и имущества оператора.

3.1.2.Персональные данные не могут быть использованы в целях причинения имущественного и/или морального вреда гражданам, затруднения реализации прав и свободы граждан Российской Федерации.

3.1.3.При принятии решений, затрагивающих интересы субъекта персональных данных, нельзя основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.1.4.Работники или иные законные представители должны быть ознакомлены под расписку с документами оператора, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области.

3.1.5.Субъекты персональных данных, не являющиеся работниками, или их законные представители имеют право ознакомиться с документами оператора, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области.

3.1.6.Субъекты персональных данных не должны отказываться от своих прав на сохранение и защиту тайны.

3.2.Получение персональных данных.

3.2.1.Все персональные данные следует получать непосредственно от субъекта персональных данных. Субъект самостоятельно принимает решение о предоставлении своих персональных данных и дает письменное согласие на их обработку оператором. Форма заявления-согласия субъекта на обработку персональных данных представлена в приложении № 1 к настоящему положению.

3.2.2.В случае недееспособности либо несовершеннолетия субъекта персональных данных все персональные данные следует получать от его законных представителей. Законный представитель самостоятельно принимает решение о предоставлении персональных данных своего подопечного и дает письменное согласие на их обработку оператором. Форма заявления-согласия на обработку персональных данных подопечного представлена в приложении № 2 к настоящему положению.

3.2.3.Согласие субъекта не требуется в следующих случаях:

1. обработка персональных данных осуществляется на основании Трудового кодекса Российской Федерации или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия работодателя;
2. обработка персональных данных осуществляется в целях исполнения договора;
3. обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получение его согласия невозможно.

3.2.4. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случаях указанных в п.3.2.2. настоящего положения согласие может быть отозвано законным представителем субъекта персональных данных. Форма отзыва согласия на обработку персональных данных представлена в приложении № 3 настоящего положения.

3.2.5. В случаях, когда оператор может получить необходимые персональные данные субъекта только у третьей стороны, субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. В уведомлении оператор обязан сообщить о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение. Согласие оформляется в письменной форме в двух экземплярах, один из которых предоставляется субъекту, второй хранится у оператора. Форма заявления-согласия субъекта на получение его персональных данных от третьей стороны представлена в приложении № 4 настоящего положения.

3.2.6.Запрещается получать и обрабатывать персональные данные субъекта о его политических, религиозных и иных убеждениях и частной жизни.

3.2.7.Запрещается получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профессиональной деятельности, за исключением случаев, предусмотренных федеральными законами.

3.2.8.В случаях, непосредственно связанных с вопросами трудовых отношениях, в соответствии со ст.24 Конституции Российской Федерации оператор вправе получать и обрабатывать данные о частной жизни субъекта только с его письменного согласия.

3.2.9.В случае увольнения, отчисления субъекта персональных данных и иного достижения целей обработки персональных данных, зафиксированных в письменном соглашении, Оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами.

3.2.10.В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники или законные представители.

3.3.Хранение и защита персональных данных.

3.3.1.Хранение персональных данных субъектов осуществляется кадровой службой, бухгалтерией, учебной частью как на бумажных носителях, так и в электронном виде.

3.3.2.Личные дела хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела хранятся в специально отведенной секции сейфа, обеспечивающего защиту от несанкционированного доступа.

3.3.3.Подразделения, хранящие персональные данные на бумажных и электронных носителях, обеспечивают их защиту от несанкционированного доступа и копирования в соответствии с Федеральным законом от 27.07.2006 г. № 152- ФЗ «О персональных данных».

3.4.Передача персональных данных.

3.4.1.При передаче персональных данных субъекта оператор обязан соблюдать следующие требования:

• не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами. Форма заявления-согласия субъекта на передачу его персональных данных третьей стороне см. в приложении № 5 настоящего положения;
• предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать требования конфиденциальности;
• не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия;
• не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения им трудовой функции;
• передавать персональные данные субъекта представителям субъектов в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функций;
• все сведения о передаче персональных данных субъекта регистрируются в журнале учета передачи персональных данных в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившим запрос, дата передачи персональных данных или дата уведомления об отказе в их представлении, а также отмечается какая именно информация была передана.

3.4.2.Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта распространяются как на бумажные, так и на электронные носители информации.

3.4.3.Внутренний доступ к персональным данным. Право доступа к персональным данным субъекта имеют:

• руководитель организации;
• сотрудники бухгалтерии;
• сотрудники кадровой службы;
• юрисконсульт;
• архивариус;
• непосредственные руководители по направлению деятельности (доступ к персональным данным сотрудников, непосредственно находящихся в его подчинении);
• заведующие отделениями (доступ к персональным данным субъектов в части их касающейся);
• классный руководитель (доступ к персональным данным учащихся своей группы в части его касающейся);
• преподаватель (доступ к информации, содержащейся в журналах тех групп, в которых он ведет занятия);
• секретарь учебной части;
• сам субъект, носитель данных.

3.4.4.Все сотрудники, имеющие доступ к персональным данным субъектов, обязаны подписать соглашение о неразглашении персональных данных. Форма соглашения о неразглашении персональных данных представлена в приложении № 6 настоящего положения.

3.5.Уничтожение персональных данных.

3.5.1.Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

3.5.2.Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

 

 

 

IV. Права и обязанности субъектов персональных данных и Оператора

4.1. В целях обеспечения защиты персональных данных субъекты персональных данных в соответствии с Федеральным законом Российской Федерации от 27.06.2006 г. № 252-Ф «О персональных данных» за исключением случаев, предусмотренных данным Федеральным законом, имеют право:

• получать полную информацию о своих персональных данных и обработке этих данных (в т.ч. автоматизированной);
• осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
• требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением законодательства;
• при отказе оператора или уполномоченного им лица исключить или исправить персональные данные субъекта - заявить в письменной форме о своем несогласии, представив соответствующее обоснование;
• дополнить персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;
• требовать от Оператора или уполномоченного им лица уведомление всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них изменениях или исключениях из них;
• обжаловать в суд любые неправомерные действия или бездействия Оператора, или уполномоченного им лица при обработке персональных данных субъекта.

4.2.Для защиты персональных данных субъектов Оператор обязан:

• за свой счет обеспечить защиту персональных данных субъекта от неправомерного их использования или утраты в порядке, установленном законодательством РФ;
• ознакомить работника или его представителя с настоящим положением и его правами в области защиты персональных данных под расписку;
• по запросу ознакомить субъекта персональных данных, не являющегося работником, или в случае недееспособности либо несовершеннолетия субъекта, его законных представителей с настоящим положением и его правами в области защиты персональных данных;
• осуществлять передачу персональных данных субъекта только в соответствии с настоящим Положением и законодательством Российской Федерации;
• предоставлять персональные данные субъекта только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей в соответствии с настоящим положением и законодательством Российской Федерации;
• обеспечить субъекту свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством;
• по требованию субъекта или его законного представителя предоставить ему полную информацию о его персональных данных и обработке этих данных.

4.3.Субъект персональных данных или его законный представитель обязуется предоставлять персональные данные, соответствующие действительности.

V. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

5.1. Руководитель, за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника, несет административную и уголовную ответственность в порядке установленном федеральными законами РФ

5.2. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, содержащему персональные данные, несет персональную ответственность за данное разрешение.

5.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

 

 

Согласовано:

Главный бухгалтер                                                             А. С. Дементьева

Cпециалист по кадровой работе                                       Н. В. Загриценко