ПОЛОЖЕНИЕ

об обработке и защите персональных данных работников

ГБПОУ МО «Сергиево-Посадский социально-экономический техникум»

 

ГЛАВА 1.  ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение «Об обработке и защите персональных данных работников» (далее по тексту - Положение) устанавливает порядок получения, учета, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным работников ГБПОУ МО «Сергиево-Посадский социально-экономический техникум» (далее по тексту - Работодатель). Под работниками подразумеваются лица, заключившие трудовой договор с Работодателем.

1.2.Цель настоящего Положения - защита персональных данных работников от несанкционированного доступа и разглашения, развитие комплекса мер, направленных на обеспечение защиты персональных данных, хранящихся у Работодателя, посредством планомерных действий по совершенствованию организации труда.

1.3.Настоящее Положение разработано на основании Конституции Российской Федерации, ст. 88 Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных», Постановления правительства Российской Федерации от 17.11.2007г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (в редакции от 23.07.2013 N 205-ФЗ),, Постановления правительства Российской Федерации от 15.12.2008г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», нормативно-правовыми актами Российской Федерации в области трудовых отношений и образования, нормативными и распорядительными документами Минобрнауки России,  и Рособрнадзора  с целью уважения прав и основных свобод каждого работника и обучающегося при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.4.Настоящее Положение и изменения к нему утверждаются директором и вводятся в действие приказом. Все работники должны быть ознакомлены под роспись с данным Положением и изменениями к нему.  

ГЛАВА 2.ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

  2.1. В настоящем Положении используются следующие понятия и состав персональных данных:  - персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, определяемая нормативно-правовыми и распорядительными документами Минобрнауки России, Рособразования и Рособрнадзора, Положением об обработке и защите персональных данных и приказами ГБПОУ МО «Сергиево-Посадский социально-экономический техникум». - обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных; - информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств; - обработка персональных данных без использования средств автоматизации (неавтоматизированная) - обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Субъекты персональных данных: Работники  -  лица, заключившие трудовой договор с Учреждением; Обучающиеся - лица, осваивающие основные профессиональные образовательные программы в настоящее время; Выпускники - лица, завершившие обучение по основным профессиональнымобразовательным программами получившие документ об образовании. Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

2.2. Оператором персональных данных является сотрудник ГБПОУ МО «Сергиево-Посадский СЭТ» (далее – Оператор), находящийся по адресу:г. Сергиев Посад ул. Гефсиманские пруды д. 1. Допускается привлекать для обработки персональных данных уполномоченные организации на основе соответствующих договоров и соглашений.

2.3. Настоящее Положение и изменения к нему утверждаются приказом директора Учреждения. Все работники и обучающиеся Учреждения должны быть ознакомлены с Положением и изменениями к нему.

2.4.Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.

2.5.К персональным данным работника относятся:

-  все биографические сведения;

-  образование;

- специальность,

-  занимаемая должность;

-  наличие судимостей;

-  адрес места жительства;

-  домашний телефон;

-  состав семьи;

-  место работы или учебы членов семьи и родственников;

-  характер взаимоотношений в семье;

-  размер заработной платы;

-  содержание трудового договора;

-  состав декларируемых сведений о наличии материальных ценностей;

-  содержание декларации, подаваемой в налоговую инспекцию;

-  подлинники и копии приказов по личному составу;

-  личные дела, личные карточки (форма Т2) и трудовые книжки работников;

-  основания к приказам по личному составу;

-  дела, содержащие материалы по повышению квалификации и переподготовке работников, их аттестации, служебным расследованиям; -  копии отчетов, направляемые в органы статистики;

-  анкета;,

-  копии документов об образовании;

-  результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;

-  фотографии;

-  и т.п.

Данные документы являются конфиденциальными, хотя, учитывая их массовость и единое место обработки и хранения - соответствующий гриф ограничения на них не ставится.

2.6.  Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.

2.7.Собственником информационных ресурсов (персональных данных) - является субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения этими ресурсами. Это любой гражданин, к личности которого относятся соответствующие персональные данные, и который вступил (стал работником) или изъявил желание вступить в трудовые отношения с Работодателем.

2.8.Субъект персональных данных самостоятельно решает вопрос передачи Работодателю своих персональных данных.

2.9.Держателем персональных данных является Работодатель, которому работник добровольно передает во владение свои персональные данные. Работодатель выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством Российской Федерации.

2.10.Права и обязанности Работодателя в трудовых отношениях осуществляются физическим лицом, уполномоченным Работодателем - специалистом по кадрам. Сведения о персональных данных работников он может делегировать руководителям структурных подразделений, работа которых требует знания персональных данных работников или связана с обработкой этих данных.

2.11.Потребителями (пользователями) персональных данных работников являются юридические и физические лица, обращающиеся к Работодателю за получением необходимых сведений и пользующиеся ими без права передачи, разглашения.  

ГЛАВА 3.ПОРЯДОК ПОЛУЧЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

3.1. Получение персональных данных осуществляется в соответствии с нормативно-правовыми актами Российской Федерации в области трудовых отношений и образования, нормативными и распорядительными документами Минобрнауки России и Рособрнадзора, Положением об обработке и защите персональных данных и приказами учреждения на основе согласия субъектов на обработку их персональных данных.

3.2. Оператор не вправе требовать от субъекта персональных данных предоставления информации о его национальности и расовой принадлежности, политических и религиозных убеждениях и о его частной жизни.

3.3.  Без согласия субъектов осуществляется обработка общедоступных персональных данных или содержащих только фамилии, имена и отчества, обращений и запросов организаций, и физических лиц, регистрация и отправка корреспонденции почтовой связью, персональных данных для исполнения трудовых договоров или без использования средств автоматизации, и в иных случаях, предусмотренных законодательством Российской Федерации.

3.4. Обработка и использование персональных данных осуществляется в целях, указанных в соглашениях с субъектами персональных данных, а также в случаях, предусмотренных нормативно-правовыми актами Российской Федерации.

3.5. Обработка персональных данных обучающегося осуществляется для обеспечения соблюдения законов и иных нормативных правовых актов в целях воспитания и обучения обучающегося, обеспечения его личной безопасности, контроля качества образования, пользования льготами, предусмотренными законодательством Российской Федерации и локальными актами администрации.

3.6. Сбор и обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

3.7. Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

3.8. Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации: - при отсутствии установленных и настроенных сертифицированных средств защиты информации; - при отсутствии утвержденных организационных документов о порядке эксплуатации информационной системы персональных данных.

3.9. Обработка персональных данных без использования средств автоматизации (далее – неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы банных) на электронных носителях информации.

3.10. При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.

3.11. При неавтоматизированной обработке персональных данных на бумажных носителях: - не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо не совместимы; - персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков); - документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных; - дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.

3.12. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовые формы), должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных, - при необходимости получения письменного согласия на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

3.13. Неавтоматизированная обработка персональных данных в электронном виде осуществляется на внешних электронных носителях информации.

3.14. При отсутствии технологической возможности осуществления неавтоматизированной обработки персональных данных в электронном виде на внешних носителях информации необходимо принимать организационные (охрана помещений) и технические меры (установка сертифицированных средств защиты информации), исключающие возможность несанкционированного доступа к персональным данным лиц, не допущенных к их обработке.

3.15. Электронные носители информации, содержащие персональные данные, учитываются в журнале учета электронных носителей персональных данных, составленном по форме согласно приложению №4 к настоящему Положению. К каждому электронному носителю оформляется опись файлов, содержащихся на нем, с указанием цели обработки и категории персональных данных.

3.16. При несовместимости целей неавтоматизированной обработки персональных данных, зафиксированных на одном электронном носителе, если электронный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

3.17. Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.

3.18. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

3.19. Персональные данные могут храниться в бумажном и (или) электронном виде централизованно или в соответствующих структурных подразделениях с соблюдением предусмотренных нормативно-правовыми актами Российской Федерации мер по защите персональных данных.

3.20. Право на обработку персональных данных предоставляется работникам структурных подразделений и (или) должностным лицам, определенным Положением об обработке и защите персональных данных, распорядительными документами и иными письменными указаниями Оператора (Приложение 5).

3.21. Персональные данные защищаются от несанкционированного доступа в соответствии с нормативно-правовыми актами Российской Федерации, нормативно-распорядительными актами и рекомендациями регулирующих органов в области защиты информации, а также утвержденными регламентами и инструкциями Оператора (Приложение 6).

3.22. Право доступа к персональным данным обучающегося имеют:

- директор ГБПОУ МО «Сергиево-Посадский социально-экономический техникум»;

-заместители директора (в рамках своих должностных обязанностей);

-инспектор по кадрам;

-классные руководители (только к персональным данным обучающегося своей группы);

-    мастера производственного обучения (только к персональным данным обучающегося своей группы);

-главный бухгалтер ГБПОУ МО «Сергиево-Посадский социально-экономический техникум»;

-социальный педагог (психолог);

-врач/медработник;

-работник сектора информатизации, осуществляющий администрирование информационной системы ГБПОУ МО «Сергиево-Посадский социально-экономический техникум».

-    обучающийся, носитель данных.

3.23.Право доступа к персональным данным работника имеют:

-директор Учреждения;

-заместители директора(в рамках своих должностных обязанностей);

-инспектор по кадрам; -руководители структурных подразделений (только к персональным данным работников структурного подразделения);

-главный бухгалтер ГБПОУ МО «Сергиево-Посадский социально-экономический техникум»;

-врач/медработник;

-работник сектора информатизации, осуществляющий администрирование информационной системы ГБПОУ МО «Сергиево-Посадский социально-экономический техникум»;

-работник, носитель данных.

По письменному заявлению работодатель обязан в срок не позднее трех дней со дня подачи заявления выдать ему копии документов, связанных с его работой (копии приказа о приеме на работу, приказов о переводах на другую работу, приказа об увольнении с работы; выписки из трудовой книжки, справки о заработной плате, периоде работы у данного работодателя и др.). Копии документов, связанных с работой, должны быть заверены надлежащим образом и предоставляться работнику безвозмездно.

3.24. Доступ к персональным данным работника вне ГБПОУ МО «Сергиево-Посадский социально-экономический техникум» имеют:

- Государственные органы в соответствии с направлениями их деятельности:

- Департамент образования.;

- налоговые инспекции;

- правоохранительные органы;

- органы статистики;

- страховые агентства;

- военкоматы;

- органы социального страхования;

- пенсионные фонды;

- подразделения муниципальных органов управления.

- Другие организации (сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации с приложением копии заявления работника).

- Родственники и члены семей (персональные данные сотрудника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого сотрудника).

3.25. При передаче данных лица, имеющие право доступа к персональным данным работника или обучающегося обязаны:

-предупредить лиц, получающих данную информацию о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены;

-потребовать от этих лиц письменное подтверждение соблюдения этого условия.

3.26. Иные права, обязанности, действия работников, в трудовые обязанности которых входит обработка персональных данных работника или обучающегося, определяются трудовыми договорами и должностными инструкциями.

3.27. Все сведения о передаче персональных данных обучающихся регистрируются в Журнале учета персональных данных обучающегося Учреждения, составленном по форме согласно приложению № 7 к настоящему Положению, в целях контроля правомерности использования данной информации лицами, ее получившими. 3.28. Все сведения о передаче персональных данных работников регистрируются в Журнале учета персональных данных работников ГБПОУ МО «Сергиево-Посадский социально-экономический техникум», составленном по форме согласно приложению № 8 к настоящему Положению, в целях контроля правомерности использования данной информации лицами, ее получившими.

 

ГЛАВА 4. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Обработка персональных данных работников включает в себя их получение, хранение, комбинирование, передачу, а также актуализацию, блокирование, защиту, уничтожение.

4.2.  Получение, хранение, комбинирование, передача или любое другое использование персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

4.3.Все персональные данные работника получаются у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

4.4.Не допускается получение и обработка персональных данных работника о его политических, религиозных и иных убеждениях, и частной жизни, а также о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законодательством Российской Федерации.

4.5.При принятии решений относительно работника на основании его персональных данных не допускается использование данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

4.6.В случаях, непосредственно связанных с вопросами трудовых отношений, возможно получение и обработка данных о частной жизни работника только с его письменного согласия.

4.7.Защита персональных данных работников от неправомерного их использования или утраты обеспечивается Работодателем за счет его средств.

4.8.  Пакет анкетно-биографических и характеризующих материалов (далее пакет) работника формируется после издания приказа о его приеме на работу.

4.9.  Пакет обязательно содержит личную карточку формы Т2, а также может содержать документы, содержащие персональные данные работника, в порядке, отражающем процесс приема на работу:

-заявление о приеме на работу;

-анкета;

-характеристика-рекомендация;

-результат медицинского обследования на предмет годности к осуществлению трудовых обязанностей;

- копия приказа о приеме на работу; расписка работника об ознакомлении с документами организации, устанавливающими порядок обработки персональных данных работников, а также об его правах и обязанностях в этой области.

4.10.Анкета является документом пакета, представляющим собой перечень вопросов о биографических данных работника, его образовании, выполняемой работе с начала трудовой деятельности, семейном положении, месте прописки или проживания и т.п. Анкета заполняется работником самостоятельно при  оформлении приема на работу. При заполнении анкеты работник должен заполнять все ее графы, на все вопросы давать полные ответы, не допускать исправлений или зачеркивания, прочерков, помарок, в строгом соответствии с записями, которые содержатся в его личных документах. В графе "Ближайшие родственники" перечисляются все члены семьи работника с указанием степени родства (отец, мать, муж, жена, сын, дочь, родные брат и сестра); далее перечисляются близкие родственники, проживающие совместно с работником. Указываются фамилия, имя, отчество и дата рождения каждого члена семьи.

4.11. При заполнении анкеты и личной карточки Т2 используются следующие документы:

  • • паспорт;
  • • трудовая книжка;
  • • военный билет;
  • • документы об образовании;
  • • документы о присвоении ученой степени, ученого звания.
Пакет пополняется на протяжении всей трудовой деятельности работника. Изменения, вносимые в карточку Т2, должны быть подтверждены соответствующими документами (например, копия свидетельства о браке).

4.12. Специалист по кадрам, ответственный за документационное обеспечение кадровой деятельности, принимает от работника документы, проверяет полноту их заполнения и правильность указываемых сведений в соответствии с предъявленными документами.

4.12.Под блокированием персональных данных понимается временное прекращение операций по их обработке по требованию субъекта персональных данных при выявлении им недостоверности обрабатываемых сведений или неправомерных действий в отношении его данных.

4.13.При обработке персональных данных работников Работодатель вправе определять способы обработки, документирования, хранения и защиты персональных данных работников на базе современных информационных технологий.

4.14.Обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора.

ГЛАВА 5.ПРАВА И ОБЯЗАННОСТИ РАБОТНИКА В ЦЕЛЯХ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1.  Работник обязан:

-  передавать Работодателю комплекс достоверных, документированных персональных данных, состав которых установлен Трудовым кодексом Российской Федерации;

-  своевременно сообщать Работодателю об изменении своих персональных данных.

5.2. Работники имеют право на: -полную информацию о своих персональных данных и обработке этих данных;

-свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации;

-определение своих представителей для защиты своих персональных данных;

-доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по своему выбору;

-требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса Российской Федерации или иного федерального закона.

При отказе Работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме Работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

-требование об извещении Работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.

- обжалование в суде любых неправомерных действий или бездействий Работодателя при обработке и защите его персональных данных;  

6.ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

  6.1.Обязанности оператора при сборе персональных данных:

1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона.

2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 статьи Федерального закона, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных;

5) источник получения персональных данных.

4. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные частью 3 статьи Федерального закона, в случаях, если:

1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

3) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

5) предоставление субъекту персональных данных сведений, предусмотренных частью 3 настоящей статьи, нарушает права и законные интересы третьих лиц.  

ГЛАВА 7.ПРАВА И ОБЯЗАННОСТИ РАБОТНИКОВ ОПЕРАТОРАА

 

7.1.Работники Оператора, имеющие доступ к персональным данным обучающегося, обязаны:

-не сообщать персональные данные обучающегося третьей стороне без письменного согласия одного из родителей (законного представителя), самого учащегося 18 лет, кроме случаев, когда в соответствии с федеральными законами такого согласия не требуется;

-использовать персональные данные обучающегося, полученные только от него лично или с письменного согласия одного из родителей (законного представителя);

-обеспечить защиту персональных данных обучающегося от их неправомерного использования или утраты в порядке, установленном законодательством Российской Федерации; -ознакомить родителей, самого учащегося 18 лет, или законного представителя с настоящим Положением и их правами, и обязанностями в области защиты персональных данных, под роспись;

-соблюдать требование конфиденциальности, персональных данных обучающегося;

-исключать или исправлять по письменному требованию одного из родителей (законного представителя) самого обучающегося 18 лет его недостоверные или неполные персональные данные, а также данные, обработанные с нарушением требований законодательства;

-ограничивать персональные данные обучающегося при передаче уполномоченным работникам правоохранительных органов или работникам Департамента образования только той информацией, которая необходима для выполнения указанными лицами их функцией;

-запрашивать информацию о состоянии здоровья обучающегося только у родителей (законных представителей) самого учащегося в возрасте 18 лет;

-обеспечить обучающемуся или одному из его родителей (законному представителю) свободный доступ к его персональным данным, включая право на получение копий любой записи, содержащей его персональные данные;

7.2. Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет Оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах Оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.

7.3.  В случае выявления неправомерных действий с персональными данными Оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений Оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его законного представителя.

7.4. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Оператором и субъектом персональных данных. Об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных

7.5. Лица, имеющие доступ к персональным данным обучающегося, не в праве:

-получать и обрабатывать персональные данные обучающегося о его религиозных и иных убеждениях, семейной и личной жизни;

-предоставлять персональные данные обучающихся в коммерческих целях.  

 

ГЛАВА 8. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫММ

8.1.Персональные данные добровольно передаются работником непосредственно специалисту по кадрам, исключительно для обработки и использования в работе.

8.2.Внешний доступ. К числу внешних потребителей персональных данных работников относятся:

-  налоговые инспекции;

-  правоохранительные органы;

-  органы статистики;

-  страховые агентства;

-  военкоматы;

-  органы социального страхования;

-  пенсионные фонды;

-  подразделения муниципальных органов управления.

8.3.  Внутренний доступ. К разряду потребителей персональных данных относятся работники, которым эти данныенеобходимы для выполнения должностных обязанностей:

-  руководитель учреждения ;

 -  работники бухгалтерии;

-  руководители структурных подразделений.

8.4.В отделе кадров хранятся личные карточки работников, работающих в настоящее время. Для этого используются специально оборудованные шкафы или сейфы, которые запираются. Личные карточки располагаются в алфавитном порядке. После увольнения документы по личному составу передаются на хранение в архив.

 

ГЛАВА 9. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА

9.1. При передаче персональных данных работника Работодатель должен соблюдать следующие требования:

-не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами;

-не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

-предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами;

-осуществлять передачу персональных данных работника в соответствии с настоящим Положением, с которым работник должен быть ознакомлен под роспись;

-разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

-не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

-передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

 

ГЛАВА 10. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1.      Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.

10.2.Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.

10.3.Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации.

 

10.4. «Внутренняя защита».

10.4.1. Для защиты персональных данных работников необходимо соблюдать ряд мер: - ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;

-строгое избирательное и обоснованное распределение документов и информации между работниками;

-  рациональное размещение рабочих мест, при котором исключается бесконтрольное использование защищаемой информации;

-  знание работниками требований нормативно - методических документов по защите информации и сохранении тайны;

-  наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;

-  организация порядка уничтожения информации;

-  проведение разъяснительной работы с работниками по предупреждению утраты ценных сведений при работе с конфиденциальными документами;

-  не допускается выдача личных дел работников на рабочие места. Личные дела могут выдаваться на рабочие места только директору и в исключительных случаях, по письменному разрешению директора руководителю структурного подразделения;

-персональные компьютеры, на которых содержатся персональные данные, должны быть защищены паролями доступа.

10.5.      «Внешняя защита».

10.5.1. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.

10.5.2.Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности Работодателя, посетители, сотрудники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов Работодателя.

10.6. Для    защиты    персональных    данных    работников    необходимо    соблюдать    ряд    мер:

-  порядок приема, учета и контроля деятельности посетителей;

-  пропускной режим;

-  порядок охраны территории, зданий, помещений;

-  требования к защите информации при интервьюировании и собеседованиях..

 

ГЛАВА 11.ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОМР, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ

11.1.Персональная ответственность - одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.

11.2.Каждый работник, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

11.3.Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

11.4. Отношения, связанные с обработкой персональных данных, осуществляемой ГБПОУ МО «Сергиево-Посадский социально-экономический техникум» при предоставлении государственных и муниципальных услуг, исполнении государственных и муниципальных функций в субъекте Российской Федерации – городе Сергиев Посад, регулируются настоящим Федеральным законом.

  

Документы Перечень персональных данных, подлежащих защите Согласие на обработку персональных данных учащихся до 18 лет, учащихся после 18 лет, сотрудников 

^ Наверх