ПОЛОЖЕНИЕ
О защите, хранении, обработке и передаче персональных данны
работников и обучающихся муниципального бюджетного общеобразовательного учреждения
Карачаевского городского округа
«Средняя общеобразовательная школа №1 г. Теберды имени И.П. Крымшамхалова»
Настоящее Положение о защите персональных данных (далее - Положение) МКОУ "СШ №1 г. Теберды им. И.П. Крымшамхалова" (далее - 00) разработано с целью защиты информации, относящейся к личности и личной жизни работников и обучающихся образовательной организации, в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 года № 152-ФЗ «О персональных данных» (с изменениями на 31 декабря 2017 года), Федеральным законом от 29.12.2012 года № 273-ФЗ «Об образовании в РФ», Постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных».
Цель Положения - определение порядка обработки персональных данных, обеспечение защиты прав и свобод работников и обучающихся в ОО при обработке их персональных данных, а также установление ответственности должностных лиц, имеющих доступ к персональным данным работников и обучающихся ОО, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
Настоящее Положение вступает в силу со дня принятия и действует бессрочно, до замены его новым Положением.
Все работники и обучающиеся (законные представители) ОО должны быть ознакомлены с настоящим Положением.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
1. Общие положения
1.1. Субъект персональных данных - обучающийся и/или работник Образовательной организации, к которому относятся соответствующие персональные данные.
1.2. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
1.2.1. Персональные данные работника ОО - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.
1.2.2. Под персональными данными обучающегося понимается информация, касающаяся конкретного учащегося, необходимая оператору (руководителю Школы и (или) уполномоченному им лицу) в связи с отношениями, возникающими между родителями (законными представителями) учащегося и Школы (руководителем Школы).
1.3. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.4. Конфиденциальность персональных данных - обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным субъектов персональных данных, требование не допускать их распространения без согласия субъекта персональных данных или иного законного основания.
1.5. Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно- телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
1.6. Использование персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц:
- использование персональных данных - действия (операции) с персональными данными, совершаемые должностным лицом Образовательной организации в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
- блокирование персональных данных - временное прекращение сбора систематизации, накопления, использования, распространения персональных данных субъектов персональных данных, в том числе их передачи;
- уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных субъектов персональных данных или в результате которых уничтожаются материальные носители персональных данных субъектов персональных данных;
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
- информация - сведения (сообщения, данные) независимо от формы их представления;
- документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
1.7. Информационная система ОО - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
2. Персональные данные работников и обучающихся
2.1. К персональным данным работника ОО, получаемым работодателем и подлежащим хранению у работодателя в порядке, предусмотренном действующим законодательством и настоящим Положением, относятся следующие сведения, содержащиеся в личных делах работников:
- паспортные данные работника;
- ИНН;
- копия страхового свидетельства государственного пенсионного страхования;
- копия документа воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);
- копия документа об образовании, квалификации или наличии специальных знаний (при поступлении на работу, требующую специальных знаний или специальной подготовки);
- анкетные данные, заполненные работником при поступлении на работу или в процессе работы (в том числе - автобиография, сведения о семейном положении работника, перемене фамилии, наличии детей и иждивенцев);
- документы о возрасте малолетних детей и месте их обучения;
- иные документы, которые с учетом специфики работы и в соответствии с законодательством Российской Федерации должны быть предъявлены работником при заключении трудового договора или в период его действия (включая медицинские заключения, предъявляемые работником при прохождении обязательных предварительных и периодических медицинских осмотров);
- трудовой договор;
- копии приказов о приеме, переводах, увольнении, повышении заработной платы, премировании, поощрениях и взысканиях;
- личная карточка по форме Т-2;
- заявления, объяснительные и служебные записки работника;
- документы о прохождении работником аттестации, повышения квалификации;
- иные документы, содержащие сведения о работнике, нахождение которых в личном деле работника необходимо для документального оформления трудовых правоотношений с работником (включая приговоры суда о запрете заниматься педагогической деятельностью или занимать руководящие должности).
2.2. К персональным данным обучающихся (воспитанников) ОО, получаемых ОО и подлежащих хранению в ОО в порядке, предусмотренном действующим законодательством и настоящим Положением, относятся следующие сведения, содержащиеся в информационной системе ОО:
- документы, удостоверяющие личность обучающегося (свидетельство о рождении или паспорт);
- документы о месте проживания;
- документы о составе семьи;
- паспортные данные родителей (законных представителей) обучающегося;
- копия страхового свидетельства государственного пенсионного страхования;
- документы, подтверждающие права на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (родители-инвалиды, неполная семья, ребенок-сирота и т.п.);
- иные документы, содержащие персональные данные (в том числе сведения, необходимые для предоставления обучающемуся (его родителям, законным представителям) гарантий и компенсаций, установленных действующим законодательством).
3. Правила обработки персональных данных
3.1. Образовательная организация определяет объем, содержание обрабатываемых персональных данных работников и обучающихся, руководствуясь Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Законом Российской Федерации «Об образовании» и иными федеральными законами.
3.2. Обработка персональных данных работников осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, а также обеспечения личной безопасности работников, сохранности имущества, контроля количества и качества выполняемой работы.
Обработка персональных данных работников и обучающихся ОУ может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов; содействия обучающимся в обучении, трудоустройстве; обеспечения их личной безопасности; контроля качества обучения и обеспечения сохранности имущества.
3.3. Все персональные данные работника ОО предоставляются работником лично, за исключением случаев, предусмотренных федеральным законом. Если персональные данные работника возможно получить только у третьей стороны, то работодатель обязан заранее уведомить об этом работника и получить его письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
3.4. Работники и родители (законные представители) обучающегося должны быть проинформированы о целях обработки персональных данных.
3.5. Образовательная организация не имеет права получать и обрабатывать персональные данные работника, обучающегося о его политических, религиозных и иных убеждениях и частной жизни без письменного согласия работника, обучающегося.
ОО не имеет права получать и обрабатывать персональные данные работника, обучающегося (воспитанника) о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
3.6. Согласие субъекта персональных данных не требуется в следующих случаях:
1) обработка персональных данных осуществляется на основании Трудового кодекса РФ, Федерального закона от 29.12.2012 г. № 273-ФЗ «Об образовании в Российской Федерации» или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия Образовательного организации;
2) обработка персональных данных осуществляется в целях исполнения трудового договора;
3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия невозможно.
4. Хранение и использование персональных данных
4.1. Персональные данные хранятся на бумажных и электронных носителях, в специально предназначенных для этого помещениях.
4.2. В процессе хранения персональных данных должны обеспечиваться:
- требования нормативных документов, устанавливающих правила хранения конфиденциальных сведений;
- сохранность имеющихся данных, ограничение доступа к ним, в соответствии с законодательством Российской Федерации и настоящим Положением;
- контроль за достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.
4.3. Доступ к персональным данным работников ОО имеют:
- директор;
- главный бухгалтер;
- заместители директора;
- секретарь;
- ответственный за работу сайта школы;
- сотрудник, назначенный приказом директора;
- классные руководители.
4.4. Помимо лиц, указанных в и. 3.3. настоящего Положения, право доступа к персональным данным имеют только лица, уполномоченные действующим законодательством.
4.5. Лица, имеющие доступ к персональным данным обязаны использовать персональные данные лишь в целях, для которых они были предоставлены.
4.6. Ответственным за организацию и осуществление хранения персональных данных работников и обучающихся ОО являются работники, назначенные приказом руководителя.
4.7. Персональные данные работников отражаются в личной карточке работника (форма Т-2), которая заполняется после издания приказа о его приеме на работу.
4.8. Персональные данные работников и обучающихся содержатся в информационной системе ОО, на бумажных носителях и в электронном виде. Персональные данные на бумажных носителях формируются и хранятся в порядке, определенном номенклатурой дел ОО.
5. Передача персональных данных
5.1. При передаче персональных данных другим юридическим и физическим лицам, ОО должно соблюдать следующие требования:
5.1.1. Персональные данные работника (обучающегося) не могут быть сообщены третьей стороне без письменного согласия работника, обучающегося, родителей (законных представителей) несовершеннолетнего (малолетнего) обучающегося, за исключением случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (обучающегося), а также в случаях, установленных федеральным законом.
5.1.2. Лица, получающие персональные данные работника (обучающегося, воспитанника) должны предупреждаться о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены. ОО должна требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен персональными данными в порядке, установленном федеральными законами.
5.2. Передача персональных данных работника (обучающегося) его представителям может быть осуществлена в установленном действующим законодательством порядке только в том объеме, который необходим для выполнения указанными представителями их функций.
6. Обязанности работодателя по защите персональных данных работника
6.1. Работодатель обязан за свой счет обеспечить защиту персональных данных Работника от неправомерного их использования или утраты в порядке, установленном законодательством РФ.
6.2. Работодатель обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных федеральными законами в области защиты персональных данных и иными нормативными правовыми актами:
- назначать сотрудника, ответственного за организацию обработки персональных данных;
- издавать документы, определяющие политику МКОУ "СШ №1 г. Теберды им. И.П. Крымшамхалова" в отношении обработки персональных данных, локальные акты по вопросам обработки и защиты персональных данных;
- применять правовые, организационные и технические меры по обеспечению безопасности персональных данных;
- при сборе персональных данных Работника-гражданина РФ обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных Работника с использованием баз данных, находящихся на территории РФ.
- осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных федеральным законам в области защиты персональных данных и иным нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
- оценивать вред, который может быть причинен субъектам персональных данных в случае нарушения законодательства в области защиты персональных данных, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законом;
- знакомить работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства в области защиты персональных данных, в том числе с документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучать указанных работников.
6.3. Работодатель обязан ознакомить Работника и его представителей с настоящим Положением и их правами в области защиты персональных данных под роспись.
6.4 . Работодатель обязан обеспечить Работнику свободный бесплатный доступ к его персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законом.
6.5. Работодатель обязан по требованию Работника предоставить ему полную информацию о его персональных данных и обработке этих данных.
7. Права работников, обучающихся на обеспечение защиты персональных данных
7.1. В целях обеспечения защиты персональных данных, хранящихся в образовательном учреждении, работники и обучающиеся (родители (законные представители) малолетнего несовершеннолетнего обучающегося ОО, имеют право:
7.1.1. Получать полную информацию о своих персональных данных и их обработке.
7.1.2. Свободного бесплатного доступа к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральными законами. Получение указанной информации о своих персональных данных возможно при личном обращении работника, обучающегося (для малолетнего несовершеннолетнего - его родителей, законных представителей) - к лицу, ответственному за организацию и осуществление хранения персональных данных работников.
7.1.3. Требовать об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований действующего законодательства. Указанное требование должно быть оформлено письменным заявлением работника на имя руководителя ОУ. Персональные данные оценочного характера работник, обучающийся (родитель, законный представитель несовершеннолетнего обучающегося) имеет право дополнить заявлением, выражающим его собственную точку зрения.
7.1.4. Требовать об извещении ОО всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обучающегося (воспитанника) обо всех произведенных в них исключениях, исправлениях или дополнениях.
8. Обязанности субъекта персональных данных по обеспечению достоверности его персональных данных
8.1. В целях обеспечения достоверности персональных данных работники обязаны:
8.1.1. При приеме на работу в ОО представлять уполномоченным работникам ОО достоверные сведения о себе в порядке и объеме, предусмотренном законодательством Российской Федерации.
8.1.2. В случае изменения персональных данных работника: фамилия, имя, отчество, адрес места жительства, паспортные данные, сведения об образовании, состоянии здоровья (вследствие выявления в соответствии с медицинским заключением противопоказаний для выполнения работником его должностных, трудовых обязанностей и т.п.), сообщать об этом в течение 5 рабочих дней с даты их изменений.
8.1.3. В случае прохождения курсов, получения наград, благодарностей, прохождения аттестации и т.д., сообщать об этом в течение 5 рабочих дней с даты получения подтверждающего документа.
9. Ответственность за нарушение настоящего положения
9.1. За нарушение порядка обработки (сбора, хранения, использования, распространения и защиты) персональных данных должностное лицо несет административную ответственность в соответствии с действующим законодательством.
9.2. За нарушение правил хранения и использования персональных данных, повлекшее за собой материальный ущерб работодателю, работник несет материальную ответственность в соответствии с действующим трудовым законодательством.
9.3. Материальный ущерб, нанесенный субъекту персональных данных за счет ненадлежащего хранения и использования персональных данных, подлежит возмещению в порядке, установленном действующим законодательством.
9.4. Все, что не урегулировано настоящим Положением, определяется действующим законодательством Российской Федерации.