ПОЛОЖЕНИЕ
О ПОРЯДКЕ ОБРАБОТКИ И ЗАЩИТЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ
Государственного бюджетного общеобразовательного учреждения лицея № 64
Приморского района Санкт-Петербурга
- Общие положения
- Настоящее Положение имеет своей целью закрепление механизмов обеспечения прав субъекта на сохранение конфиденциальности информации о фактах, событиях и обстоятельствах его жизни.
- Настоящее Положение об обработке и защите персональных данных (далее - Положение) определяет порядок сбора, хранения, передачи, уничтожения персональных данных работников, обучающихся и их родителей (законных представителей) в соответствии с законодательством Российской Федерации.
- Положение разработано на основе и во исполнение части 1 статьи 23, статьи 24 Конституции Российской Федерации, положений главы 14 Трудового Кодекса Российской Федерации, Федерального закона от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", иных нормативно-правовых актов, действующих на территории Российской Федерации.
- Основные понятия
Для целей настоящего Положения используются следующие понятия:
- Оператор персональных данных (далее оператор) – государственный, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. В рамках настоящего положения оператором является – Государственное бюджетное общеобразовательное учреждение лицей № 64 Приморского района Санкт-Петербурга.
- Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), необходимая оператору в связи с отношениями, возникшими между оператором и субъектом персональных данных.
- Субъект персональных данных – работник, обучающийся, родители (законные представители) обучающегося.
- Работник - физическое лицо, состоящее в трудовых отношениях с оператором.
- Обучающийся – физическое лицо, получающее образование у оператора.
- Родители (законные представители) обучающихся – физические лица, законные представители обучающихся.
- Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
- Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях.
- Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных.
- Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
- Уничтожение персональных данных - действия, в результате которых уничтожаются материальные носители персональных данных и становиться невозможно восстановить содержание персональных данных.
- К персональным данным относятся:
- сведения о фактах, событиях, обстоятельствах частной жизни субъекта, позволяющие идентифицировать его, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральным законам случае;
- сведения, связанные с образовательной и профессиональной деятельностью субъекта, в том числе сведения о поощрениях и дисциплинарных взысканиях.
- Документами, содержащие персональные данные, являются:
- паспорт, свидетельство о рождении или иной документ, удостоверяющий личность;
- трудовая книжка, трудовой договор;
- страховое свидетельство государственного пенсионного страхования, ИНН;
- документы воинского учета;
- документы об образовании, квалификации или наличии специальных знаний или специальной подготовки;
- карточка Т-2, анкета, личный листок по учету кадров;
- медицинская книжка работника, медицинская карта обучающегося;
- документы, содержащие сведения о заработной плате, доплатах, надбавках;
- приказы по личному составу работников и учащихся;
- другие документы, содержащие сведения, предназначенные для использования в служебных целях.
- Создание, обработка и хранение персональных данных
- Создание персональных данных.
Документы, содержащие персональные данные субъекта, создаются путем:
- копирования оригиналов;
- внесения сведений в учетные формы (на бумажных и электронных носителях);
- получения оригиналов от субъекта.
- Общие требования при обработке персональных данных.
- В целях обеспечения прав и свобод человека и гражданина при обработке персональных данных должны строго учитываться положения Конституции Российской Федерации, Трудового Кодекса Российской Федерации, законов и иных нормативных правовых актов Российской Федерации.
- Обработка персональных данных осуществляется исключительно в целях содействия субъектам персональных данных в трудоустройстве, продвижении по службе, обучении, контроля количества и качества выполняемой работы, обеспечения личной безопасности субъекта персональных данных и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества и имущества оператора.
- Персональные данные не могут быть использованы в целях причинения имущественного и/или морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.
- Получение персональных данных.
- Все персональные данные следует получать непосредственно от субъекта персональных данных. Субъект самостоятельно принимает решение о предоставление своих персональных данных и дает письменное согласие на их обработку оператором.
- В случае недееспособности либо несовершеннолетия субъекта персональных данных все персональные данные субъекта следует получать от его законных представителей. Законный представитель самостоятельно принимает решение о предоставлении персональных данных своего подопечного и дает письменное согласие на их обработку оператором.
- В случаях, когда оператор может получить необходимые персональные данные субъекта только у третьей стороны, субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. В уведомлении оператор обязан сообщить о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение. Согласие оформляется в письменной форме и хранится у оператора.
- Запрещается получать и обрабатывать персональные данные субъекта о его политических, религиозных и иных убеждениях, частной жизни, о членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.
- В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации оператор вправе получать и обрабатывать данные о частной жизни субъекта только с его письменного согласия.
- При принятии решений, затрагивающих интересы субъекта персональных данных, нельзя основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.
- Работники должны быть ознакомлены под подпись с документами оператора, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области.
- Хранение персональных данных.
- Хранение персональных данных субъектов осуществляется на бумажных и электронных носителях с ограниченным доступом.
- Все документы, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых шкафах (сейфах), для исключения несанкционированного доступа к персональным данным, при этом должны быть созданы условия, обеспечивающие их сохранность.
- Оператор, обрабатывающий и хранящий персональные данные на бумажных носителях, обеспечивает их защиту от несанкционированного доступа и копирования согласно «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденному постановлением правительства РФ 15 сентября 2008 г. № 687.
- Оператор, обрабатывающий и хранящий персональные данные с использованием средств автоматизации, обеспечивает их защиту в соответствии с требованиями «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденного постановлением Правительства Российской Федерации от 17.11.2007 № 781, нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.
- Доступ к персональным данным
- Внутренний доступ (работники оператора).
Доступ к персональным данным работников имеют следующие должностные лица, непосредственно использующие их в служебных целях:
- директор;
- заместители директора (доступ к персональным данным субъектов в части его касающейся);
- заведующая библиотекой (доступ к персональным данным субъектов в части его касающейся);
- библиотекарь (доступ к персональным данным субъектов в части его касающейся);
- документовед (доступ к персональным данным субъектов в части его касающейся);
- главный бухгалтер (доступ к персональным данным субъектов в части его касающейся);
- бухгалтер (доступ к персональным данным субъектов в части его касающейся);
- руководители методических объединений, руководители проектов по направлению деятельности (доступ к персональным данным субъектов, непосредственно находящихся в его подчинении);
- классный руководитель (доступ к персональным данным учеников своего класса в части его касающейся);
- учитель (доступ к информации, содержащейся в классных журналах тех классов, в которых он ведет занятия);
- социальный педагог, педагог-психолог, учитель-логопед (доступ к персональным данным субъектов в части его касающейся);
- воспитатель в группе продленного дня (доступ к информации, содержащейся в журнале ГПД, в которой он работает);
- педагог дополнительного образования, инструктор-методист (доступ к информации, содержащейся в журнале кружка, в котором он работает);
- ответственный по направлению работы (организация питания обучающихся, организатор льготного проезда обучающихся, организатор платных образовательных услуг и т.п.), назначенный приказом директора (доступ к персональным данным субъектов в части его касающейся).
- Все сотрудники, имеющие доступ к персональным данным субъектов, обязаны подписать обязательство о неразглашении персональных данных.
- Лица, допущенные к работе с ПД, имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций.
- Получение сведений о персональных данных субъектов третьей стороной разрешается только при наличии письменного согласия субъекта, персональные данные которого затребованы.
- Получение персональных данных субъекта третьей стороной без его письменного согласия возможно в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровья субъекта, при поступлении официальных запросов в соответствии с положениями Федерального закона «Об оперативно-розыскных мероприятиях», при поступлении официальных запросов из налоговых органов, органов Пенсионного Фонда России, органов Федерального социального страхования, судебных органов, а также в случаях, установленных законом.
- Передача персональных данных
- При передаче персональных данных субъекта оператор обязан соблюдать следующие требования:
- не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, предусмотренных Трудовым Кодексом Российской Федерации или иными федеральными законами.
- предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать требования конфиденциальности;
- не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия;
- не запрашивать информацию о состоянии здоровья субъекта, за исключением тех сведений, которые относятся к вопросу о возможности выполнения им трудовой функции;
- Все сведения о передаче персональных данных субъекта регистрируются в Журнале учета передачи персональных данных в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившим запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также отмечается какая именно информация была передана.
- Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
- Уничтожение персональных данных
- Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
- Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.
- Права и обязанности субъекта персональных данных и оператора.
- В целях обеспечения защиты персональных данных субъекты имеют право:
- получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);
- осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные субъекта, за исключением случаев, предусмотренных федеральным законом;
- требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением законодательства;
- требовать от оператора уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них изменениях или исключениях из них;
- обжаловать в суд любые неправомерные действия или бездействие оператора при обработке и защите персональных данных субъекта.
- Для защиты персональных данных субъектов оператор обязан:
- за свой счет обеспечить защиту персональных данных субъекта от неправомерного их использования или утраты в порядке, установленном законодательством Российской Федерации;
- ознакомить всех работников с настоящим положением под роспись;
- по запросу ознакомить субъекта персональных данных, не являющегося работником, или в случае недееспособности либо несовершеннолетия субъекта, его законных представителей с настоящим положением и его правами в области защиты персональных данных;
- осуществлять передачу персональных данных субъекта только в соответствии с настоящим Положением и законодательством Российской Федерации;
- предоставлять персональные данные субъекта только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей в соответствии с настоящим положением и законодательством Российской Федерации;
- обеспечить субъекту свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством;
- по требованию субъекта или его законного представителя предоставить ему полную информацию о его персональных данных и обработке этих данных.
- Субъект персональных данных или его законный представитель обязуется предоставлять персональные данные, соответствующие действительности.
- Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных.
- Руководитель, разрешающий доступ к конфиденциальному документу, содержащему персональные данные, несет персональную ответственность за данное разрешение.
- Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым Кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
|