Положение о порядке хранения и защиты персональных данных пользователей

С учетом мнения
Совета учреждения
протокол №1 от 10.01.2018

УТВЕРЖДЕНО
приказом ЦВР
от 10.01.2018 № 9
 

Политика муниципального учреждения дополнительного образования «Центр внешкольной работы» в отношении обработки и защиты персональных данных

1. Общие положения.
1.1.В целях выполнения норм федерального законодательства в области обработки
персональных данных субъектов персональных данных муниципальное учреждение дополнительного образования «Центр внешкольной работы» (далее – Оператор, ЦВР) считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.
1.2. Настоящая политика в отношении обработки и защиты персональных данных в ЦВР (далее - Политика) характеризуется следующими признаками:
1.2.1. Раскрывает основные категории персональных данных, обрабатываемых Оператором, цели, способы и принципы обработки персональных данных, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых в целях обеспечения безопасности персональных данных при их обработке.
1.2.2. Политика декларирующая концептуальные основы деятельности Оператора при обработке персональных данных является общедоступным документом, размещается на официальном сайте учреждения -  https://cvrol.nubex.ru.
1.3. Политика разработана с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных, включая требования Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
1.4. Политика действует бессрочно после утверждения и до ее замены новой версией.
2. Понятия.
2.1. Основные понятия, используемые в Политике:
персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
оператор персональных данных (оператор) - муниципальное учреждение дополнительного образования «Центр внешкольной работы» (далее – ЦВР), самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных - любое действие (операция) или совокупность
действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
3. Информация об Операторе.
Полное официальное наименование: муниципальное учреждение дополнительного образования «Центр внешкольной работы».
Официальное сокращенное наименование: ЦВР.
ИНН: 5190187040
Фактический адрес: Российская Федерация, 184536, Мурманская обл., г. Оленегорск, ул. Бардина, д.52, ул. Ферсмана, д.15
Телефон, факс: 8 (815 52) 57440
4. Цели обработки персональных данных.
4.1. Оператор обрабатывает персональные данные исключительно в следующих целях: обработка персональных данных субъектов, с которыми связывают оператора трудовые отношения; обработка персональных данных субъектов-участников образовательного процесса; обработка персональных данных субъектов, оказывающих услуги Оператору по договорам.
5. Правовые основания обработки персональных данных.
5.1. Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами Российской Федерации: Конституция Российской Федерации, Трудовой кодекс Российской Федерации, Федеральным законом от 24.07.2009 № 212-ФЗ «О страховых взносах в Пенсионный фонд Российской федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования», Федеральным законом от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации», Законом Российской федерации от 07.02.1992 № 2300-1 «О защите прав потребителей»; Федеральный закон 152-ФЗ «О персональных данных»; Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информатизации и защите информации», Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Законом Мурманской области от 28.06.2013 года № 1649-01-ЗМО «Об образовании в Мурманской области»; Приказом Министерства образования и науки Российской Федерации от 29.08.2013 № 1008 «Об утверждении порядка организации и осуществления образовательной деятельности по дополнительным общеобразовательным программам»; Положением о персональных данных работников, учащихся, их родителей (законных представителей) и иных категорий субъектов персональных данных муниципального учреждения дополнительного образования «Центр внешкольной работы», утвержденным приказом директора от 10.01.2018 №9.
5.2. Политика Оператора в области обработки персональных данных также определяется в соответствии: должностными обязанностями, договорами на обучение за счет физических лиц, согласием на обработку персональных данных.
6. Объем и категории обрабатываемых персональных данных,
категории субъектов персональных данных.
6.1. Категории субъектов персональных данных, обрабатываемых в ЦВР работники, состоящие в трудовых отношениях с Оператором, учащиеся и их родители (законные представители), физические лица, являющиеся участниками олимпиад, конкурсов и иных мероприятий, которые организует ЦВР; физические лица, ранее состоявшие в трудовых отношениях с Оператором, граждане, подавшие запрос через официальный сайт ЦВР, муниципальное автономное учреждение «Многофункциональный центр предоставления государственных и муниципальных услуг» (далее - МФЦ).
6.2. Категории персональных данных, обрабатываемых Оператором: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, данные документа удостоверяющего личность гражданина (паспорт/свидетельство о рождении), адрес фактического или временного проживания, место учебы (ОО, класс/группа), семейное положение, социальное положение, образование, профессия, состояние здоровья, гражданство, фотография, контактный телефон, должность, сведения о составе семьи, пол, сведения о дипломе, данные свидетельства о заключении/расторжении брака, свидетельства о рождении детей, данные содержащиеся в трудовой книжке, сведения о льготах, сведения о воинском учете, сведения о временной нетрудоспособности работника, сведения о лицевом счете банковской карты, сведения о судимости, сведения о наградах и почетных званиях, сведения о повышении квалификации и прохождении аттестации, место работы, номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС) индивидуальный номер налогоплательщика (ИНН).
6.3. Оператор осуществляет обработку персональных данных, касающиеся состояния здоровья работника на основании приказа Минздравсоцразвития от 12.04.2011 года № 302н. Эти данные относятся к специальным категориям персональных данных и обрабатываются в соответствии с установленным законодательством и иными нормативными правовыми актами требованиями.
6.4. Содержание и объем обрабатываемых Оператором персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6.5. В случаях, предусмотренных действующим законодательством, субъект персональных данных принимает решение о предоставлении его персональных данных Оператору и дает согласие на их обработку свободно, своей волей и в своем интересе.
7. Порядок и условия обработки персональных данных.
7.1. При обработке персональных данных Оператор осуществляет следующие действия с персональными данными: сбор, хранение, уточнение (обновление, изменение), систематизация, накопление, использование, распространение (в том числе передача), блокирование, уничтожение.
7.2. Обработка персональных данных в ЦВР осуществляется следующими способами: неавтоматизированная обработка персональных данных (на бумажных носителях); автоматизированная обработка персональных данных в т.ч. с передачей и без передачи по сети Интернет; смешанная обработка персональных данных.
8. Конфиденциальность персональных данных.
8.1. Оператор, руководствуясь ст.7 закона № 152 ФЗ «О персональных данных» соблюдает требования конфиденциальности персональных данных (Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом).
9.Основные принципы обработки, передачи и хранения
персональных данных.
9.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона 152-ФЗ «О персональных данных».
9.2. Оператор не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
9.3. Оператор не выполняет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
9.4. Оператор не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.
9.5. Оператором созданы общедоступные источники персональных данных (официальный сайт учреждения). Персональные данные, сообщаемые субъектом (фамилия, имя, отчество, год и место рождения, адрес, номер телефона, сведения о профессии и др.), включаются в такие источники только с письменного согласия субъекта персональных данных.
9.6. Обработка персональных данных Оператором осуществляется на основе следующих принципов: обработка персональных данных осуществляется на законной и справедливой основе; обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных; обработке подлежат только те персональные данные, которые отвечают целям их обработки; содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки; при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки.
9.7. Сроки хранения персональных данных субъектов персональных данных в ЦВР установлены на основании Приказа Министерства культуры РФ от 25 августа 2010 года № 558 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения» а также на основании Правил приема граждан в ЦВР утвержденных приказом от 10.01.2018 года № 9. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
9.8. Условием прекращения обработки персональных данных может являться: достижение целей обработки персональных данных, отзыв согласия субъекта персональных данных на обработку его персональных данных, выявление неправомерной обработки персональных данных.
10. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.
10.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных с момента такого обращения или получения указанного запроса на период проверки.
10.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
10.3. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
10.4. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных уничтожает такие персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
10.5. В случае достижения цели обработки персональных данных Оператор прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных.
10.6. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор прекращает их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва.
10.7. В случае отсутствия возможности уничтожения персональных данных в течение установленного срока Оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
10.8. В учреждении ведется журнал Учета обращений субъектов персональных данных о выполнении их законных прав в области защиты персональных данных. Субъект персональных данных вправе по письменному запросу, направленному Оператору получить информацию об обработке его персональных данных.
11.Сведения о третьих лицах, участвующих в обработке
персональных данных.
11.1. В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Оператор в ходе своей деятельности предоставляет персональные данные следующим организациям: Федеральной налоговой службе Российской Федерации; Пенсионному фонду Российской Федерации; ПАО «Сбербанк России»; Фонду социального страхования Российской Федерации.
12. Меры по обеспечению безопасности персональных данных
при их обработке.
12.1. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
12.1.1. Назначением ответственных за организацию обработки персональных данных.
12.1.2. Осуществлением внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам.
12.1.3. Ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных.
12.1.5. Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных.
12.1.6. Выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер.
12.1.7. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
12.1.8. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
12.2. Должностные лица, осуществляющие обработку и защиту персональных данных определены в приказах учреждения.

13.Права субъектов персональных данных.
13.1. В соответствии с №152-ФЗ «О персональных данных» субъект персональных данных имеет право:
13.1.1. Получить сведения, касающиеся обработки персональных данных Оператором, а именно: подтверждение факта обработки персональных данных Оператором; правовые основания и цели обработки персональных данных; цели и применяемые Оператором способы обработки персональных данных; наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные; обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения; сроки обработки персональных данных, в том числе сроки их хранения; порядок осуществления субъектом персональных данных прав, предусмотренных №152-ФЗ «О персональных данных»; фамилию, имя, отчество лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу; иные сведения, предусмотренные №152-ФЗ «О персональных данных» или другими федеральными законами.
13.1.2. Потребовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
13.1.3. Заявить возражение против принятия в отношении себя решений, порождающих юридические последствия на основе исключительно автоматизированной обработки персональных данных.
13.1.4. Отозвать согласие на обработку его персональных данных, направив Оператору письменное уведомление об отзыве согласия на обработку его персональных данных. В таком случае Оператор прекращает обработку персональных данных субъекта персональных данных и в срок, не превышающий 30 дней с даты поступления вышеуказанного отзыва, уничтожает персональные данные субъекта персональных данных, за исключением тех персональных данных, сохранение которых, требуется для целей обработки персональных данных в соответствии с законодательством Российской Федерации.
13.2. Субъект персональных данных вправе требовать исключения его персональных данных из общедоступных источников (официальный сайт учреждения). Оператор обязан незамедлительно исключить данные субъекта из общедоступных источников с даты получения соответствующего запроса.
13.3. Субъект персональных данных может в любой момент изменить (обновить, дополнить) предоставленные им персональные данные или их часть путем направления запроса Оператору.
13.4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами РФ.
13.5. Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору. Тот рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
13.6. Субъект персональных данных вправе обжаловать действия или бездействие
Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.
13.7. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

14. Заключительные положения.
14.1. Настоящая Политика обязательна для соблюдения и подлежит доведению до всех сотрудников ЦВР.
14.2. Оператор имеет право вносить изменения в настоящую Политику.
14.3. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее утверждения и размещения на сайте Оператора, если иное не предусмотрено новой редакцией Политики.

УТВЕРЖДЕНО
приказом ЦВР
от 10.01.2018 № 9

 

ПОЛОЖЕНИЕ о персональных данных работников, учащихся, их родителей (законных представителей) и иных категорий субъектов персональных данныхт муниципального учреждения дополнительного образования «Центр внешкольной работы»

1. Общие положения

1. Положение о персональных данных работников, учащихся, их родителей (законных представителей), и иных категорий субъектов персональных данных (далее – Положение) муниципального учреждения дополнительного образования «Центр внешкольной работы» (далее – ЦВР) разработано в соответствии с Конституцией Российской Федерации, Трудовым Кодексом Российской Федерации, Кодексом об административных правонарушениях Российской Федерации, Гражданским Кодексом Российской Федерации, Уголовным Кодексом Российской Федерации, а также Федеральными законами от 27 июля 2006 года № 149-ФЗ «Об информации, информатизации, информационных технологиях и о защите информации», от 27 июля 2006 года № 152-ФЗ «О персональных данных» и иными нормативно-правовыми актами и законами Российской Федерации в области трудовых отношений и образования.

2. Настоящее положение определяет порядок работы с персональными данными работников, учащихся, их родителей (законных представителей) и иных категорий субъектов персональных данных ЦВР и гарантии конфиденциальности сведений субъектов персональных данных.
3. Для целей настоящего Положения применяются следующие термины и определения:

Оператор персональных данных (далее оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках настоящего Положения оператором является ЦВР.

Работник – физическое лицо (субъект персональных данных), персональные данные которого необходимы оператору при оформлении и/или осуществлении трудовых отношений.

Субъект персональных данных - физическое лицо, которое прямо или косвенно определено, или определяемо с помощью персональных данных.

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

Персональные данные учащихся, их родителей (законных представителей) – информация, необходимая педагогическим работникам для организации и проведения образовательного процесса, конкурсных и иных мероприятий, и касающаяся конкретного обучающегося, его родителей (законных представителей), участника конкурсного или иного мероприятия.

Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Документы содержащие персональные данные - копии личных документов субъекта (паспорт, диплом, военный билет, свидетельство о рождении и т.п.), заявления, трудовая книжка, заполненная форма Т2, экземпляр трудового договора, должностная инструкция, приказ о приеме на работу и т.п.);

Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

Использование   персональных   данных   -   действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Блокирование персональных данных-  временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

Конфиденциальность персональных данных - обязательное для соблюдения требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

1. 4. Категории субъектов персональных данных, обрабатываемых в ЦВР:

                             работники, состоящие в трудовых отношениях с оператором, их ближайшие родственники (супруги и несовершеннолетние дети);

                             учащиеся и их родители (законные представители);

                            физические лица, являющиеся участниками олимпиад, конкурсов и иных мероприятий, которые организует ЦВР;

                            физические лица, ранее состоявшие в трудовых отношениях с оператором;

                            граждане подавшие онлайн заявки на получение муниципальной услуги посредством электронной почты, официального сайта ЦВР, через многофункциональный центр предоставления государственных и муниципальных услуг.

1. 5. Категории персональных данных, обрабатываемых в ЦВР: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, адрес, семейное положение, социальное положение, образование, профессия, состояние здоровья, гражданство, фотография, контактный телефон, должность, сведения о составе семьи, пол, сведения о дипломе, данные свидетельства о заключении/расторжении брака, свидетельства о рождении детей, данные содержащиеся в трудовой книжке, сведения о льготах, сведения о воинском учете, сведения о временной нетрудоспособности работника, сведения о лицевом счете банковской карты, сведения о судимости, сведения о наградах и почетных званиях, сведения о повышении квалификации и прохождении аттестации, место работы, номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС), индивидуальный номер налогоплательщика (ИНН) и другие документы необходимые для организации учебно-воспитательного процесса.

2. Общие требования при обработке персональных данных и гарантии их защиты

2.1. В целях обеспечения прав и свобод человека и гражданина оператор при обработке персональных данных субъектов обязан соблюдать следующие общие требования:

1. 1. Обработка персональных данных субъектов оператором осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия субъектам в трудоустройстве, обучении, продвижении по службе, а также обеспечения личной безопасности субъектов, контроля количества и качества оказания муниципальной услуги, выполнения профессиональных обязанностей, обучения, сохранности имущества.
   2. При определении объема и содержания обрабатываемых персональных данных субъектов оператор должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными Федеральными законами.

2.1.3. Все персональные данные следует получать непосредственно от субъекта персональных данных. В случае недееспособности либо несовершеннолетия субъекта персональных данных все персональные данные субъекта следует получать от его законного представителя. Если персональные данные субъекта возможно получить только у третьей стороны, то оператор обязан заранее уведомить их об этом и получить их письменное согласие. В случае необходимости проверки персональных данных субъекта, оператор должен заблаговременно сообщить работнику, о целях, предполагаемых источниках и способах получения персональных данных, а также характер подлежащих получению персональных данных и последствия отказа работника дать письменное согласие.

2.2. Оператор не имеет права получать и обрабатывать персональные данные субъектов о его политических, религиозных и иных убеждениях и частной жизни.

В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

1. 3. Обработка персональных данных осуществляется на основе принципов:

законности целей и способов обработки персональных данных и добросовестности;

соответствия целей обработки персональных данных целям, заранее определённым и заявленным при сборе персональных данных, а также полномочиям оператора;

соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных, способов обработки персональных данных целям обработки персональных данных;

достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

1. 4. Оператор не имеет права получать и обрабатывать персональные данные субъектов о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
   5. При принятии решений, затрагивающих интересы субъектов учреждение не имеет права основываться на персональных данных субъекта, полученных исключительно в результате автоматизированной обработки или электронного получения.
   6. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает письменное Согласие на их обработку (Приложение №1, №2). Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в утвержденной приказом ЦВР форме, если иное не установлено федеральным законом. При получении согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
   7. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор прекращает их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в сроки, не превышающий тридцати дней с даты поступления указанного отзыва.

3. Порядок хранения, использования и уничтожения персональных данных субъектов.

3.1. Персональные данные субъектов хранятся на бумажных и электронных носителях, на персональных компьютерах, имеющих защищенный доступ по локальной сети и (или) в специально предназначенных для этого помещениях.

Персональные данные работников ЦВР, данные о их ближайших родственниках (супругов и несовершеннолетних детях) хранятся в личных делах работников учреждения в бумажном варианте в помещении (секретарь учреждения) в специальном сейфе.

Персональные данные учащихся, их родителей (законных представителей), в бумажном варианте хранятся в помещении, предназначенном для приема заявлений на обучение в специальном шкафу.

Персональные данные учащихся, их родителей (законных представителей), участников конкурсных и иных мероприятий в бумажном варианте хранятся в помещении (кабинет методиста) в специальном шкафу.

Персональные данные физических лиц, ранее состоявших в трудовых отношениях с Оператором, хранятся в отдельном помещении - архив учреждения.

Персональные данные на электронных носителях хранятся в электронных информационных системах и программах, предназначенных для сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, распространения (в том числе передачи) персональных данных. Вход в электронные информационные системы и программы защищен личными паролями работников, допущенных к работе с электронными информационными системами и программами и имеющих доступ к персональным данными субъектов.

Срок хранения, персональных данные граждан, поступившие при использовании электронной почты или формы для обращения граждан, расположенном на официальном сайте образовательной организации, определяется необходимостью обработки персональных данных и удаляются после достижения цели обработки персональных данных.

3.2. Допуск к персональным данным субъектов разрешен только тем работникам, которые допущены к обработке персональных данных (на основании приказа). Лица, имеющие доступ к персональным данным обязаны использовать персональные данные субъектов лишь в целях, для которых они были предоставлены.

1. 3. Внешний доступ к персональным субъектам имеют контрольно-ревизионные органы при наличии документов, на основании которых они проводят проверку. Дистанционно персональные данные субъектов могут быть предоставлены контрольно-ревизионным органам только по письменному запросу.

1. 4. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.
   5. Автоматизированная обработка и хранение персональных данных субъектов, допускаются только после выполнения всех основных мероприятий по защите информации.
   6. Ответственными за организацию и осуществление хранения персональных данных субъектов являются назначенные приказом директора работники.
   7. Все меры конфиденциальности при сборе, обработке и хранении персональных данных распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
   8. В случае обращения к оператору любых третьих лиц за информацией о персональных данных субъекта, такая информация может быть предоставлена только с согласия (в письменной форме) субъекта.

3.10. Уничтожение персональных данных субъектов проводятся созданной в учреждении на основании приказа комиссией в установленные сроки либо по достижении цели обработки персональных данных.

4. Правила передачи персональных данных субъектов
   1. При передаче персональных данных субъектов другим юридическим и физическим лицам оператор должен соблюдать следующие требования:

           не сообщать персональные данные субъектов, кроме случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных Федеральным законом;

           предупреждать лиц, получивших персональные данные субъектов, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим конфиденциальности;

           не сообщать персональные данные субъектов в коммерческих целях;

           не запрашивать информацию о состоянии здоровья субъекта, кроме тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

           разрешать доступ к персональным данным субъектов только специально уполномоченным лицам.

 

1. 1. 5. Права субъектов на обеспечение защиты персональных данных
   1. В целях обеспечения защиты персональных данных, хранящихся в учреждении, субъекты имеют право на:

           полную информацию о своих персональных данных и их обработке;

           свободный бесплатный доступ к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные работника, учащегося, его родителей (законных представителей), участника конкурсных и иных мероприятий, за исключением случаев, предусмотренных федеральными законами;

           требование об исключении или исправлении неверных, или неполных персональных данных, а также данных, обработанных с нарушением требований действующего законодательства. Указанное требование оформляется письменным заявлением субъектов. При отказе оператора исключить или исправить персональные данные субъекта, он имеет право заявить в письменном виде руководителю учреждения о своем несогласии, с соответствующим обоснованием такого несогласия;

           определение своих представителей для защиты своих персональных данных;

           требование об извещении оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях; обжалование в суде любых неправомерных действий или бездействий оператора при обработке и защите его персональных данных. 

1. 1. 6. Общедоступные источники персональных данных
1. В целях информационного обеспечения оператором могут создаваться общедоступные источники персональных данных (в том числе официальный сайт организации). В общедоступные источники персональных данных с письменного согласия субъекта могут включаться его фамилия, имя, отчество, год и место рождения, адрес, телефоны, сведения о профессии (должности) и иные персональные данные, предоставленные работником.
2. Сведения о работнике могут быть в любое время исключены из общедоступных источников персональных данных по требованию самого субъекта, либо по решению суда или иных уполномоченных государственных органов.
3. Обязанность предоставить доказательство получения согласия работника на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на Оператора.
4. В случаях, предусмотренных федеральными законами, обработка персональных данных осуществляется только с согласия субъекта в письменной форме. Письменное согласие субъекта на обработку своих персональных данных должно включать в себя: фамилию, имя, отчество, адрес работника, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе, наименование и адрес оператора, получающего согласие субъекта, цель обработки персональных данных, перечень персональных данных, на обработку которых дается согласие субъекта персональных данных, перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных, срок, в течении которого действует согласие, а также порядок его отзыва.
   5. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется.

 

7. Обязанности субъекта персональных данных по обеспечению достоверности его персональных данных
   1. В целях обеспечения достоверности персональных данных субъекты персональных данных обязаны:

           представлять уполномоченным работникам учреждения достоверные сведения о себе в порядке и объеме, предусмотренном законодательством Российской Федерации, Уставом и нормативными актами учреждения;

           в случае изменения персональных данных работника: фамилия, имя, отчество, адрес места жительства, паспортные данные, сведения об образовании, состоянии здоровья (вследствие выявления в соответствии с медицинским заключением противопоказаний для выполнения работником его должностных, трудовых обязанностей) и т.п., сообщать об этом в течение 5 рабочих дней с даты их изменений;

           в случае изменения персональных данных обучающегося, его родителей (законных представителей), участника конкурсных и иных мероприятий: фамилия, имя, отчество, адрес места жительства, паспортные данные, состоянии здоровья (вследствие выявления в соответствии с медицинским заключением противопоказаний для занятий учащимися по дополнительной образовательной программе), сообщать об этом в течение 10 рабочих дней с даты их изменений.

 

8. Права субъектов при принятии решений на основании исключительно автоматизированной обработки их персональных данных

1. 1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении работника или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных пунктом 8.2 настоящего Положения.

1. 2. Решение, порождающее юридические последствия в отношении работника или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов работника.

 

9. Право на обжалование действий и бездействий оператора

9.1. Если субъект считает, что оператор осуществляет обработку его персональных данных с нарушением требований федеральных законов или иным образом нарушает его права и свободы, работник вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав работника или в судебном порядке.

9.2. Субъект имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

 

10. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

10.1. За нарушение порядка обработки (сбора, хранения, использования, распространения и защиты) персональных данных должностное лицо несет ответственность в соответствии с действующим законодательством: дисциплинарную, административную, гражданско-правовую, уголовную.

10.2. Работник, представивший работодателю подложные документы или заведомо ложные сведения о себе, несет дисциплинарную ответственность вплоть до увольнения.

1. 3.  Учащийся, его родители (законные представители), участник конкурсного или иного мероприятия, представивший заведомо ложные сведения о себе, несет дисциплинарную ответственность вплоть до исключения из учреждения, конкурсного или иного мероприятия.
   4. За нарушение правил хранения и использования персональных данных, повлекшее за собой материальный ущерб работодателю, работник несет материальную ответственность в соответствии с действующим трудовым законодательством.
   5. Материальный ущерб, нанесенный субъекту персональных данных за счет ненадлежащего хранения и использования персональных данных, подлежит возмещению в порядке, установленном действующим законодательством.
   6. Работодатель может расторгнуть трудовой договор по своей инициативе при разглашении охраняемой законом тайны, ставшей работнику известной в связи с исполнением им трудовых обязанностей (подпункт «в» пункт 6 статья 81 Трудового кодекса Российской Федерации). Помимо этого, сотрудники, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, могут быть привлечены и к уголовной ответственности.

 

11. Заключительные положения
    1.  Настоящее положение вступает в силу с момента его утверждения директором учреждения и вводится в действие его приказом.
    2. Положение обязательно для всех категорий субъектов персональных данных, обрабатываемых в ЦВР.
    3. Все вопросы, не урегулированные настоящим положением, подлежат разрешению в соответствии с действующим законодательством Российской Федерации, в том числе в соответствии с главой 14 Трудового кодекса Российской Федерации, Федеральным законом от 27.01.2006 № 152-ФЗ и прочими нормативными актами.

_________________________________