1. Общие положения
1.1. Настоящее Положение о защите персональных данных сотрудников
и обучающихся Муниципального автономного общеобразовательного учреждения «Средняя общеобразовательная школа п.Волгино» (далее Учреждение) разработано в соответствии со следующими нормативными правовыми актами:
– Трудовой кодекс Российской Федерации;
– Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных";
– Указ Президента РФ от 6 марта 1997 г. № 188 "Об утверждении Перечня сведений конфиденциального характера";
– Постановление Правительства РФ от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
– Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
– Приказ Роскомнадзора от 5 сентября 2013 г. № 996 "Об утверждении требований и методов по обезличиванию персональных данных";
1.2. Целью данного Положения является исполнение законодательства
РФ в области защиты персональных данных от несанкционированного доступа, неправомерного их использования или утраты.
1.3. Персональные данные относятся к категории конфиденциальной
информации. Режим конфиденциальности персональных данных снимается в
случаях обезличивания или по истечении 75 лет срока хранения, если иное не
определено законом.
1.4. Настоящее Положение утверждается и вводится в действие приказом
директора и является обязательным для исполнения всеми работниками,
имеющими доступ к персональным данным сотрудников.
2. Понятие и состав персональных данных
2.1. Персональные данные – любая информация, относящаяся к
определенному или определяемому на основании такой информации
физическому лицу.
2.2. Персональные данные работника – информация, необходимая
работодателю в связи с трудовыми отношениями и касающиеся конкретного
работника. Под информацией о работниках понимаются сведения о фактах,
событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.
2.3. В состав персональных данных работника входят:
- анкетные и биографические данные;
- образование;
- сведения о трудовом и общем стаже;
- сведения о составе семьи;
- паспортные данные;
- сведения о воинском учете;
- сведения о заработной плате сотрудника;
- сведения о социальных льготах;
- специальность,
- занимаемая должность;
- наличие судимостей;
- адрес места жительства;
- домашний телефон;
- место работы или учебы членов семьи и родственников;
- характер взаимоотношений в семье;
- содержание трудового договора;
- состав декларируемых сведений о наличии материальных ценностей;
- содержание декларации, подаваемой в налоговую инспекцию;
- подлинники и копии приказов по личному составу;
- личные дела и трудовые книжки сотрудников;
- основания к приказам по личному составу;
- дела, содержащие материалы по повышению квалификации и
переподготовке сотрудников, их аттестации, служебным расследованиям;
- копии отчетов, направляемые в органы статистики;
- копии документов об образовании;
- результаты медицинского обследования на предмет годности к
осуществлению трудовых обязанностей;
- рекомендации, характеристики.
2.3. Персональные данные обучающихся – информация, необходимая
образовательному учреждению в связи с отношениями, возникающими между
обучающимися, их родителями (законными представителями) и Учреждением.
2.4. К персональным данным обучающихся, получаемым Учреждением и
подлежащим хранению в Учреждении в порядке, предусмотренном действующим законодательством и настоящим Положением, относятся следующие сведения:
- копия документа, удостоверяющая личность обучающегося
(свидетельство о рождении и/или паспорт);
- анкетные и биографические данные;
- документы о составе семьи;
- сведения о воинском учете;
- сведения о социальных льготах;
- полис медицинского страхования;
- документы о месте проживания;
- домашний телефон;
- место работы или учебы членов семьи и родственников;
- паспортные данные родителей (законных представителей)
обучающегося;
- документы о состоянии здоровья (заключение об отсутствии
противопоказаний для обучения в Учреждении).
2.5. Указанные в п.п.2.3. и 2.4. сведения являются конфиденциальными и
не подлежат разглашению иначе как по основаниям, предусмотренным
законодательством РФ. Режим защиты персональных данных может быть снят
по истечении 75 лет, если больший срок не предусмотрен законодательством
или соглашением с работником. Данные документы являются
конфиденциальными, хотя, учитывая их массовость и единое место обработки
и хранения – соответствующий гриф ограничения на них не ставится.
3. Обработка персональных данных
3.1. Под обработкой персональных данных понимается получение,
хранение, комбинирование, передача или любое другое использование
персональных данных сотрудников и обучающихся.
3.2. В целях обеспечения прав и свобод человека и гражданина при
обработке персональных данных обязаны соблюдать следующие общие
требования:
3.2.1. Обработка персональных данных сотрудников может
осуществляться исключительно в целях обеспечения соблюдения законов и
иных нормативных правовых актов, содействия работникам в трудоустройстве,
обучении и продвижении по службе, обеспечения личной безопасности,
контроля количества и качества выполняемой работы и обеспечения
сохранности имущества.
Обработка персональных данных обучающихся может осуществляться
исключительно в целях обеспечения соблюдения законов и иных нормативных
правовых актов; содействия обучающимся в обучении, трудоустройстве;
обеспечения их личной безопасности; контроля качества обучения и
обеспечения сохранности имущества.
3.2.2. При определении объема и содержания обрабатываемых
персональных данных работника, обучающихся, родителей (законных
представителей) директор Учреждения или его представители должны
руководствоваться Конституцией Российской Федерации, Трудовым Кодексом
и иными федеральными законами.
3.2.3. Получение персональных данных может осуществляться как путем
представления их самим работником, обучающимися, родителями (законными
представителями), так и путем получения их из иных источников.
3.2.4. Персональные данные работника предоставляются самим
работником, за исключением случаев, предусмотренных федеральным законом.
Если персональные данные работника, возможно, получить только у третьей
стороны, то работник должен быть уведомлен об этом заранее и от него должно
быть получено письменное согласие. Работодатель должен сообщить работнику
о целях, предполагаемых источниках и способах получения персональных
данных, а также о характере подлежащих получению персональных данных и
последствиях отказа работника дать письменное согласие на их получение.
3.2.5. Все персональные данные несовершеннолетнего обучающегося в
возрасте до 14 лет (малолетнего) предоставляются его родителями (законными
представителями). Если персональные данные обучающегося возможно
получить только у третьей стороны, то родители (законные представители)
обучающегося должны быть уведомлены об этом заранее. От них должно быть
получено письменное согласие на получение персональных данных от третьей
стороны. Родители (законные представители) должны быть проинформированы
о целях, предполагаемых источниках и способах получения персональных
данных, а также о характере подлежащих получению персональных данных и
последствиях отказа дать письменное согласие на их получение.
3.2.6. Персональные данные несовершеннолетнего обучающегося в
возрасте старше 14 лет предоставляются самим обучающимся с письменного
согласия своих законных представителей – родителей, усыновителей или
попечителя. Если персональные данные обучающегося можно получить только
у третьей стороны, то должно быть получено письменное согласие на
получение персональных данных от третьей стороны. Обучающийся и его
родители (законные представители) должны быть проинформированы о целях,
предполагаемых источниках и способах получения персональных данных, а
также о характере подлежащих получению персональных данных и
последствиях отказа, дать письменное согласие на их получение.
3.2.7. Образовательное учреждение не имеет права получать и
обрабатывать персональные данные работника о его политических,
религиозных и иных убеждениях и частной жизни. В случаях, непосредственно
связанных с вопросами трудовых отношений данные о частной жизни
работника (информация о жизнедеятельности в сфере семейных бытовых,
личных отношений) могут быть получены и обработаны работодателем только
с его письменного согласия.
3.2.8. Образовательное учреждение не имеет право получать и
обрабатывать персональные данные работника о его членстве в общественных
объединениях или его профсоюзной деятельности, за исключением случаев,
предусмотренных федеральным законом.
3.2.9. Образовательное учреждение вправе осуществлять сбор, передачу,
уничтожение, хранение, использование информации о политических,
религиозных, других убеждениях и частной жизни, а также информации,
нарушающей тайну переписки, телефонных переговоров, почтовых,
телеграфных и иных сообщений:
- работника только с его письменного согласия или на основании
судебного решения;
- обучающегося только с его письменного согласия, согласия родителей
(законных представителей) или на основании судебного решения.
4. Хранение и использование персональных данных
4.1. Персональные данные работников и обучающихся образовательного
учреждения хранятся на бумажных и электронных носителях, на персональных
компьютерах, имеющих защищенный доступ по локальной сети и/или в
специально предназначенных для этого помещениях.
4.2. В процессе хранения персональных данных работников и
обучающихся образовательного учреждения должны обеспечиваться:
- требования нормативных документов, устанавливающих правила
хранения конфиденциальных сведений;
- сохранность имеющихся данных, ограничение доступа к ним, в
соответствии с законодательством Российской Федерации и настоящим
Положением;
- контроль за достоверностью и полнотой персональных данных, их
регулярное обновление и внесение по мере необходимости соответствующих
изменений.
4.3. К обработке, передаче и хранению персональных данных могут иметь
доступ сотрудники:
- директор;
- работники бухгалтерии;
- секретарь;
- заместители директора;
- иные работники, определяемые приказом директора Учреждения в
пределах своей компетенции.
4.4. Помимо лиц, указанных в п.4.3. настоящего Положения, право
доступа к персональным данным работников и обучающихся имеют только
лица, уполномоченные действующим законодательством.
4.5. Использование персональных данных возможно только в
соответствии с целями, определившими их получение.
4.6. Персональные данные не могут быть использованы в целях
причинения имущественного и морального вреда гражданам, затруднения
реализации прав и свобод граждан Российской Федерации. Ограничение прав
граждан Российской Федерации на основе использования информации об их
социальном происхождении, о расовой, национальной, языковой, религиозной
и партийной принадлежности запрещено и карается в соответствии с
законодательством.
4.7. Ответственным за организацию и осуществление хранения
персональных данных работников и обучающихся Учреждения является
назначенный приказом директора заместитель директора.
4.8. Персональные данные работника отражаются в личной карточке
работника, которая заполняется после издания приказа о его приеме на работу.
4.9. Персональные данные обучающегося отражаются в его личном деле,
которое заполняется после издания приказа о его зачислении в Учреждение. Личные дела обучающихся в алфавитном порядке формируются в папках классов, личные дела воспитанников в алфавитном порядке,
4.10. Хранение персональных данных должно происходить в порядке,
исключающем их утрату или их неправомерное использование.
4.11. При принятии решений, затрагивающих интересы работника,
работодатель не имеет права основываться на персональных данных работника,
полученных исключительно в результате их автоматизированной обработки
или электронного получения. Работодатель учитывает личные качества
работника, его добросовестный и эффективный труд.
4.12. Все меры конфиденциальности при сборе, обработке и хранении
персональных данных распространяются как на бумажные, так и на
электронные (автоматизированные) носители информации.
5. Передача персональных данных.
5.1. При передаче персональных данных работников и обучающихся
Учреждения другим юридическим и физическим лицам образовательное учреждение должно соблюдать следующие требования:
- не сообщать персональные данные работника/обучающегося третьей
стороне без письменного согласия работника/обучающегося и/или родителей
(законного представителя), за исключением случаев, когда это необходимо в
целях предупреждения угрозы жизни и здоровью работника/обучающегося, а
также в случаях, установленных федеральным законом;
- не сообщать персональные данные работника в коммерческих целях
без его письменного согласия;
- предупредить лиц, получающих персональные данные
работника/обучающегося, о том, что эти данные могут быть использованы
лишь в целях, для которых они сообщены, и требовать от этих лиц
подтверждения того, что это правило соблюдено. Лица, получающие
персональные данные работника/обучающегося, обязаны соблюдать режим
секретности (конфиденциальности). Данное положение не распространяется на
обмен персональными данными в порядке, установленном федеральными
законами;
- разрешать доступ к персональным данным работников/обучающихся
только специально уполномоченным лицам, определенным приказом по
Учреждению, при этом указанные лица должны иметь право получать только те
персональные данные работника, которые необходимы для выполнения
конкретных функций;
- не запрашивать информацию о состоянии здоровья работника/обучающегося, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником/обучающимся трудовой функции;
- передавать персональные данные работника представителям
работников в порядке, установленном Трудовым Кодексом, и ограничивать эту
информацию только теми персональными данными работника, которые
необходимы для выполнения указанными представителями их функций.
5.2. Передача персональных данных от держателя или его представителей
внешнему потребителю может допускаться в минимальных объемах и только в
целях выполнения задач, соответствующих объективной причине сбора этих
данных.
5.3. При передаче персональных данных работника потребителям (в том
числе и в коммерческих целях) за пределы организации работодатель не
должен сообщать эти данные третьей стороне без письменного согласия
работника, за исключением случаев, когда это необходимо в целях
предупреждения угрозы жизни и здоровью работника или в случаях,
установленных федеральным законом.
5.4. Не допускается отвечать на вопросы, связанные с передачей
персональной информации по телефону или факсу.
6. Защита персональных данных
6.1. Под угрозой или опасностью утраты персональных данных
понимается единичное или комплексное, реальное или потенциальное,
активное или пассивное проявление злоумышленных возможностей внешних
или внутренних источников угрозы создавать неблагоприятные события,
оказывать дестабилизирующее воздействие на защищаемую информацию.
6.2. Риск угрозы любым информационным ресурсам создают стихийные
бедствия, экстремальные ситуации, террористические действия, аварии
технических средств и линий связи, другие объективные обстоятельства, а
также заинтересованные и незаинтересованные в возникновении угрозы лица.
6.3. Защита персональных данных представляет собой жестко
регламентированный и динамически технологический процесс,
предупреждающий нарушение доступности, целостности, достоверности и
конфиденциальности персональных данных и, в конечном счете,
обеспечивающий достаточно надежную безопасность информации в процессе
деятельности Учреждения.
6.4. Защита персональных данных работника/обучающегося от
неправомерного их использования или утраты должна быть обеспечена
директора Учреждения за счет его средств в порядке, установленном федеральным законом.
6.5. «Внутренняя защита».
6.5.1. Основным виновником несанкционированного доступа к
персональным данным является, как правило, персонал, работающий с
документами и базами данных. Регламентация доступа персонала к
конфиденциальным сведениям, документам и базам данных входит в число
основных направлений организационной защиты информации и предназначена
для разграничения полномочий между администрацией и преподавателями
Учреждения.
6.5.2. Для обеспечения внутренней защиты персональных данных
работников/обучающихся необходимо соблюдать ряд мер:
- ограничение и регламентация состава работников, функциональные
обязанности которых требуют конфиденциальных знаний;
- строгое избирательное и обоснованное распределение документов и
информации между работниками;
- рациональное размещение рабочих мест работников, при котором
исключалось бы бесконтрольное использование защищаемой информации;
- знание работником требований нормативно – методических
документов по защите информации и сохранении тайны;
- наличие необходимых условий в помещении для работы с
конфиденциальными документами и базами данных;
- организация порядка уничтожения информации;
- своевременное выявление нарушения требований разрешительной
системы доступа работниками Учреждения;
- воспитательная и разъяснительная работа с сотрудниками по
предупреждению утраты сведений при работе с документами.
6.5.3. Защита персональных данных сотрудника/обучающегося на
электронных носителях.
Все папки, содержащие персональные данные сотрудника/обучающегося,
должны быть защищены паролем, который сообщается только директору
Учреждения.
6.6. «Внешняя защита».
6.6.1. Для защиты конфиденциальной информации создаются
целенаправленные неблагоприятные условия и труднопреодолимые
препятствия для лица, пытающегося совершить несанкционированный доступ к
овладению информацией. Целью и результатом несанкционированного доступа
к информационным ресурсам может быть не только овладение ценными
сведениями и их использование, но и их видоизменение, уничтожение,
внесение вируса, подмена, фальсификация содержания реквизитов документа и
др.
6.6.2. Под посторонним лицом понимается любое лицо, не имеющее
непосредственного отношения к деятельности школы, посетители, работники
других организаций. Посторонние лица не должны знать распределение
функций, рабочие процессы, технологию составления, оформления, ведения и
хранения документов, дел и рабочих материалов в отделе персонала.
6.6.3. Для обеспечения внешней защиты персональных данных
сотрудников необходимо соблюдать ряд мер:
- порядок приема, учета и контроля деятельности посетителей;
- пропускной режим организации;
- технические средства охраны, сигнализации;
- порядок охраны территории, зданий, помещений;
- требования к защите информации при интервьюировании и
собеседованиях.
6.7. Все лица, связанные с получением, обработкой и защитой
персональных данных, обязаны подписать обязательство о неразглашении
персональных данных работников/обучающихся.
6.8. По возможности персональные данные обезличиваются.
6.9. Кроме мер защиты персональных данных, установленных
законодательством, работодатели, работники и их представители могут
вырабатывать совместные меры защиты персональных данных
работников/обучающихся.
7. Права работников/обучающихся на обеспечение защиты
персональных данных
7.1. В целях обеспечения защиты персональных данных, хранящихся у
Учреждения, работники/обучающиеся и родители (законные представители) имеют право:
- получать полную информацию о своих персональных данных и их
обработке;
- требовать исключения или исправления неверных или неполных
персональных данных, а также данных, обработанных с нарушением
требований действующего законодательства. Указанное требование должно
быть оформлено письменным заявлением работника на имя руководителя
образовательного учреждения;
- при отказе руководителя образовательного учреждения исключить или
исправить персональные данные работника/обучающегося
работник/обучающийся и/или родитель (законный представитель) имеет право
заявить в письменном виде руководителю Учреждения о своем несогласии, с
соответствующим обоснованием такого несогласия. Персональные данные
оценочного характера работник/обучающийся и/или родитель (законный
представитель) имеет право дополнить заявлением, выражающим его
собственную точку зрения;
- на свободный бесплатный доступ к своим персональным данным,
включая право на получение копий любой записи, содержащей персональные
данные, за исключением случаев, предусмотренных федеральными законами.
Получение указанной информации о своих персональных данных возможно
при личном обращении работника/обучающегося и родителей (законных
представителей) к заместителю директора, ответственному за организацию и
осуществление персональных данных работников;
- требовать об извещении Учреждением всех лиц, которым ранее были
сообщены неверные или неполные персональные данные работника/обучающегося обо всех произведенных в них исключениях,
исправлениях или дополнениях;
- обжаловать в суде любые неправомерные действия или бездействия
Учреждения при обработке и защите его персональных данных.
8. Обязанности субъекта персональных данных по обеспечению
достоверности его персональных данных.
8.1. В целях обеспечения достоверности персональных данных работники
обязаны:
- передавать работодателю или его представителю комплекс
достоверных, документированных персональных данных, состав которых
установлен Трудовым кодексом РФ.
- в случае изменения персональных данных работника: фамилия, имя,
отчество, адрес места жительства, паспортные данные, сведения об
образовании, состоянии здоровья (вследствие выявления в соответствии с
медицинским заключением противопоказаний для выполнения работником его
должностных, трудовых обязанностей и т.п.) сообщать об этом в течение 5
рабочих дней с даты их изменений;
8.2. В целях обеспечения достоверности персональных данных
обучающихся обучающиеся и/или родители (законные представители) обязаны:
- при приеме в школу представлять уполномоченным работникам
Учреждения достоверные сведения о себе и своих несовершеннолетних детях;
- в случае изменения сведений, составляющих персональные данные
несовершеннолетнего обучающегося старше 14 лет, он обязан в течение 10
дней сообщить об этом уполномоченному работнику Учреждения;
- в случае изменения сведений, составляющих персональные данные
обучающегося, родители (законные представители) несовершеннолетнего
обучающегося в возрасте до 14 лет обязаны в течение месяца сообщить об этом
уполномоченному работнику Учреждения.
9. Ответственность за разглашение конфиденциальной информации,
связанной с персональными данными
9.1. Персональная ответственность – одно из главных требований к
организации функционирования системы защиты персональной информации и
обязательное условие обеспечения эффективности этой системы.
9.2. Юридические и физические лица, в соответствии со своими
полномочиями владеющие информацией о гражданах, получающие и
использующие ее, несут ответственность в соответствии с законодательством
Российской Федерации за нарушение режима защиты, обработки и порядка
использования этой информации.
9.3. Руководитель, разрешающий доступ сотрудника к
конфиденциальному документу, несет персональную ответственность за данное
разрешение.
9.4. Каждый сотрудник Учреждения, получающий для работы
конфиденциальный документ, несет единоличную ответственность за
сохранность носителя и конфиденциальность информации.
9.5. Лица, виновные в нарушении норм, регулирующих получение,
обработку и защиту персональных данных работника/обучающегося, несут
дисциплинарную, административную, гражданско-правовую или уголовную
ответственность в соответствии с федеральными законами.
9.5.1. За неисполнение или ненадлежащее исполнение работником по его
вине возложенных на него обязанностей по соблюдению установленного
порядка работы со сведениями конфиденциального характера директор Учреждения вправе применять предусмотренные Трудовым Кодексом дисциплинарные взыскания.
9.5.2. Должностные лица, в обязанность которых входит ведение
персональных данных сотрудника/обучающегося, обязаны обеспечить каждому
возможность ознакомления с документами и материалами, непосредственно
затрагивающими его права и свободы, если иное не предусмотрено законом.
Неправомерный отказ в предоставлении собранных в установленном порядке
документов, либо несвоевременное предоставление таких документов или иной
информации в случаях, предусмотренных законом, либо предоставление
неполной или заведомо ложной информации – влечет наложение на
должностных лиц административного штрафа в размере, определяемом
Кодексом об административных правонарушениях.
9.5.3. В соответствии с Гражданским Кодексом лица, незаконными
методами получившие информацию, составляющую служебную тайну, обязаны
возместить причиненные убытки, причем такая же обязанность возлагается и на
работников.
9.5.4. Уголовная ответственность за нарушение неприкосновенности
частной жизни (в том числе незаконное собирание или распространение
сведений о частной жизни лица, составляющего его личную или семейную
тайну, без его согласия), неправомерный доступ к охраняемой законом
компьютерной информации, неправомерный отказ в предоставлении собранных
в установленном порядке документов и сведений (если эти деяния причинили
вред правам и законным интересам граждан), совершенные лицом с
использованием своего служебного положения наказывается штрафом, либо
лишением права занимать определенные должности или заниматься
определенной деятельностью, либо арестом в соответствии с УК РФ.
9.6. Неправомерность деятельности органов государственной власти и
организаций по сбору и использованию персональных данных может быть
установлена в судебном порядке.
