ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ И ОБУЧАЮЩИХСЯ ГБУ ДО «РЕСПУБЛИКАНСКИЙ ДЕТСКИЙ ТЕХНОПАРК «КВАНТОРИУМ»
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение разработано в соответствии с положениями Конституции Российской Федерации, Трудового кодекса РФ, Федерального закона «Об информации, информационных технологиях и о защите информации» № 149-ФЗ от 27.07.2006 года, Федерального закона «О персональных данных» № 152-ФЗ от 27.07.2006 года (далее — Федеральный закон) и других определяющих случаи и особенности обработки персональных данных федеральных законов.
1.2. Целью настоящего Положения является защита персональных данных работников и обучающихся (субъектов персональных данных) в ГБУ ДО «РДТ «Кванториум» (далее — оператор, учреждение) от несанкционированного доступа, неправомерного их использования или утраты.
1.3. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. А также данные cookie для сервиса веб-аналитики «Яндекс.Метрика», а именно:
IP-адрес, информация из файлов cookie, информация о браузере пользователя (или иной программе, с помощью которой осуществляется доступ к сервисам Сайта), информация об аппаратном и программном обеспечении устройства пользователя, время доступа, адреса запрашиваемых страниц, другая информация.
1.4. Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом.
1.5. Персональные данные субъекта являются конфиденциальной информацией и не могут быть использованы оператором или любым другим лицом в личных целях. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством.
1.6. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ
ДАННЫХ
2.1. Обработка персональных данных должна осуществляться на законной и справедливой основе и ограничиваться достижением конкретных, заранее определенных и законных целей.
2.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законом. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2.3. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
2.4. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом.
2.5. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
3. ХРАНЕНИЕ, ОБРАБОТКА И ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ И ОБУЧАЮЩИХСЯ
3.1. Обработка персональных данных работников осуществляется исключительно в целях обеспечения соблюдения законов и иных
нормативных правовых актов, содействия работнику в трудоустройстве, повышении квалификации, контроля количества и качества выполняемой работы, предоставления отпуска и при других обоснованных условиях.
3.2. Персональные данные работника обрабатываются и хранятся в бухгалтерии учреждения, которое находится под круглосуточной охраной:
— в электронном виде на персональных компьютерах без права хранения на внешних носителях информации;
— на бумажных носителях в специально оборудованных шкафах и сейфах (личные карточки формы Т2, трудовые книжки и вкладыши к ним).
Право доступа к персональным данным работника имеют:
— директор учреждения, его заместитель, главный бухгалтер — в полном
объеме;
— специалист по кадрам, бухгалтер — в объеме должностных обязанностей;
— сотрудник — по письменному заявлению, только к своим персональным данным.
3.3. Персональные данные обучающегося обрабатываются и хранятся в учебной части учреждения, которое находится под круглосуточной охраной:
— в электронном виде на персональных компьютерах без права хранения на внешних носителях информации;
— на бумажных носителях в специально оборудованных шкафах и сейфах.
Право доступа к персональным данным обучающегося имеют:
— директор учреждения, его заместитель, заведующий учебной частью — в полном объеме;
— администратор, методист — в объеме должностных обязанностей;
— обучающийся (его законный представитель) — только к своим персональным данным.
3.4. Директор учреждения может передавать персональные данные работника третьим лицам, только если это необходимо в целях предупреждения угрозы жизни и здоровья работника, а также в случаях, установленных законодательством.
3.5. Учреждение осуществляет передачу персональных данных работников и обучающихся (их законных представителей) только при наличии согласия указанных лиц на обработку персональных данных, разрешенных ими для распространения.
3.6. Согласие работника или обучающегося (его законного представителя) на обработку персональных данных, разрешенных ими для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
3.7. Учреждение обязано обеспечить работникам и обучающимся (их законным представителям) возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных этими лицами для распространения.
3.8. Молчание или бездействие работника или обучающегося (его законного представителя) ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных им для распространения.
3.9. В согласии работника или обучающегося (его законного представителя) на обработку персональных данных, разрешенных им для распространения, работник и обучающийся (его законный представитель) вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных учреждением неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.
3.10. Установленные работником или обучающимся (его законным представителем) запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных им для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.
3.11. При передаче персональных данных работника специалист по кадрам и директор учреждения предупреждают лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.
3.12. Все персональные данные несовершеннолетнего обучающегося в возрасте до 14 лет (малолетнего) предоставляются его родителями (законными представителями).
Если персональные данные обучающегося возможно получить только у третьей стороны, то родители (законные представители) обучающегося должны быть уведомлены об этом заранее и от них должно быть получено письменное согласие. Родители (законные представители) обучающегося должны быть проинформированы о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.
3.13. Персональные данные несовершеннолетнего обучающегося в возрасте старше 14 лет могут быть предоставлены самим обучающимся с письменного согласия своих законных представителей — родителей, усыновителей или попечителя. Если персональные данные обучающегося возможно получить только у третьей стороны, то обучающийся должен быть уведомлен об этом заранее и от него и (или) его родителей (законных представителей) должно быть получено письменное согласие. Обучающийся и (или) его родители (законные представители) должны быть проинформированы о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.
3.14. Все сведения о передаче персональных данных субъектов учитываются для контроля правомерности использования данной информации лицами, ее получившими.
3.15. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, состояния здоровья и других, допускается только в случаях, если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных и при других условиях, указанных в ч. 2 ст. 10 Федерального закона.
4. ОБЯЗАННОСТИ ОПЕРАТОРА ПО ХРАНЕНИЮ И ЗАЩИТЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Работники и обучающиеся и (или) их родители (законные представители) должны быть ознакомлены с настоящим Положением и их правами в области защиты персональных данных.
4.2. Учреждение обязано осуществлять передачу персональных данных работников и обучающихся только в соответствии с настоящим Положением и законодательством РФ.
4.3. Учреждение обязано предоставлять персональные данные работников и обучающихся только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей, в соответствии с настоящим Положением и законодательством РФ.
4.4. Учреждение не вправе предоставлять персональные данные работников и обучающихся в коммерческих целях без их письменного согласия.
4.5. Образовательное учреждение обязано обеспечить работникам и обучающимся свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных законодательством.
4.6. Учреждение обязано по требованию субъекта предоставить ему полную информацию о его персональных данных и обработке этих данных.
5. ПРАВА РАБОТНИКА И ОБУЧАЮЩЕГОСЯ НА ЗАЩИТУ ЕГО
ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Работники и обучающиеся учреждения в целях обеспечения защиты своих персональных данных, хранящихся в учреждении, имеют право:
— получать полную информацию о своих персональных данных, их обработке, хранении и передаче;
— требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушениями настоящего Положения и законодательства РФ.
5.2. Если субъект персональных данных считает, что учреждение осуществляет обработку его персональных данных с нарушением требований Федерального закона или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие работодателя в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
5.3. Работник или обучающийся (его законный представитель) вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных им для распространения, к любому лицу, обрабатывающему его персональные данные.
6. ПОРЯДОК УНИЧТОЖЕНИЯ, БЛОКИРОВАНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных учреждение обязано осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту, с момента такого обращения на период проверки.
6.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных учреждение обязано осуществить блокирование персональных данных, относящихся к этому субъекту, с момента такого обращения на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта или третьих лиц.
6.3. В случае подтверждения факта неточности персональных данных учреждение на основании сведений, представленных субъектом персональных данных, или иных необходимых документов обязано уточнить персональные данные в случае представления таких сведений и снять блокирование персональных данных.
6.4. В случае поступления требования работника или обучающегося (его законного представителя) о прекращении распространения его персональных данных передача (распространение, предоставление, доступ) персональных данных, разрешенных таким работником или обучающимся (его законным представителем) для распространения, должна быть прекращена в любое время.
Действие согласия работника или обучающегося (его законного представителя) на обработку персональных данных, разрешенных им для распространения, прекращается с момента поступления в учреждение указанного требования.
6.5. В случае выявления неправомерной обработки персональных данных, осуществляемой учреждением, оно обязано прекратить неправомерную обработку персональных данных.
6.6. В случае достижения цели обработки персональных данных учреждение обязано прекратить обработку персональных данных и уничтожить персональные данные в соответствии с требованиями, установленными законодательством РФ или продолжить обработку персональных данных, в случае если имеются законные основания.
6.7. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных учреждение обязано прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого является субъект персональных данных.
7. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к ответственности в порядке, установленном законодательством Российской Федерации.
7.2. Моральный вред, причиненный субъекту вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации.
8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
8.1. Настоящее Положение вступает в силу с момента его утверждения.
8.2. Работодатель обеспечивает беспрепятственный доступ работников, обучающихся и их законных представителей к настоящему Положению.
8.3. Настоящее Положение доводится до сведения всех работников под роспись.
8.4. Изменения и дополнения в настоящее Положение могут быть внесены на основании приказа директора учреждения.