Положение
о защите, хранении, обработке и передаче персональных данных
работников МКОУ «Цилитлинская СОШ»
1. Общие положения
1.1. Настоящее Положение определяется в соответствии со следующими нормативными правовыми актами:
– Трудовой кодекс Российской Федерации;
– Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных";
– Указ Президента РФ от 6 марта 1997 г. № 188 "Об утверждении Перечня сведений конфиденциального характера";
– Постановление Правительства РФ от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
– Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
– Приказ Роскомнадзора от 5 сентября 2013 г. № 996 "Об утверждении требований и методов по обезличиванию персональных данных";
1.2. Персональные данные Работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного Работника.
1.3. К персональным данным Работника относятся:
– фамилия, имя, отчество;
– дата рождения;
– гражданство;
– номер страхового свидетельства;
– ИНН;
– данные об образовании (реквизиты дипломов/иных документов);
– данные о приобретенных специальностях;
– семейное положение;
– данные о членах семьи (степень родства, Ф. И. О., год рождения, паспортные данные, включая прописку и место рождения);
– фактическое место проживания;
– контактная информация;
– данные о военной обязанности;
– данные о текущей трудовой деятельности (дата начала трудовой деятельности, кадровые перемещения, оклады и их изменения, сведения о поощрениях, данные о повышении квалификации и т. п.).
1.4. Обработка персональных данных – сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных работников МКОУ «Цилитлинская СОШ».
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных.
1.5. Персональные данные Работника являются конфиденциальной информацией и не могут быть использованы Работодателем или любым иным лицом в личных целях.
2. Сбор, обработка и защита персональных данных работника
2.1. Все персональные сведения о Работнике Работодатель может получить только от него самого.
В случаях, когда Работодатель может получить необходимые персональные данные Работника только у третьего лица, Работодатель должен уведомить об этом Работника и получить от него письменное согласие.
2.2. Работодатель обязан сообщить Работнику о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа Работника дать письменное согласие на их получение.
2.3. Работодатель не имеет права получать и обрабатывать персональные данные Работника о его политических, религиозных и иных убеждениях, а также о его членстве в общественных объединениях или профсоюзной деятельности, за исключением случаев, предусмотренных законодательством РФ.
2.4. Обработка персональных данных Работника осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия Работнику в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности Работника, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
2.5. Обработка указанных персональных данных работников работодателем возможна только с их письменного согласия.
2.6. Письменное согласие работника на обработку своих персональных данных должно включать:
– фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
– наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
– цель обработки персональных данных;
– перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
– перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
– срок, в течение которого действует согласие, а также порядок его отзыва.
2.7. Согласие Работника не требуется, если:
– обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона;
– обработка персональных данных осуществляется в целях исполнения трудового договора;
– обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
– персональные данные являются общедоступными;
– персональные данные относятся к состоянию здоровья Работника и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;
– персональные данные обрабатываются по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом.
3. Передача и хранение персональных данных работника
3.1.При передаче персональных данных Работника Работодатель должен соблюдать следующие требования:
– не сообщать персональные данные Работника третьей стороне без письменного согласия Работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
– не сообщать персональные данные Работника в коммерческих целях без его письменного согласия;
– обработка персональных данных Работника в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия;
– предупредить лиц, получивших персональные данные Работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
– лица, получившие персональные данные Работника, обязаны соблюдать режим секретности (конфиденциальности);
– осуществлять передачу персональных данных работников в пределах МКОУ «Цилитлинская СОШ» в соответствии с настоящим Положением;
– разрешать доступ к персональным данным Работника только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретной функции;
– не запрашивать информацию о состоянии здоровья Работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
– передавать персональные данные Работника представителям работников в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функции.
3.2. Персональные данные Работника хранятся в отделе кадров, в сейфе на бумажных носителях и на электронных носителях с ограниченным доступом.
3.3. Право доступа к персональным данным Работника имеют:
–директор МКОУ «Цилитлинская СОШ»;
– сотрудники отдела кадров;
– сотрудники бухгалтерии;
– сотрудники секретариата (информация о фактическом месте проживания и контактные телефоны работников);
– руководители структурных подразделений по направлению деятельности (доступ к персональным данным только работников своего подразделения).
4. Обязанности работодателя по защите персональных данных работника
4.1. Работодатель обязан за свой счет обеспечить защиту персональных данных Работника от неправомерного их использования или утраты в порядке, установленном законодательством РФ.
4.2. Работодатель обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных федеральными законами в области защиты персональных данных и иными нормативными правовыми актами:
– назначать сотрудника, ответственного за организацию обработки персональных данных;
– издавать документы, определяющие политику МКОУ «Цилитлинская СОШ» в отношении обработки персональных данных, локальные акты по вопросам обработки и защиты персональных данных;
– применять правовые, организационные и технические меры по обеспечению безопасности персональных данных;
– при сборе персональных данных Работника-гражданина РФ обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных Работника с использованием баз данных, находящихся на территории РФ
– осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных федеральным законам в области защиты персональных данных и иным нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
– оценивать вред, который может быть причинен субъектам персональных данных в случае нарушения законодательства в области защиты персональных данных, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законом;
– знакомить работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства в области защиты персональных данных, в том числе с документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучать указанных работников.
4.3. Работодатель обязан ознакомить Работника и его представителей с настоящим Положением и их правами в области защиты персональных данных под роспись.
4.9. Работодатель обязан обеспечить Работнику свободный бесплатный доступ к его персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законом.
4.10. Работодатель обязан по требованию Работника предоставить ему полную информацию о его персональных данных и обработке этих данных.
4.11. Работодатель обязан ежегодно под роспись знакомить Работника с записями в личной карточке Т-2.
5. Права работника на защиту его персональных данных
5.1. Работник в целях обеспечения защиты своих персональных данных, хранящихся у Работодателя, имеет право получать от Работодателя:
– сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
– перечень обрабатываемых персональных данных и источник их получения;
– сроки обработки персональных данных, в том числе сроки их хранения;
– сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
5.2 Работник вправе получать доступ к своим персональным данным и знакомиться с ними, а также получать копии любой записи, содержащей персональные данные Работника;
5.3. Работник может требовать от Работодателя уточнить, исключить или исправить неполные, неверные, устаревшие, недостоверные, незаконно полученные или не являющиеся необходимыми для Работодателя персональные данные;
5.4 Работник вправе требовать от Работодателя извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные Работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.
5.5. Если Работник считает, что Работодатель осуществляет обработку его персональных данных с нарушением требований Федерального закона или иным образом нарушает его права и свободы, Работник вправе обжаловать действия или бездействие Работодателя в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
6. Порядок уничтожения, блокирования персональных данных
6.1. В случае выявления неправомерной обработки персональных данных при обращении Работника Работодатель обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому Работнику, с момента такого обращения.
6.2. В случае выявления неточных персональных данных при обращении Работника Работодатель обязан осуществить блокирование персональных данных, относящихся к этому Работнику, с момента такого обращения, если блокирование персональных данных не нарушает права и законные интересы Работника или третьих лиц.
6.3. В случае подтверждения факта неточности персональных данных Работодатель на основании сведений, представленных Работником, или иных необходимых документов обязан уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
6.4. В случае выявления неправомерной обработки персональных данных, осуществляемой Работодателем, Работодатель в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных.
6.5. Если обеспечить правомерность обработки персональных данных невозможно, Работодатель в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные.
6.6. Об устранении допущенных нарушений или об уничтожении персональных данных Работодатель обязан уведомить Работника.
6.7. В случае достижения цели обработки персональных данных Работодатель обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено трудовым договором.
6.8. В случае отзыва Работником согласия на обработку его персональных данных Работодатель обязан прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено трудовым договором.
6.9. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 6.4-6.8 настоящего Положения, Работодатель осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
7. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника
7.1. Работники МКОУ «Цилитлинская СОШ», виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
7.2. Моральный вред, причиненный Работнику вследствие нарушения его прав, нарушения правил обработки персональных данных, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных Работником убытков.
8. Заключительные положения
8.1. Настоящее Положение вступает в силу с момента его утверждения директором МКОУ «Цилитлинская СОШ» и действует бессрочно, до замены его новым Положением.
8.2. Все изменения в Положение вносятся приказом директора МКОУ «Цилитлинская СОШ».
8.3. Все работники МКОУ «Цилитлинская СОШ» должны быть ознакомлены с настоящим Положением под роспись.
