- Общие положения
- Положение разработано в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Трудовым кодексом и ст. 5.27 и ст. 5.39 Кодекса об административных правонарушениях РФ.
- Настоящим Положением определяется порядок обращения с персональными данными работников Муниципального бюджетного общеобразовательного учреждения Юшковской основной
общеобразовательной школы имени Героя Советского Союза В. М. Вишенкова Вяземского района Смоленской области (далее - Учреждение)
-
- Упорядочение обращения с персональными данными имеет целью обеспечить соблюдение законных прав и интересов работников в связи с необходимостью получения (сбора), систематизации (комбинирования), хранения и передачи сведений, составляющих (см. далее) персональные данные.
- Персональные данные работника - любая информация, относящаяся к данному работнику (субъекту персональных данных) и необходимая Учреждению в связи с трудовыми отношениями, в том числе: фамилия, имя, отчество; дата (год, месяц, число месяца) и место рождения; паспортные данные; адреса, телефоны; семейное, социальное, положение; образование; номер страхового свидетельства государственного пенсионного страхования; данные о трудовой деятельности (согласно записям в трудовой книжке); данные об аттестации; данные о состоянии здоровья; индивидуальные сведения о начислении страховых взносов на обязательное пенсионное страхование и данные о трудовом стаже (для передачи в органы Пенсионного фонда России), другая аналогичная информация, на основании которой возможна безошибочная идентификация субъекта персональных данных.
- Сведения о персональных данных относятся к числу конфиденциальных (составляющих охраняемую законом тайну Учреждения). Режим конфиденциальности в отношении персональных данных снимается: в случае их обезличивания; по истечении 75 лет срока их хранения; в других случаях, предусмотренных федеральными законами.
- Основные понятия
- Для целей настоящего Положения используются следующие основные понятия:
- персональные данные - в соответствии с определением п. 1.3 настоящего Положения;
- обработка персональных данных - сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных;
- конфиденциальность персональных данных - обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным сотрудников, требование не допускать их распространения без согласия работника или иного законного основания;
- распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационнотелекоммуникационных сетях или представление доступа к персональным данным каким-либо иным способом;
- использование персональных данных - действия (операции) с персональными данными, совершаемые уполномоченным должностным лицом Учреждения в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении сотрудников либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
- блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных сотрудников, в том числе их передачи;
- уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных работников;
- обезличивание персональных данных работников - действия, в результате которых невозможно определить принадлежность персональных данных конкретному работнику;
- общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц, к которым предоставлен с согласия работника, или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
- информация - сведения (сообщения, данные) независимо от формы их представления;
-документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
-
- Информация, представляемая работником при поступлении на работу в Учреждение, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса РФ лицо, поступающее на работу, предъявляет: паспорт или иной документ, удостоверяющий личность; трудовую книжку, за исключением случаев, когда договор заключается впервые, или работник поступает на работу на условиях совместительства, или трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам; страховое свидетельство государственного пенсионного страхования; документы воинского учета - для лиц, подлежащих воинскому учету; документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки; свидетельство о присвоении ИНН (при его наличии у работника).
- При оформлении работника заполняется унифицированная форма Т-2 "Личная карточка работника", в которой отражаются следующие анкетные и биографические данные работника:
- общие сведения (Ф.И.О., дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);
- сведения о воинском учете;
- данные о приеме на работу;
- сведения об аттестации;
- сведения о повышенной квалификации;
- сведения о профессиональной переподготовке;
- сведения о наградах (поощрениях), почетных званиях;
- сведения об отпусках;
- сведения о социальных гарантиях;
- сведения о месте жительства и о контактных телефонах.
- В Учреждении создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:
- Документы, содержащие персональные данные работников:
- В Учреждении создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:
- комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;
- подлинники и копии приказов по личному составу;
- личные дела и трудовые книжки;
- дела, содержащие основания к приказу по личному составу;
- дела, содержащие материалы аттестаций сотрудников;
- дела, содержащие материалы внутренних расследований;
- справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Учреждения,
-копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения.
- Организация обработки персональных данных сотрудников
- Обработка персональных данных сотрудников организуется в соответствии со следующим порядком:
- получение персональных данных;
- проверка достоверности персональных данных;
- накопление персональных данных;
- ввод и систематизация в банк данных;
- учёт и контроль обеспечения сохранности;
- разграничение и ревизия доступа;
- резервное копирование;
- восстановление, комбинирование;
- анализ, обновление;
- выдача по запросу.
- Все персональные данные сотрудника следует получать у него самого. Если персональные данные возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее (в письменной форме) и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа работника дать письменное согласие на их получение.
- Работодатель не имеет права получать и обрабатывать персональные данные сотрудника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни сотрудника только с его письменного согласия.
- Обработка указанных персональных данных работников работодателем возможна только с их согласия либо без их согласия в следующих случаях: - персональные данные являются общедоступными;
- персональные данные относятся к состоянию здоровья работника, и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;
- по требованию полномочных государственных органов;
- в случаях, предусмотренных федеральным законом.
- Работодатель вправе обрабатывать персональные данные работников только с их письменного согласия.
- Письменное согласие работника на обработку своих персональных данных должно включать в себя:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие, а также порядок его отзыва.
- Согласие работника не требуется в следующих случаях:
- обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия работодателя;
- обработка персональных данных в целях исполнения трудового договора;
- обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно.
- Работник Учреждения представляет достоверные сведения о себе. Секретарь проверяет достоверность сведений.
- В соответствии со ст. 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина руководитель Учреждения и его законные, полномочные представители при обработке персональных данных сотрудника должны выполнять следующие общие требования:
- Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов или иных правовых актов, содействия работникам в трудоустройстве, обучении и профессиональном продвижении, обеспечение личной безопасности сотрудников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
- При определении объема и содержания, обрабатываемых персональных данных работодатель должен руководствоваться Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами.
- При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных, полученных о нем исключительно в результате их автоматизированной обработки или электронного получения.
- Защита персональных данных работника от неправомерного их использования утраты обеспечивается работодателем за счет его средств в порядке, установленном федеральным законом.
- Работники должны быть ознакомлены под расписку с документами Учреждения, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
- Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.
- Передача персональных данных
- При передаче персональных данных работника работодатель должен соблюдать следующие требования:
- Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.
- Не сообщать персональные данные работника в коммерческих целях без его письменного согласия. Обработка персональных данных работников в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
- Предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.
- Осуществлять передачу персональных данных сотрудников в пределах Учреждения в соответствии с настоящим Положением.
- Разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
- Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения сотрудником трудовой функции.
- Передавать персональные данные работника его законным, полномочным представителям в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
- Персональные данные работников обрабатываются и хранятся у директора.
- Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети).
- При получении персональных данных не от работника (за исключением случаев, если персональные данные являются общедоступными) работодатель до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:
- При передаче персональных данных работника работодатель должен соблюдать следующие требования:
- наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- установленные федеральными законами права субъекта персональных данных.
- Доступ к персональным данным сотрудников
- Право доступа к персональным данным сотрудников имеют:
- руководитель Учреждения;
- исполняющие обязанности директора на период его отсутствия (курсы, отпуск и т.п.);
- Сотрудник Учреждения имеет право:
- Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копии любой записи, содержащей его персональные данные.
- Требовать от работодателя уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для работодателя персональных данных.
- Получать от работодателя:
- Сотрудник Учреждения имеет право:
- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
- перечень обрабатываемых персональных данных и источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
-
- Требовать извещения работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
- Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия работодателя при обработке и защите его персональных данных.
- Копировать и делать выписки персональных данных сотрудника разрешается исключительно в служебных целях с письменного разрешения начальника отдела кадров.
- Передача информации третьей стороне возможна только при письменном согласии работников.
-
- Ответственность за нарушение норм, регулирующих обработку
персональных данных- Работники Учреждения, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
- Руководитель Учреждения за нарушение порядка обращения с персональными данными несет административную ответственность согласно ст. ст. 5.27 и 5.39 Кодекса об административных правонарушениях РФ, а также возмещает сотруднику ущерб, причиненный неправомерным использованием информации, содержащей персональные данные об этом сотруднике.
- Уведомление об обработке персональных данных
1. Оператор до начала обработки персональных
данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 раздела VII.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
- обрабатываемых в соответствии с трудовым законодательством (п. 1 в ред. Федерального закона от 25.07.2011 N 261-ФЗ);
- полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
- относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных (в ред. Федерального закона от 25.07.2011 N 261-ФЗ);
- сделанных субъектом персональных данных общедоступными (п. 4 в ред. Федерального закона от 25.07.2011 N 261-ФЗ);
- включающих в себя только фамилии, имена и отчества субъектов персональных данных;
- необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
- включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка (в ред.
Федерального закона от 25.07.2011 N 261-ФЗ);
- обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
- обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства (п.
9 введен Федеральным законом от 25.07.2011 N 261-ФЗ).
- Уведомление, предусмотренное пунктом 1 раздела VII, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения (в ред. Федерального закона от 25.07.2011 N 261-ФЗ):
- наименование (фамилия, имя, отчество), адрес оператора;
- цель обработки персональных данных;
- категории персональных данных;
- категории субъектов, персональные данные которых обрабатываются;
- правовое основание обработки персональных данных;
- перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
- описание мер, предусмотренных статьями 18.1 и 19 Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств (п. 7 в ред. Федерального закона от 25.07.2011 N 261-ФЗ);
- фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты (п. 7.1 введен Федеральным законом от 25.07.2011 N 261- ФЗ);
- дата начала обработки персональных данных;
- срок или условие прекращения обработки персональных данных;
- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки (п.
10 введен Федеральным законом от 25.07.2011 N 261-ФЗ);
-
- сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации (п. 10.1 введен Федеральным законом от 21.07.2014 N 242-ФЗ);
- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации (п.
11 введен Федеральным законом от 25.07.2011 N 261-ФЗ).
- Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 раздела VII, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.
- На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.
- В случае предоставления неполных или недостоверных сведений, указанных в части 3 раздела VII, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.
- В случае изменения сведений, указанных в части 3 раздела VII, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных (часть 7 в ред. Федерального закона от 25.07.2011 N 261-ФЗ).
- Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
- осуществлять внутренний контроль за соблюдением оператором и его числе требований к защите персональных данных;
- доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
- организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.