Положение о работе с персональными данными работников и обучающихся
Документы
Положение
о работе с персональными данными работников и обучающихся
1.ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение разработано в соответствии с Федеральным законом РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных», гл. 14 «Защита персональных данных работника» Трудового кодекса РФ, Приказом ФСТЭК от 18 февраля 2013 г. № 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных" для обеспечения порядка обработки (получения, сбора, использования, передачи, хранения и защиты) персональных данных работников и учащихся образовательной организации (далее - ОО) и гарантии их конфиденциальности.
1.2. Под персональными данными работника понимается информация, касающаяся конкретного работника, необходимая оператору (руководителю ОО и (или) уполномоченному им лицу) в связи с трудовыми отношениями, возникающими между работником и работодателем (руководителем ОО).
1.3. Под персональными данными обучающегося понимается информация, касающаяся конкретного учащегося, необходимая оператору (руководителю ОО и (или) уполномоченному им лицу) в связи с отношениями, возникающими между родителями (законными представителями) учащегося и ОО (руководителем ОО).
2.ДОКУМЕНТЫ, СОДЕРЖАЩИЕ СВЕДЕНИЯ,
СОСТАВЛЯЮЩИЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ
2.1. Документы, содержащие сведения, необходимые для заключения, изменения или прекращения трудового договора с работником (оформления трудовых отношений с работником):
- паспорт;
- документы об образовании, квалификации;
- медицинское заключение об отсутствии противопоказаний для занятия конкретным видом деятельности в ОО;
- страховое свидетельство государственного пенсионного страхования;
- ИНН;
- приговор суда о запрете заниматься педагогической деятельностью или занимать руководящие должности;
- документ воинского учета.
2.2. Документы, содержащие сведения, необходимые для предоставления работнику гарантий и компенсаций, установленных действующим законодательством:
- документы о составе семьи;
- документы о состоянии здоровья (сведения об инвалидности и т.п.);
- документы о состоянии здоровья детей и других близких родственников (например, справки об инвалидности, о наличии хронических заболеваний);
- документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (донорстве, нахождении в зоне воздействия радиации в связи с аварией на Чернобыльской АЭС и т.п.);
- документы о беременности работницы;
- документы о возрасте малолетних детей;
- документы о месте обучения детей.
2.3. Документы, содержащие сведения, необходимые для реализация конституционного права на получение образования (заключения договора с родителями (законными представителями) учащегося):
- документ, удостоверяющий личность учащегося (свидетельство о рождении или паспорт);
- документ о получении образования, необходимого для поступления в соответствующий класс (личное дело, справка с предыдущего места учебы и т.п.);
- медицинское заключение об отсутствии противопоказаний для обучения в ОО конкретного типа;
- медицинское заключение о возможности изучения предметов, представляющих повышенную опасность для здоровья (физкультура, информатика и т.п.);
- документ о месте проживания;
- паспорт одного из родителей (законных представителей) учащегося;
- полис обязательного медицинского страхования.
2.4. Документы, содержащие сведения, необходимые для предоставления учащемуся гарантий и компенсаций, установленных действующим законодательством:
- документы о составе семьи;
- документы о состоянии здоровья (сведения об инвалидности, наличии хронических заболеваний.);
- документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (родители-инвалиды, неполная семья, ребенок-сирота, и т.п.).
3.УСЛОВИЯ ПРОВЕДЕНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Обработка персональных данных работника.
3.1.1. Обработка (получение, сбор, использование, передача, хранение и защита) персональных данных работника может осуществляться исключительно в целях:
- обеспечения соблюдения законов и иных нормативных правовых актов,
- содействия работникам в трудоустройстве, получении образования и продвижении по службе,
- обеспечения личной безопасности работников,
- контроля количества и качества выполняемой работы,
- обеспечения сохранности имущества,
в минимально необходимом для этих целей объеме.
3.1.2. Все персональные данные работника можно получать только у него самого, за исключением случаев, предусмотренных федеральным законом. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работник должен быть проинформирован о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.
3.1.3. В соответствии со ст. 24 Конституции РФ оператор (руководитель ОО и (или) уполномоченное им лицо) вправе осуществлять сбор, передачу, уничтожение, хранение, использование информации о политических, религиозных, других убеждениях и частной жизни, а также информации, нарушающей тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений работника только с его письменного согласия или на основании судебного решения.
3.2. Обработка персональных данных учащегося.
3.2.1. Обработка (получение, сбор, использование, передача, хранение и защита) персональных данных учащегося может осуществляться исключительно в целях:
- обеспечения соблюдения законов и иных нормативных правовых актов,
- содействия учащимся в получении образования, трудоустройстве,
- обеспечения их личной безопасности,
- контроля обучения и воспитания,
- обеспечения сохранности имущества
в минимально необходимом для этих целей объеме.
3.2.2. Все персональные данные несовершеннолетнего учащегося до получения им основного общего образования можно получать только у его родителей (законных представителей). Если персональные данные учащегося возможно получить только у третьей стороны, то родители (законные представители) учащегося должны быть уведомлены об этом заранее и от них должно быть получено письменное согласие. Родители (законные представители) учащегося должны быть проинформирован о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.
3.2.3. Все персональные данные несовершеннолетнего учащегося после получения им основного общего образования или совершеннолетнего учащегося можно получать только у него самого. Если персональные данные такого обучающегося возможно получить только у третьей стороны, то он должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Такой учащийся должен быть проинформирован о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.
3.2.4. В соответствии со ст. 24 Конституции РФ оператор (руководитель ОО и (или) уполномоченное им лицо) вправе осуществлять сбор, передачу, уничтожение, хранение, использование информации о политических, религиозных, других убеждениях и частной жизни, а также информации, нарушающей тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений учащегося только с его письменного согласия (согласия родителей (законных представителей) несовершеннолетнего учащегося до получения им основного общего образования), форма которого определяется ч.4 ст.9 Федерального закона «О защите персональных данных» или на основании судебного решения.
4.ФОРМИРОВАНИЕ И ВЕДЕНИЕ ДЕЛ,
КАСАЮЩИХСЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Персональные данные работника размещаются в личной карточке работника формы Т-2, которая заполняется после издания приказа о его приеме на работу. Личные карточки работников хранятся в специально оборудованных несгораемых шкафах в алфавитном порядке.
4.2. Персональные данные учащегося размещаются в его личном деле, которое заполняется после издания приказа о зачислении в школу. Личные дела учащихся формируются в папках классов, которые хранятся в специально оборудованных несгораемых шкафах.
4.3. Право доступа к личным данным работников и учащихся имеют только оператор (руководитель ОО и (или) уполномоченное им лицо) и лица, уполномоченные действующим законодательством.
5. ХРАНЕНИЕ И ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Персональные данные работников и учащихся хранятся на электронных носителях на сервере ОО, а также на бумажных и электронных носителях у оператора (руководителя ОО и (или) уполномоченного им лица).
5.2. При работе с персональными данными в целях обеспечения информационной безопасности необходимо, чтобы:
- рабочая станция, предназначенная для обработки конфиденциальных данных, прошла сертификацию и имела соответствующую документацию, хранящуюся у ответственного лица;
- оператор, осуществляющий работу с персональными данными, не оставлял в свое отсутствие компьютер незаблокированным;
- оператор имел свой персональный идентификатор и пароль, не оставлял его на рабочем месте и не передавал другим лицам;
- компьютер с базой данных не был подключен к локальной сети и сети Интернет, за исключением линий соединения с сервером базы данных.
5.3 Личные карточки уволенных работников хранятся в архиве ОО в алфавитном порядке в течение 75 лет (ст. 656 «Перечня типовых управленческих архивных документов, образующихся в деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», утвержденного Приказом Министерства культуры РФ от 25 августа 2010 года № 558).
5.4. Доступ к персональным данным работников без получения специального разрешения имеют:
- руководитель ОО;
- главный бухгалтер;
- специалист по кадрам (ответственный за ведение кадрового делопроизводства).
5.5 Доступ к персональным данным учащегося без получения специального разрешения имеют:
- руководитель ОО;
- заместители руководителя ОО;
- секретарь учебной части;
- классные руководители (только к персональным данным учащихся своего класса).
5.6. По письменному запросу, на основании приказа руководителя ОО, к персональным данным работников и учащихся могут быть допущены иные лица, в пределах своей компетенции.
5.7 Оператор (руководитель ОО и (или) уполномоченное им лицо) при обработке персональных данных должен руководствоваться настоящим Положением, Должностной инструкцией ответственного за безопасность персональных данных и обязан использовать персональные данные работников и учащихся лишь в целях, для которых они были предоставлены.
6. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Персональные данные работника (учащегося) не могут быть сообщены третьей стороне без письменного согласия работника, учащегося (родителей (законных представителей) несовершеннолетнего учащегося до получения им основного общего образования), за исключением случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (учащегося), а также в случаях, установленных федеральным законом.
6.2. Передача персональных данных работника (учащегося) его представителям может быть осуществлена в установленном действующим законодательством порядке только в том объеме, который необходим для выполнения указанными представителями их функций.
7. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИХ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Работники и учащиеся (родители (законные представители) несовершеннолетних учащихся до получения ими основного общего образования) имеют право на полную информацию о своих персональных данных (персональных данных своих несовершеннолетних детей до получения ими основного общего образования) и их обработке, свободный бесплатный доступ к своим персональным данным (персональным данным своих несовершеннолетних детей до получения ими основного общего образования). Работники и учащиеся (родители (законные представители) несовершеннолетних учащихся до получения ими основного общего образования) могут потребовать исключить или исправить неверные или неполные персональные данные, а также данные, обработанные с нарушением установленных требований.
7.2. Персональные данные оценочного характера работник и учащийся (родители (законные представители) несовершеннолетнего учащегося до получения им основного общего образования) имеет право дополнить заявлением, выражающим его собственную точку зрения.
8. ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ ПО ОБЕСПЕЧЕНИЮ ДОСТОВЕРНОСТИ ЕГО ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Для обеспечения достоверности персональных данных работники и учащиеся (родители (законные представители) несовершеннолетних учащихся до получения ими основного общего образования) обязаны предоставлять оператору (руководителю ОО и (или) уполномоченному им лицу) сведения о себе (своих несовершеннолетних детях до получения ими основного общего образования).
8.2. В случае изменения сведений, составляющих персональные данные, необходимые для заключения трудового договора работник обязан в течение 10 рабочих дней сообщить об этом оператору (руководителю ОО и (или) уполномоченному им лицу).
8.3. В случае изменения сведений, составляющих персональные данные совершеннолетнего учащегося, он обязан в течение месяца сообщить об этом оператору (руководителю ОО и (или) уполномоченному им лицу).
8.4. В случае изменения сведений, составляющих персональные данные обучающегося, родители (законные представители) несовершеннолетнего учащегося до получения им основного общего образования) обязаны в течение месяца сообщить об этом оператору (руководителю ОО и (или) уполномоченному им лицу).
8.5. Предоставление работнику (учащемуся) гарантий и компенсаций, предусмотренных действующим законодательством, осуществляется с момента предоставления соответствующих сведений, если иное не предусмотрено действующим законодательством.
9.ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НАСТОЯЩЕГО ПОЛОЖЕНИЯ
9.1. За нарушение порядка обработки (сбора, хранения, использования, распространения и защиты) персональных данных должностное лицо несет административную ответственность (на основании ст. 13.11 «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» Кодекса РФ об административных правонарушениях).
9.2. За нарушение правил хранения и использования персональных данных, повлекшее за собой материальный ущерб работодателю, работник несет материальную ответственность (на основании ст. 238 «Материальная ответственность работника за ущерб, причиненный работодателю» и ст.241 «Пределы материальной ответственности работника» Трудового кодекса РФ).
9.3. Материальный ущерб, нанесенный работнику за счет ненадлежащего хранения и использования персональных данных, подлежит возмещению в полном объеме (ст. 235 «Материальная ответственность работодателя за ущерб, причиненный имуществу работника» Трудового кодекса РФ), а моральный — в форме и размерах, определенных трудовым договором (ст. 237 «Возмещение морального вреда, причиненного работнику» Трудового кодекса РФ).
9.4. Оператор (руководитель ОО и (или) уполномоченные им лица) вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных лишь обработку следующих персональных данных:
- относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения (работникам);
- полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных (учащийся, подрядчик, исполнитель и т.п.), если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
- являющихся общедоступными персональными данными;
- включающих в себя только фамилии, имена и отчества субъектов персональных данных;
- необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
- включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
Во всех остальных случаях оператор (руководитель ОО и (или) уполномоченные им лица) обязан направить в уполномоченный орган по защите прав субъектов персональных данных соответствующее уведомление (ч. 3 ст. 22 Федерального закона «О защите персональных данных») не позднее 1 января 2008 г.