Положение

об обработке и защите персональных данных работников и обучающихся

 

1. Общие положения

 

1.1.Настоящее Положение об обработке и защите персональных данных работников и обучающихся (далее – Положение) разработано в соответствии с Трудовым кодексом РФ, Конституцией РФ (ст. 24), Федеральными законами от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»,  от 27 июля 2006 года № 152-ФЗ «О персональных данных», Правилами внутреннего трудового распорядка.

1.2.Положение разработано с целью определения порядка обработки и защиты информации, относящейся к личности и личной жизни работников и обучающихся государственного бюджетного общеобразовательного учреждения Астраханской области

«Астраханский технический лицей» (далее Лицей).

1.3. Положение вступает в силу с момента его утверждения директором Лицея. Все изменения в Положение вносятся приказом директора.

 

2. Основные понятия и состав персональных данных

2.1. Персональные данные – любая информация, относящаяся к определённому или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

2.2. Персональные данные работника  – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

Персональные данные учащихся – информация, необходимая Лицею в связи с отношениями, возникающими между учащимися, его родителями (законными представителями) и Лицеем.

2.3. Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

2.4.Распространение персональных данных – действия, направленные на передачу персональных данных определённому кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

2.5. Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

2.6.Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

2.7. К персональным данным работника, получаемым работодателем и подлежащим хранению у работодателя в порядке, предусмотренном действующим законодательством и настоящим Положением, относятся следующие сведения, содержащиеся в личных делах работников:

- анкетные и биографические данные;

- образование;

- сведения о трудовом и общем стаже;

- сведения о составе семьи;

- паспортные данные;

- сведения о воинском учете;

- сведения о заработной плате сотрудника;

- сведения о социальных льготах;

- специальность;

- занимаемая должность;

- наличие судимостей;

- адрес места жительства;

- домашний телефон;

- место работы или учебы членов семьи и родственников;

- характер взаимоотношений в семье;

- содержание трудового договора;

- состав декларируемых сведений о наличии материальных ценностей;

- содержание декларации, подаваемой в налоговую инспекцию;

- подлинники и копии приказов по личному составу;

- личные дела и трудовые книжки сотрудников;

- основания к приказам по личному составу;

- дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;

- копии отчетов, направляемые в органы статистики.

 

2.8. К персональным данным обучающихся, получаемым Лицеем и подлежащим хранению в порядке, предусмотренном действующим законодательством и настоящим Положением, относятся следующие сведения, содержащиеся в личных делах обучающихся:

– документы, удостоверяющие личность учащегося (копии свидетельства о рождении или паспорта);

– документы о месте проживания;

– документы о составе семьи;

– паспортные данные родителей (законных представителей) учащегося;

–документы о получении образования, необходимого для поступления в соответствующий класс (личное дело, справка с предыдущего места учебы и т.п.);

– полис медицинского страхования;

–документы о состоянии здоровья (сведения об инвалидности, о наличии хронических заболеваний, медицинское заключение об отсутствии противопоказаний для обучения в образовательном учреждении конкретного вида и типа, о возможности изучения предметов, представляющих повышенную опасность для здоровья и т.п.);

–документы, подтверждающие права на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (родители-инвалиды, неполная семья, ребенок-сирота и т.п.);

– иные документы, содержащие персональные данные (в том числе сведения, необходимые для предоставления учащемуся гарантий и компенсаций, установленных действующим законодательством).

Родители (законные представители) могут сообщить иные сведения, с которыми считают нужным ознакомить работников Лицея.

 

3. Основные условия проведения обработки персональных данных

 

3.1. Лицей определяет объем, содержание обрабатываемых персональных данных работников и обучающихся, руководствуясь Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, ФЗ «Об образовании» и иными федеральными законами.

3.2. Обработка персональных данных работников осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, а также обеспечения личной безопасности работников, сохранности имущества, контроля количества и качества выполняемой работы.

Обработка персональных данных учащегося может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов; содействия учащимся в обучении;  обеспечения их личной безопасности; контроля качества обучения и обеспечения сохранности имущества.

3.3. Все персональные данные работника предоставляются работником, за исключением случаев, предусмотренных федеральным законом. Если персональные данные работника возможно получить только у третьей стороны, то работодатель обязан заранее уведомить об этом работника и получить его письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

3.4. Все персональные данные несовершеннолетнего обучающегося в возрасте до 14 лет (малолетнего) предоставляются его родителями (законными представителями). Если персональные данные учащегося возможно получить только у третьей стороны, то родители (законные представители) обучающегося должны быть уведомлены об этом заранее. От них должно быть получено письменное согласие на получение персональных данных от третьей стороны. Родители (законные представители) обучающегося должны быть проинформированы о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.

Персональные данные несовершеннолетнего учащегося в возрасте старше 14 лет предоставляются самим учащимся с письменного согласия своих законных представителей – родителей, усыновителей или попечителя. Если персональные данные учащегося возможно получить только у третьей стороны, то учащийся должен быть уведомлен об этом заранее. От него и его родителей (законных представителей) должно быть получено письменное согласие на получение персональных данных от третьей стороны. Учащийся и его родители (законные представители) должны быть проинформированы о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.

3.5. Лицей не имеет права получать и обрабатывать персональные данные работника, учащегося о его политических, религиозных и иных убеждениях и частной жизни без письменного согласия работника, учащегося.

3.6. Лицей вправе осуществлять сбор, передачу, уничтожение, хранение, использование информации о политических, религиозных, других убеждениях и частной жизни, а также информации, нарушающей тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений:

–работника только с его письменного согласия или на основании судебного решения.

–учащегося только с его письменного согласия (согласия родителей (законных представителей) малолетнего несовершеннолетнего учащегося) или на основании судебного решения.

 

4. Хранение, обработка и использование персональных данных

4.1. Персональные данные работников и учащихся Лицея хранятся на бумажных и электронных носителях в специально предназначенных для этого помещениях, в местах, обеспечивающих защиту от несанкционированного доступа.

4.2. Персональные данные учащихся используются для целей, связанных с осуществлением учебно – воспитательного процесса. Администрация и педагогические работники школы использует персональные данные для формирования классов, составления учебного плана, составления отчётов в вышестоящие организации, формирования базы данных по ЕГЭ, для возможности поддерживать связь с родителями (законными представителями), учитывать особенности учащихся при его обучении и воспитании.

4.3. Персональные данные работника используются для целей, связанных с выполнением трудовых функций. Администрация школы использует персональные данные, в частности, для решения вопросов аттестации, формирования учебного плана, составления отчётов в вышестоящие организации, формирования базы даны по ЕГЭ, продвижения работников по службе, установления размера зарплаты. При принятии решений, затрагивающих интересы работника, администрация не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения. Работодатель также не вправе принимать решения, затрагивающие интересы работника, основываясь на данных, допускающих двоякое толкование. В случае если на основании персональных данных невозможно достоверно установить какой-либо факт, работодатель предлагает работнику представить письменные разъяснения.

4.4. Персональные данные работника отражаются в личной карточке работника (форма Т-2), которая заполняется после издания приказа о его приеме на работу. Личные дела и личные карточки работников хранятся в бумажном виде в папках в сейфе, доступ к которому имеет специалист по кадрам и директор школы.

4.5. Персональные данные сотрудников могут также храниться в электронном виде в локальной компьютерной сети. Постоянный доступ (в пределах своей компетенции) к электронным базам данных, содержащим персональные данные работников, имеют только заместители директора, работники бухгалтерии, специалист по кадрам. Доступ других работников к персональным данным осуществляется на основании письменного разрешения работника и распоряжения директора школы.

4.6. Копировать и делать выписки из персональных данных работника разрешается исключительно в служебных целях с письменного разрешения работника и директора школы.

4.7.    Персональные данные учащегося отражаются в его личном деле, которое заполняется после издания приказа о его зачисления в Лицей. Личные дела учащихся в алфавитном порядке формируются в папках классов, которые хранятся в шкафах , доступ к которым имеет секретарь директора, администрация лицея и классные руководители.

4.8. Ведение личных дел и ответственность за сохранность личных дел возложено на классных руководителей и секретаря директора Лицея.

4.9. Частично сведения об учениках содержатся в классном журнале, куда заносятся классным руководителем.

4.10. Персональные данные учащихся могут также храниться в электронном виде в локальной компьютерной сети. Право полного доступа к электронным базам данных, содержащим персональные данные учащихся, имеет администрация. Остальные педагогические работники имеют доступ только к той информации, которая им необходима в пределах исполнения их должностных обязанностей.

4.11. Копировать и делать выписки из персональных данных учащихся разрешается исключительно в служебных целях.

 

 

5. Доступ к персональным данным

 

5.1. Внутренний доступ (доступ внутри Лицея).

5.1.1. Право доступа к персональным данным сотрудников, учащихся и родителей имеют:

– директор;

–заместители директора по учебно-воспитательной работе;

–заместитель директора по воспитательной работе;

- руководитель структурного подразделения по дистанционному обучению детей с ограниченными возможностями здоровья;

– классные руководители (только к персональным данным учащихся своего класса);

- специалист по кадрам;

– сотрудники бухгалтерии;

–иные работники, определяемые приказом директора Лицея в пределах своей компетенции.

5.1.2. Перечень лиц, имеющих доступ к персональным данным, определяется приказом директора Лицея.

Лица, имеющие доступ к персональным данным, обязаны использовать персональные данные работников и учащихся лишь в целях, для которых они были предоставлены.

 

5.2. Внешний доступ.

4.2.1. К числу массовых потребителей персональных данных вне Лицея можно отнести государственные и негосударственные функциональные структуры:

- налоговые инспекции;

- правоохранительные органы;

- органы статистики;

- страховые агентства;

- военкоматы;

- органы социального страхования;

- пенсионные фонды;

- министерство образования и науки Астраханской области;

- центр мониторинга в образовании.

5.2.2. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.

5.2.3. Организации, в которые сотрудник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае его письменного разрешения.

5.2.4. Другие организации.

Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии нотариально заверенного заявления работника.

Персональные данные сотрудника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого сотрудника.

 

6. Защита персональных данных

 

6.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.

6.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.

6.3. Защита персональных данных от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральными законами.

6.4. "Внутренняя защита".

6.4.1. Основным виновником несанкционированного доступа к персональным данным является, как правило, персонал, работающий с документами и базами данных. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководителями и специалистами организации.

6.4.2. Для обеспечения внутренней защиты персональных данных работников и учащихся необходимо соблюдать ряд мер:

- назначение ответственного за организацию обработки персональных данных;

- утверждение приказом директора локальных актов, устанавливающих процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в сфере персональных данных;

- уведомление уполномоченных органов по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных, за исключением случаев, установленных ФЗ « О персональных данных»;

- ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;

- строгое избирательное и обоснованное распределение документов и информации между работниками;

- рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;

- знание работником требований нормативно-методических документов по защите информации и сохранении тайны;

- наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;

- определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;

- организация порядка уничтожения информации;

- воспитательная и разъяснительная работа с сотрудниками по предупреждению утраты ценных сведений при работе с конфиденциальными документами;

6.4.3. Для обеспечения внешней защиты персональных данных сотрудников необходимо соблюдать ряд мер:

- порядок приема, учета и контроля деятельности посетителей;

- пропускной режим;

- учет и порядок выдачи документов;

- технические средства охраны, сигнализации;

- порядок охраны территории, зданий, помещений, транспортных средств;

6.5. Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных работников и учащихся (приложение № 1)

6.6. По возможности персональные данные обезличиваются.

 

 

7. Права и обязанности работников, учащихся.

 

7.1.В целях защиты персональных данных, хранящихся в Лицее, работник, учащийся, его родители (законные представители) имеют право:

- требовать исключения или исправления неверных или неполных персональных данных;

- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;

- персональные данные оценочного характера дополнить заявлением, выражающим его собственную точку зрения;

- определять своих представителей для защиты своих персональных данных;

- на сохранение и защиту своей личной и семейной тайны.

7.2. Работники, учащиеся обязаны:

- передавать Лицею комплекс достоверных, документированных персональных данных, состав которых установлен законодательством и перечислен в настоящем Положении;

- своевременно сообщать об изменении своих персональных данных.

7.3. В целях защиты частной жизни, личной и семейной тайны работники не должны отказываться от своего права на обработку персональных данных только с их согласия, поскольку это может повлечь причинение морального, материального вреда.

7.4. В случае изменения персональных данных субъекта: фамилия, имя, отчество, адрес места жительства, паспортные данные, сведения об образовании, состоянии здоровья (вследствие выявления в соответствии с медицинским заключением противопоказаний для выполнения его должностных, трудовых обязанностей и т.п.) сообщать об этом в течение 5 рабочих дней с даты их изменений.

7.5. В целях обеспечения достоверности персональных данных обучающихся:

7.5.1. Родители, законные представители несовершеннолетних обучающихся при приеме в Лицей предоставляют уполномоченным работникам достоверные сведения о себе и своих несовершеннолетних детях.

7.5.2. В случае изменения сведений, составляющих персональные данные несовершеннолетнего обучающегося старше 14 лет, он обязан в течение 10 дней сообщить об этом уполномоченному работнику Лицея.

7.5.3. В случае изменения сведений, составляющих персональные данные обучающегося, родители (законные представители) несовершеннолетнего обучающегося в возрасте до 14 лет обязаны в течение месяца сообщить об этом уполномоченному работнику Лицея.

 

8. Ответственность за нарушение настоящего положения

 

8.1. За нарушение порядка обработки (сбора, хранения, использования, распространения и защиты) персональных данных должностное лицо несёт административную ответственность в соответствии с действующим законодательством.

8.2.  За нарушение правил хранения и использования персональных данных, повлекшее за собой материальный ущерб работодателю, работник несёт материальную ответственность в соответствии с действующим трудовым законодательством.

8.3.  Материальный ущерб, нанесенный субъекту персональных данных за счет ненадлежащего хранения и использования персональных данных, подлежит возмещению в порядке, установленном действующим законодательством.

8.4. Лицей вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных лишь обработку следующих персональных данных:

–  относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения (работникам);

– полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных (учащийся и др.), если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

–  являющихся общедоступными персональными данными;

– включающих в себя только фамилии, имена и отчества субъектов персональных данных;

– необходимых в целях однократного пропуска субъекта персональных данных на территорию образовательного учреждения или в иных аналогичных целях;

–включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка (включая базы данных, формируемые в связи с ГИА и ЕГЭ);

– обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

Во всех остальных случаях оператор (директор Лицея и (или) уполномоченные им лица) обязан направить в уполномоченный орган по защите прав субъектов персональных данных соответствующее уведомление.