Положение о защите персональных данных
г. Хабаровск, 2023 Общие положения 1.1. Настоящее Положение разработано в соответствии с: · Конституцией РФ; · Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»; · Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации»; · Трудовым кодексом РФ от 30.12.2001 № 197-ФЗ; · Федеральным законом от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»; · постановлением Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; · постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; · Уставом АНО ДПО «Мегазнание»; · иными нормативными правовыми актами, регулирующими вопросы обработки и защиты персональных данных. 1.2. Положение определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных. 1.3. В настоящем положении используются следующие основные понятия: · персональные данные: любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); · обработка персональных данных: любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; · конфиденциальность персональных данных: обязательное для соблюдения назначенным ответственным лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или иного законного основания; · автоматизированная обработка персональных данных: обработка персональных данных с помощью средств вычислительной техники; · распространение персональных данных: действия, направленные на раскрытие персональных данных неопределенному кругу лиц; · предоставление персональных данных: действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; · доступ к персональным данным: предоставление возможности ознакомления с персональными данными определенному лицу или определенному кругу лиц; · блокирование персональных данных: временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); · уничтожение персональных данных: действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных; · обезличивание персональных данных: действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных; · информационная система персональных данных (ИСПДн): совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств; · трансграничная передача персональных данных: передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу; · использование персональных данных: действия (операции) с персональными данными, совершаемые уполномоченным должностным лицом образовательной организации в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работников (обучающихся) либо иным образом затрагивающих их права и свободы или права и свободы других лиц; · общедоступные персональные данные: персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности; · информация: сведения (сообщения, данные) независимо от формы их представления; · документированная информация: зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель. 1.4. Цель настоящего положения – регламентировать порядок обработки персональных данных и обеспечить соблюдение законных прав и свобод человека и гражданина при обработке его персональных данных, в т. ч. защита прав на неприкосновенность частной жизни, личную и семейную тайну. 1.5. Настоящим положением определяется порядок обработки персональных данных следующих категорий субъектов персональных данных: · работников организации; · поступающих на обучение; · обучающихся; · близких родственников вышеуказанных лиц; · лиц, ранее состоявших в трудовых и образовательных отношениях с организацией; · лиц, состоящих (состоявших) в договорных отношениях с организацией; · иностранных граждан; · законных представителей перечисленных лиц (Далее субъекты персональных данных). 1.6. Состав персональных данных, подлежащих обработке, каждой из категорий субъектов персональных данных определяется соответствующими нормативными правовыми актами. 1.7. Документы (их копии, выписки из них), в которых содержатся персональные данные: · паспорт (иной документ, удостоверяющий личность); · анкеты, резюме; · приказы по личному составу; · приказы о зачислении на обучение, об окончании обучения, об отчислении и переводе, · другие приказы по обучающимся; · страховое свидетельство государственного пенсионного страхования; · полис обязательного медицинского страхования; · свидетельство о постановке на учет в налоговом органе; · личные дела, карточки, трудовые книжки; · основания к приказам по личному составу, заявления; · дела, содержащие материалы по повышению квалификации и переподготовке; · материалы служебных расследований, проверок; · трудовые договоры, · гражданско-правовые договоры; · отчеты, направляемые в органы статистики; · рекомендации, характеристики, материалы аттестационных комиссий; · отчеты, аналитические и справочные материалы, передаваемые в государственные органы, другие учреждения; · документы об образовании, о квалификации или наличии специальных знаний; · иные документы, содержащие персональные данные. Основные требования по обработке персональных данных 2.1. Обработка персональных данных должна осуществляться исключительно в целях обеспечения соблюдения законов или иных правовых актов, содействия субъекту персональных данных в трудоустройстве, обучении и профессиональном продвижении, обеспечения личной безопасности, контроля количества и качества выполняемой работы и учебы, обеспечения сохранности имущества, выполнения договорных обязательств. 2.2. При определении объема и содержания обрабатываемых персональных данных организация должна руководствоваться федеральным законодательством. 2.3. При принятии решений, затрагивающих интересы субъекта персональных данных, организация не имеет права основываться на персональных данных, полученных о нем исключительно в результате их автоматизированной обработки или электронного получения. 2.4. Обработка персональных данных должна осуществляться с согласия субъекта персональных данных на обработку его персональных данных. 2.5. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным, и оформленным в соответствии с требованиями федерального законодательства. 2.6. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в п.2.7. положения и в других случаях, предусмотренных федеральным законодательством. 2.7. Согласие на обработку персональных данных не требуется в следующих случаях: · обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия организации; · обработка персональных данных осуществляется в целях исполнения договора (трудового, на оказание образовательных услуг и др.), одной из сторон которого является субъект персональных данных; · обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных; · обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия невозможно; в других случаях, предусмотренных федеральным законодательством. 2.8. Организация при обработке персональных данных обязана: · осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента обращения субъекта персональных данных или его законного представителя либо получения запроса уполномоченного органа по защите прав субъектов персональных данных в случае выявления недостоверных персональных данных или неправомерных действий с ними оператора на период проверки; · уточнить персональные данные и снять их блокирование в случае подтверждения факта недостоверности персональных данных на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов; · устранить допущенные нарушения в случае выявления неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с даты такого выявления; · уничтожить персональные данные в случае невозможности устранения допущенных нарушений в указанный срок, уведомить об устранении допущенных нарушений или об уничтожении персональных данных субъекта персональных данных или его законного представителя, а в случае если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных – также указанный орган; · прекратить обработку персональных данных и уничтожить их в случае отзыва субъектом персональных данных согласия на их обработку или по достижению цели обработки в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва или с даты достижения цели обработки, если иное не предусмотрено федеральными законами или соглашением между оператором и субъектом персональных данных, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае поступления обращения или запроса от уполномоченного органа по защите прав субъектов персональных данных – также указанный орган; · принимать необходимые организационные и технические меры для защиты персональных данных от несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий в порядке, установленном федеральным законодательством. Сбор персональных данных 3.1. Персональные данные организация получает непосредственно от субъекта персональных данных. Получать персональные данные от третьих лиц организация вправе только при наличии письменного согласия субъекта персональных данных. 3.2. При запросе персональных данных (поступлении на работу, учебу и в других случаях) субъект персональных данных должен быть предупрежден о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и юридических последствиях отказа дать письменное согласие на их получение. 3.3. Субъект персональных данных предоставляет организации достоверные сведения о себе. Организация проверяет достоверность сведений, сверяя предоставленные данные с имеющимися у работника документами. Предоставление субъектом персональных данных подложных документов влечет ответственность, предусмотренную действующим законодательством. 3.4. Перечень предоставляемых и заполняемых документов, их образцы устанавливаются законодательными и нормативными актами. 3.5. Запрещается требовать от субъектов персональных данных документы помимо предусмотренных Трудовым кодексом РФ, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ. 3.6. При изменении персональных данных субъект персональных данных письменно уведомляет организацию о таких изменениях в срок, не превышающий 14 дней. 3.7. По мере необходимости организация истребует у субъекта персональных данных дополнительные сведения. Субъект персональных данных предоставляет необходимые сведения и в случае необходимости предъявляет документы, подтверждающие достоверность этих сведений. 3.8. Организация не вправе требовать от субъекта персональных данных предоставления информации о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, о частной и интимной жизни, его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом. Учет и хранение документов, содержащих персональные данные 4.1. Персональные данные являются сведениями, составляющими конфиденциальную информацию. Режим конфиденциальности в отношении персональных данных снимается: · в случае их обезличивания; · по истечении 75 лет срока их хранения; · в других случаях, предусмотренных федеральным законодательством. 4.2. Документы, содержащие персональные данные, хранятся в личных делах, а также в других делах и в информационных системах персональных данных (ИСПДн). 4.3. Персональные данные могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде с соблюдением установленных правил. 4.4. Обработка персональных данных возлагается: · работников – на специалиста, ответственного за ведение кадрового учета, бухгалтера; · поступающих – на менеджеров по работе с клиентами и специалиста учебно- методического отдела; · студентов – на учебно-методический отдел, бухгалтерию. 4.5. Хранение и ведение документов, содержащих персональные данные, осуществляют также другие специалисты, которым персональные данные необходимы в текущей деятельности. 4.6. Лица, ведущие обработку персональных данных, обязаны знать и выполнять установленные требования по обработке и защите персональных данных, не разглашать их. 4.7. Документы, содержащие персональные данные, на бумажных носителях ведутся и хранятся в соответствии с нормативными правовыми актами с учетом требований, предъявляемых к конфиденциальным документам, в специально оборудованных запирающихся шкафах и сейфах, исключающих несанкционированный доступ к ним. 4.8. Работа с документами, содержащими персональные данные, должна быть организована таким образом, чтобы исключить их просмотр посторонними (посетителями). При оставлении рабочего места работником и по окончании рабочего дня документы должны убираться в запирающиеся шкафы (сейфы). 4.9. Безопасность персональных данных при их обработке в информационной системе персональных данных (ИСПДн) обеспечивается с помощью системы защиты информации, которая должна соответствовать требованиям, предъявляемым к ИСПДн соответствующими нормативными правовыми документами. 4.10. По истечении срока хранения персональных данных, документы, содержащие персональные данные, по которым делопроизводство завершено, проходят подготовку к последующему хранению, после чего передаются на хранение в архив. 4.11. Если цель обработки персональных данных достигнута, документы, содержащие их, должны быть уничтожены или обезличены установленным порядком. 4.12. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). Передача персональных данных 5.1. Передача персональных данных включает распространение, доступ, предоставление. 5.2. Распространение персональных данных допускается в случаях, если они являются общедоступными данными или обезличенными, а также, если это предусмотрено федеральным законом; в остальных случаях - только с письменного согласия субъекта персональных данных. 5.3. В целях информационного обеспечения организация может создавать общедоступные источники (сайты, служебные справочники, другие документы, в том числе электронные), содержащие персональные данные, которые включаются в эти источники с согласия субъектов персональных данных или на основании федерального закона. 5.4. Право внутреннего доступа (доступ внутри УМЦ) к персональным данным имеют: · руководитель организации – ко всем персональным данным, обрабатываемым организацией; · менеджеры по продажам, специалисты учебно-методического отдела, бухгалтер – к персональным данным обучающихся; · субъект персональных данных – к своим персональным данным; другие работники организации при выполнении ими своих служебных обязанностей – с письменного разрешения (распоряжения) руководителя организации. 5.5. Копировать и делать выписки персональных данных разрешается исключительно в служебных целях с письменного разрешения руководителя организации по мотивированному заявлению. 5.6. При предоставлении персональных данных и доступа к ним третьей стороны организация соблюдает следующие требования: · персональные данные не сообщаются третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это сообщение необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных федеральным законом; · организация предупреждает лиц, получивших персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требует от этих лиц подтверждения того, что это правило соблюдено. 5.7. Лица, получающие персональные данные, имеют право получать только те персональные данные, которые необходимы для выполнения конкретной функции. Они обязаны соблюдать режим конфиденциальности полученных данных. 5.8. Основанием для рассмотрения возможности и целесообразности передачи персональных данных третьей стороне является письменный запрос на имя руководителя организации, в котором должно быть указано: · состав испрашиваемых сведений; · обоснование необходимости работы с этими сведениями; · ссылка на федеральный закон (с указанием конкретных статей), на основании которого запрашиваются персональные данные; · форма передачи сведений: доступ (ознакомление, выписки или копирование) или предоставление (в каком виде: электронном или бумажном); · представитель, уполномоченный на получение персональных данных (фамилия, имя, отчество, серия и номер паспорта или служебного удостоверения, когда и кем они выданы); · обязательство соблюдать режим конфиденциальности полученных данных. 5.9. В письменном согласии на предоставление персональных данных и доступ к ним должно быть указано: кому, какие конкретно персональные данные разрешается передавать, какие действия разрешается выполнять с данными (ознакомление, копирование, выписки и/или др.) и для каких целей. 5.10. Субъекту персональных данных или его представителю организация передает его персональные данные при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с организацией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных организацией, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. 5.11. Решение о передаче персональных данных третьим лицам принимает руководитель организации. 5.12. Запрещается передавать кому-либо персональные данные по телефону, факсу, электронной почте. Права и обязанности субъекта персональных данных 6.1. Субъекты персональных данных должны быть ознакомлены с настоящим положением под подпись. Законные представители субъектов персональных данных знакомятся с положением под подпись при обращении в организацию от имени доверителя. 6.2. В целях защиты персональных данных, обрабатываемых организацией, субъект персональных данных имеет право: · на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные; · требовать уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для организации персональных данных; · персональные данные оценочного характера дополнить заявлением, выражающим его собственную точку зрения; · определять своих представителей для защиты своих персональных данных; · на сохранение и защиту своей личной и семейной тайны; · требовать извещения организацией всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях; · обжаловать неправомерные действия или бездействие организации при обработке и защите персональных данных. 6.3. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: · подтверждение факта обработки персональных данных организацией; · правовые основания и цели обработки персональных данных; · цели и применяемые организацией способы обработки персональных данных; · обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; · сроки обработки персональных данных, в том числе сроки их хранения; · порядок осуществления субъектом персональных данных прав, предусмотренных законодательством; · иные сведения, предусмотренные федеральным законодательством. 6.4. Субъект персональных данных обязан: · передавать организации комплект достоверных документированных персональных данных, состав которых установлен действующим законодательством РФ; · своевременно сообщать организации об изменении своих персональных данных. 6.5. В целях защиты частной жизни, личной и семейной тайны субъекты персональных данных не должны отказываться от своего права на обработку персональных данных только с их согласия, поскольку это может повлечь причинение морального, материального вреда. Контроль за обработкой и защитой персональных данных 7.1. Контроль за соблюдением установленных правил обработки персональных данных возлагается на директора АНО ДПО «Мегазнание». Заключительные положения 8.1. Настоящее положение и изменения к нему утверждаются, вводятся в действие приказом по организации и вступают в силу с момента их утверждения приказом по организации. 8.2. Все работники и обучающиеся организации должны быть ознакомлены под подпись с данным положением и изменениями к нему. 8.3. Настоящее положение размещается на официальном сайте организации с целью ознакомления с ним субъектов персональных данных и их представителей. 8.4. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством РФ.