ПОЛОЖЕНИЕ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Подписан ЭП

01.05.2021

1. Общие положения

1.1. Настоящее Положение имеет своей целью закрепление механизмов обеспечения прав субъекта на сохранение конфиденциальности информации: о фактах, событиях и. обстоятельствах его жизни.

1.2. Настоящее Положение об обработке и защите персональных данных (далее – Положение) определяет порядок сбора, хранения, передачи и любого другого использования персональных данных работников в соответствии с законодательством Российской Федерации и гарантии конфиденциальности сведений о работнике предоставленных работником работодателю.

1.3. Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым Кодексом Российской Федерации, Федеральным законом от 27.07.2006 №149-ФЗ “Об информации, информационных технологиях и о защите информации”, Федеральным законом от 27.07.2006 №152-ФЗ “О персональных данных”, иными нормативно-правовыми актами, действующими на территории Российской Федерации.

2. Основные понятия

2.1. Для целей настоящего Положения используются следующие понятия:

Оператор персональных данных (далее оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. В рамках настоящего положения оператором является – МАУДО ДШИ МР Чишминский район.

2.2. Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация о физическом лице.

2.3. Субъект- субъект персональных данных.

2.4. Работник – физическое лицо, состоящее в трудовых отношениях с оператором.

2.5. Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

2.6. Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

2.7. Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

2.8. Блокирование персональных данных – временное прекращение сбора,

систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

2.9. Уничтожение персональных данных – действия, в результате которых

невозможно восстановить содержание персональных данных в информационной системе персональных данных, или в результате которых

уничтожаются материальные носители персональных данных.

2.10. К персональным данным относятся:

 Сведения, содержащиеся в основном документе, удостоверяющем личность субъекта.

 Информация, содержащаяся в трудовой книжке работника.

 Информация, содержащаяся в страховом свидетельстве государственного пенсионного страхования.

 Сведения, содержащиеся в документах воинского учета для военнообязанных и лиц, подлежащих призыву на военную службу.

 Сведения об образовании, квалификации или наличии специальных знаний или подготовки.

 Сведения, содержащиеся в свидетельстве о постановке на учет физического лица в налоговом органе на территории Российской

Федерации.

 Сведения о семейном положении работника.

 Информация медицинского характера, в случаях, предусмотренных

законодательством.

 Сведения о заработной плате работника.

 Сведения о социальных льготах;

 Сведения о наличии судимостей;

 Место работы или учебы членов семьи;

 Содержание трудового договора;

 Подлинники и копии приказов по личному составу;

 Основания к приказам по личному составу;

 Документы, содержащие информацию по повышению квалификации и переподготовке сотрудника, его аттестация, служебное расследование.

3. Обработка персональных данных

3.1. Общие требования при обработке персональных данных.

В целях обеспечения прав и свобод человека и гражданина при обработке

персональных данных обязаны соблюдаться следующие требования:

– обработка персональных данных может осуществляться исключительно в

целях обеспечения соблюдения Конституции Российской Федерации, законов и иных нормативных правовых актов РФ, содействия субъектам персональных данных в трудоустройстве, продвижении по службе, обучении, контроля количества и качества выполняемой работы, обеспечения личной безопасности субъекта персональных данных и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества и имущества оператора;

-персональные данные не могут быть использованы в целях причинения имущественного и/или морального вреда гражданам, затруднения реализации

прав и свобод граждан Российской Федерации;

-при принятии решений, затрагивающих интересы субъекта персональных

данных, нельзя основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения;

-работники должны быть ознакомлены под расписку с документами оператора, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области;

-субъекты персональных данных не должны отказываться от своих прав на сохранение и защиту тайны.

3.2. Получение персональных данных:

-все персональные данные следует получать непосредственно от субъекта персональных данных. Субъект самостоятельно принимает решение о предоставление своих персональных данных и дает письменное согласие на их обработку оператором.

– письменное согласие не требуется, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

-согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случаях указанных в пункте 3.2.2. настоящего положения согласие может быть отозвано законным представителем субъекта персональных данных.

– в случаях, когда оператор может получить необходимые персональные данные субъекта только у третьей стороны, субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. В уведомлении оператор обязан сообщить о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение. Согласие оформляется в письменной форме в двух экземплярах: один из которых предоставляется субъекту, второй хранится у оператора.

-запрещается получать и обрабатывать персональные данные субъекта о его политических, религиозных и иных убеждениях и частной жизни;

-запрещается получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами;

– в случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации оператор

вправе получать и обрабатывать данные о частной жизни субъекта только с его письменного согласия.

3.3. Хранение персональных данных:

-хранение персональных данных субъектов осуществляется секретарем руководителя, централизованной бухгалтерией, заместителем директора по учебно-воспитательной работе, заведующим хозяйством, библиотекарем, преподавателями на бумажных и электронных носителях с ограниченным доступом;

-личные дела хранятся в бумажном виде в папках, в специально отведенной секции сейфа, обеспечивающего защиту от несанкционированного доступа;

-подразделения, хранящие персональные данные на бумажных носителях, обеспечивают их защиту от несанкционированного доступа и копирования

согласно «Положению об особенностях обработки персональных данных.

Осуществляемой без использования средств автоматизации», утвержденного

Постановлением Правительства РФ 15 сентября 2008 г. № 687.

3.4. Передача персональных данных.

При передаче персональных данных субъекта оператор обязан соблюдать следующие требования:

 не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, предусмотренных Трудовым Кодексом Российской Федерации или иными федеральными законами.

 предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать требования конфиденциальности;

 не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия;

 не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения им трудовой функции;

 передавать персональные данные субъекта представителям субъектов в порядке, установленном Трудовым Кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функций;

3.4.1. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

3.4.2. Внутренний доступ (доступ внутри организации) к персональным данным субъекта. Право доступа к персональным данным субъекта имеют:

 руководитель организации;

 централизованная бухгалтерия;

 секретарь руководителя;

 заместитель директора по учебно-воспитательной работе (доступ к персональным данным субъектов в части его касающейся);

 заведующий хозяйством;

 преподаватель по специальности (доступ к персональным данным обучающихся в части его касающейся);

 библиотекарь;

 сам субъект, носитель данных.

3.4.3. Все сотрудники, имеющие доступ к персональным данным субъектов, обязаны подписать соглашение о неразглашении персональных данных.

3.4.4. К числу массовых потребителей персональных данных вне учреждения относятся государственные и негосударственные функциональные структуры: налоговые инспекции; правоохранительные органы; органы статистики; страховые агентства; военкоматы; органы социального страхования; пенсионные фонды; медицинские учреждения, подразделения федеральных, республиканских и муниципальных органов управления.

Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.

3.4.5. Организации, в которые субъект может осуществлять перечисления денежных средств (страховые Общества, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения) могут получить доступ к персональным данным субъекта только в случае его письменного разрешения.

3.5. Уничтожение персональных данных

3.5.1. Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

3.5.2. Документы, содержащие персональные данные, подлежат хранению и

уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

4. Права и обязанности субъектов персональных данных и оператора.

4.1. В целях обеспечения защиты персональных данных субъекты имеют право:

 получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);

 осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;

 требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением законодательства;

 при отказе оператора или уполномоченного им лица исключить или исправить персональные данные субъекта – заявить в письменной форме о

своем несогласии, представив соответствующее обоснование;

 дополнить персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;

 требовать от оператора или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные

данные субъекта, обо всех произведенных в них изменениях или исключениях из них;

 обжаловать в суд любые неправомерные действия или бездействие оператора или уполномоченного им лица при обработке и защите персональных данных субъекта.

4.2. Для защиты персональных данных субъектов оператор обязан:

 за свой счет обеспечить защиту персональных данных субъекта от неправомерного их использования или утраты в порядке, установленном законодательством РФ;

 ознакомить работника или его представителей с настоящим положением и

его правами в области защиты персональных данных под расписку;

 осуществлять передачу персональных данных субъекта только в соответствии с настоящим Положением и законодательством Российской Федерации;

 предоставлять персональные данные субъекта только уполномоченным

лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей в соответствии с настоящим положением и законодательством Российской Федерации;

 обеспечить субъекту свободный бесплатный доступ к своим персональным

данным, включая право на получение копий любой записи, содержащей его

персональные данные, за исключением случаев, предусмотренных законодательством;

 по требованию субъекта или его законного представителя предоставить ему полную информацию о его персональных данных и обработке этих данных.

4.3. Субъект персональных данных или его законный представитель обязуется предоставлять персональные данные, соответствующие действительности.

5. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных.

5.1. Руководитель, разрешающий доступ сотрудника к конфиденциальному

документу, содержащему персональные данные, несет персональную ответственность за данное разрешение.

5.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым Кодексом Российской Федерации и иными федеральными законами, а также

привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

Приложение №1

к положению об обработке

и защите персональных данных

Директору ДШИ

__________________

Заявление-согласие субъекта на обработку его персональных данных.

Я, ______________________________________, паспорт серии ________, номер____________, выданный ______________________________________

«___»___________ ___ года, проживающий ____________________________ ________________________________, в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» даю согласие МАУДО ДШИ МР Чишминский район, расположенной по адресу р.п.Чишмы, ул. Садовая, 7, на обработку моих персональных данных, а именно:

__________________________________________________________________

(указать состав персональных данных (Ф.И.О, паспортные данные, адрес …)

для обработки в целях исполнения договора__________________________

__________________________________________________________________

(указать цели обработки)

Я утверждаю, что ознакомлен с документами организации, устанавливающими порядок обработки персональных данных, а также с моими правами и обязанностями в этой области.

Согласие вступает в силу со дня его подписания и действует в течение неопределенного срока. Согласие может быть отозвано мною в любое время на основании моего письменного заявления.

« ___ » __________ 20__ г. ____________________

(подпись)

Приложение №2

к положению об обработке

и защите персональных данных

Директору ДШИ

__________________

Отзыв согласия на обработку персональных данных

МАУДО Детская школа искусств МР Чишминский район

наименование оператора

452170, Россия, Республика Башкортостан, р.п.Чишмы, ул.Садовая д.7

адрес оператора

_____________________________________________________________

Ф.И.О. субъекта персональных данных

_____________________________________________________________

адрес, где зарегистрирован субъект персональных данных

_____________________________________________________________

номер основного документа, удостоверяющего его личность

_____________________________________________________________

дата выдачи указанного документа

_____________________________________________________________

наименование органа, выдавшего документ

Прошу Вас прекратить обработку моих персональных данных в связи с

_________________________________________________________________________________________________________________________________

(указать причину)

“__” __________ 20__ г. ____________ _____________________

(подпись) (расшифровка подписи)

Приложение №3

к положению об обработке

и защите персональных данных

Директору ДШИ

__________________

Заявление-согласие

субъекта на получение его персональных данных у третьей стороны.

Я, ______________________________________, паспорт серии _______,номер ___________, выданный ______________________________________

« __ » ________ ____ года, в соответствии со ст. 86 Трудового Кодекса Российской Федерации _______________ на получение моих персональных

(согласен/не согласен)

данных, а именно:

__________________________________________________________________

(указать состав персональных данных (Ф.И.О, паспортные данные, адрес …)

Для обработки в целях

__________________________________________________________________

(указать цели обработки)

У следующих лиц _______________________________________________

__________________________________________________________________

(указать Ф.И.О. физического лица или наименование организации)

Я также утверждаю, что ознакомлен с возможными последствиями моего отказа дать письменное согласие на их получение.

« ___ » __________ 20___ г.

____________________

(подпись)

Приложение №4

к положению об обработке

и защите персональных данных

Директору ДШИ

__________________

Заявление-согласие субъекта на передачу его персональных данных

третьей стороне.

Я, ______________________________________, паспорт серии _______, номер ___________, выданный ______________________________________

« __ » ________ ____ года, в соответствии со ст. 88 Трудового Кодекса Российской Федерации _______________ на передачу моих персональных

(согласен/не согласен)

данных, а именно:

__________________________________________________________________

(указать состав персональных данных (Ф.И.О, паспортные данные, адрес …)

Для обработки в целях

__________________________________________________________________

(указать цели обработки)

Следующим лицам _______________________________________________

__________________________________________________________________

(указать Ф.И.О. физического лица или наименование организации,

которым сообщаются данные)

Я также утверждаю, что ознакомлен с возможными последствиями моего отказа дать письменное согласие на их передачу.

« ___ » __________ 20___ г.

____________________

(подпись)

Приложение №5

к положению об обработке

и защите персональных данных

Директору ДШИ

__________________

Соглашение о неразглашении

персональных данных субъекта

Я, ______________________________________, паспорт серии ______, номер

___________, выданный _____________________________________________

«___» ___________ _____ года, понимаю, что получаю доступ к персональным данным работников и/или обучающихся

_________________МАУДО ДШИ МР Чишминский район______________.

(наименование организации)

Я также понимаю, что во время исполнения своих обязанностей, мне приходится заниматься сбором, обработкой и хранением персональных данных.

Я понимаю, что разглашение такого рода информации может нанести ущерб

субъектам персональных данных, как прямой, так и косвенный.

В связи с этим, даю обязательство, при работе (сбор, обработка и хранение) с персональными данными соблюдать все описанные в «Положении об обработке и защите персональных данных» требования.

Я подтверждаю, что не имею права разглашать сведения:

– анкетные и биографические данные;

– сведения об образовании;

– сведения о трудовом и общем стаже;

– сведения о составе семьи;

– паспортные данные;

– сведения о воинском учете;

– сведения о заработной плате сотрудника;

– сведения о социальных льготах;

– специальность;

– занимаемая должность;

– наличие судимостей;

– адрес места жительства;

– домашний телефон;

– место работы или учебы членов семьи и родственников;

– характер взаимоотношений в семье;

– содержание трудового договора;

– состав декларируемых сведений о наличии материальных ценностей;

– содержание декларации, подаваемой в налоговую инспекцию;

– подлинники и копии приказов по личному составу;

– личные дела и трудовые книжки сотрудников;

– основания к приказам по личному составу;

– дела, содержащие материалы по повышению квалификации и

переподготовке, их аттестации;

– копии отчетов, направляемые в органы статистики.

Я предупрежден (а) о том, что в случае разглашения мной сведений, касающихся персональных данных или их утраты я несу ответственность в соответствии со ст. 90 Трудового Кодекса Российской Федерации.

« ___ » __________ 20___ г.

____________________

(подпись)