1.Общие положения
Настоящее Положение об обработке персональных данных третьих лиц (далее — Положение) разработано в соответствии с Конституцией РФ, Трудовым кодексом РФ, Законами Российской Федерации от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», от 27.07.2006 № 152-ФЗ «О персональных данных», Положение разработано с целью определения порядка обработки персональных данных третьих лиц, прав и обязанности сторон трудовых отношений в связи с представлением, получением, хранением, комбинированием, передачей или любым другим использованием персональных данных, а также порядка защиты персональных данных третьих лиц, в том числе при их обработке в информационных системах персональных данных организации.
Обработка и хранение персональных данных третьих лиц в организации осуществляются на бумажных и магнитных носителях, в электронном виде, а также с использованием информационных систем персональных данных различного назначения.
Защита персональных данных субъекта персональных данных от неправомерного их использования или утраты обеспечивается в порядке, установленном действующим законодательством по вопросам защиты информации и настоящим Положением.
2. Основные понятия и состав персональных данных
В настоящем Положении используются следующие основные понятия:
— третьи лица – физические лица, с которыми ОУ имеет договорные отношения, или чьи персональные данные обрабатываются в ОУ;
— третья сторона – юридические лица, представители компании контрагента, с которым ОУ имеет договорные отношения.
Обработка персональных данных третьих лиц осуществляется с целями, не выходящими за рамки обеспечения деятельности, указанной в настоящем Положении.
Такими целями могут быть:
— осуществление программного (системного и прикладного), технического, информационного и телекоммуникационного обеспечения деятельности организации;
— внедрение современных информационных технологий на основе компьютерной техники в практику работы организации;
— осуществление деятельности в сфере развития информационного общества и формирования электронного документооборота в организации.
При определении объема и содержания, обрабатываемых персональных данных третьих лиц, руководитель руководствуется целями получения и обработки персональных данных третьих лиц.
Информационные ресурсы, содержащие персональные данные третьих лиц, создаются путём:
— внесения сведений в учётные формы на бумажных носителях (журнал оказанных услуг, реестр оплаты и т.п.);
— внесения сведений в информационную базу персональных данных.
К персональным данным третьих лиц относятся:
— информация, содержащаяся в трудовом договоре и дополнительных соглашениях;
-информация, содержащаяся в информационной базе персональных данных организации, необходимая для выполнения организацией требований федеральных законов, нормативных правовых актов правительства Еврейской автономной области и администрации:
— фамилия, имя, отчество;
— дата рождения;
— пол;
— паспортные данные или данные иного документа, удостоверяющего личность (номер документа, сведения о дате выдачи указанного документа и выдавшем его органе);
— контактный адрес места жительства;
— номер контактного телефона;
— и т.д.
III. Обработка персональных данных третьих лиц
ОУ получает и обрабатывает персональные данные третьих лиц с письменного согласия третьих лиц в соответствии с федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (приложение № 4).
Организация работы с персональными данными третьих лиц
ОУ обязано обеспечивать безопасность персональных данных третьих лиц при их обработке, осуществлять защиту персональных данных третьих лиц от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, разглашения персональных данных третьих лиц, а также от иных неправомерных действий (приложение № 1).
Документы, содержащие персональные данные третьих лиц, могут создаваться:
— в виде записей баз данных, ведущихся с использованием технических и программных средств автоматизированных систем;
— в виде отдельных файлов (doc, xls и т.п.), создаваемых ответственными лицами.
V. Организация хранения документов, содержащих персональные данные третьих лиц
Бумажные носители, содержащие персональные данные третьих лиц, обязаны храниться в местах хранения, запирающихся на ключ (сейф, металлический шкаф и т.п.).
При работе с документами, содержащими персональные данные третьих лиц, запрещается:
— хранить документы в ящиках стола, оставлять без присмотра;
— брать документы для работы и на хранение домой;
— выносить документы из здания школы без разрешения руководителя ОУ;
— держать документы вне сейфа без необходимости в процессе работы;
— передавать документы на хранение лицам, не имеющим права доступа к данным документам.
Правовое регулирование порядка и сроков хранения документов с персональными данными третьих лиц осуществляется на основании требований действующего законодательства и настоящего Положения.
Организация хранения документов с персональными данными третьих лиц определяется номенклатурой дел, утверждаемой руководителем ОУ.
VI. Уничтожение документов, содержащих персональные данные третьих лиц
Уничтожение документов, содержащих персональные данные третьих лиц, производится по акту.
Уничтожение документов, содержащих персональные данные третьих лиц, производится любым способом, исключающим ознакомление посторонних лиц с уничтожаемыми материалами и возможность восстановления их текста.
VII. Доступ третьих лиц к персональным данным
а) Доступ третьих лиц к своим персональным данным
При получении от третьих лиц письменного запроса о предоставлении их персональных данных ОУ обязано предоставить такие данные в установленные законодательством сроки.
б) Доступ работников ОУ к персональным данным третьих лиц
Доступ работников ОУ к персональным данным третьих лиц осуществляется при строгом соблюдении требований Постановления Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Доступ работников ОУ к персональным данным третьих лиц предоставляется по письменному запросу на имя руководителя ОУ с указанием цели предоставления и характера персональных данных.
Сведения о запросах, о предоставлении персональных данных регистрируется в журнале учета выдачи/передачи персональных данных третьих лиц (приложение № 2).
VIII. Передача персональных данных третьих лиц (стороны)
При передаче персональных данных третьих лиц (стороны) должны соблюдаться следующие требования:
— передача персональных данных третьей стороне осуществляется на основании договора или в соответствии с федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
— заключение соглашения о конфиденциальности с третьей стороной, получающей персональные данные третьих лиц (приложение № 3);
— не предоставление персональных данных работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом или за исключением случаев, указанных в федеральном законе от 27.07.2006 г. № 152-ФЗ «О персональных данных».
Осуществлять передачу персональных данных работников в пределах ОУ в соответствии с настоящим Положением.
Документы, содержащие персональные данные третьих лиц, пересылать сторонним организациям заказными или ценными почтовыми отправлениями, а также можно доставлять нарочным.
Сведения о способе отправки заносятся в журнал учета исходящих и внутренних документов.
Отправлять электронные письма, содержащие персональные данные третьих лиц, допускается только в крайнем случае с разрешения руководителя ОУ в соответствии с Политикой использования электронной почты.
IX. Обязанности ОУ при обработке персональных данных третьих лиц
При обработке персональных данных третьих лиц Оу обязано:
— обеспечить защиту персональных данных от неправомерного их использования или утраты;
— ознакомить субъекта персональных данных или его представителя под роспись с документами ОУ, устанавливающими порядок защиты персональных данных;
— осуществлять передачу персональных данных третьих лиц только с письменного согласия третьего лица, за исключением случаев установленных действующим законодательством;
— обеспечить доступ субъекту персональных данных к своим персональным данным и ознакомление с ними;
— ограничить доступ в помещения, где осуществляется обработка персональных данных, в соответствии с порядком, определенным в Постановлении Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
