Положение об обработке персональных данных

I. Общие положения

1.1 Настоящее Положение об обработке персональных данных (далее — Положение) разработано в соответствии с Конституцией РФ, Трудовым кодексом РФ, Законами Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», от 27.07.2006 № 152-ФЗ «О персональных данных» и на основании Устава

1.2. Положение разработано с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.3. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 75 лет срока их хранения или продлевается на основании заключения экспертной комиссии ОУ, если иное не определено законом.

II. Основные понятия и состав персональных данных работников

2.1. Для целей настоящего Положения используются следующие основные понятия:

• персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
• оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
• обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение предоставление, доступ)), обезличивание, блокирование, удаление, уничтожение персональных данных;
• автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
• распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• блокирование персональных данных — временное прекращение обработки персональных данных ( за исключением случаев, если обработка необходима для уточнения персональных данных;
• уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) или в результате которых уничтожаются материальные носители персональных данных;
• обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
• информационная система персональных данных – совокупность содержащих в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
• трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2.2. В состав персональных данных входят документы, содержащие информацию о паспортных данных, образовании, отношении к воинской обязанности, семейном положении, месте жительства, состоянии здоровья, а также о предыдущих местах их работы.

2.3. Комплекс документов, сопровождающий процесс оформления трудовых отношений при его приеме, переводе и увольнении.

Информация, представляемая работником при поступлении на работу в ОУ, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:

• паспорт или иной документ, удостоверяющий личность;
• трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у сотрудника отсутствует в связи с ее утратой или по другим причинам;
• страховое свидетельство государственного пенсионного страхования;
• документы воинского учета — для военнообязанных и лиц, подлежащих воинскому учету;
• документ об образовании, о квалификации или наличии специальных знаний — при поступлении на работу, требующую специальных знаний или специальной подготовки;
• свидетельство о присвоении ИНН (при его наличии у работника).

При оформлении работника в ОУ заполняется унифицированная форма № Т-2ГС «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные сотрудника:

• фамилия, имя, отчество;
• дата рождения, место рождения;
• гражданство;
• образование;
• профессия;
• стаж работы;
• состояние в браке;
• паспортные данные;
• сведения о воинском учете;
• — данные о приеме на работу;

В дальнейшем в личную карточку вносятся:

• сведения о переводах на другую работу;
• сведения об аттестации;
• сведения о повышении квалификации;
• сведения о профессиональной переподготовке;
• сведения о наградах (поощрениях), почетных званиях;
• сведения об отпусках;
• сведения о социальных гарантиях;
• сведения о месте жительства и контактных телефонах.

В ОУ создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:

а) Документы, содержащие персональные данные работников:

• комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;
• комплекс материалов по анкетированию, тестированию;
• проведению собеседований с кандидатом на должность;
• подлинники и копии приказов по личному составу;
• личные дела и трудовые книжки работников;
• дела, содержащие основания к приказу по личному составу;
• дела, содержащие материалы аттестации работников;
• служебных расследований;
• справочно-информационный банк данных по персоналу (картотеки, журналы);
• подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководителю ОУ;
• копии отчетов, направляемых в государственные органы статистики, налоговые инспекции и другие учреждения.

б) Документация по организации работы структурных подразделений:

• положения о структурных подразделениях, должностные инструкции работников, приказы, распоряжения, указания руководителя ОУ;
• документы по планированию, учету, анализу и отчетности в части работы с персоналом ОУ.

III. Сбор, обработка и защита персональных данных.

3.1. Порядок получения персональных данных

Все персональные данные работников следует получать у него самого. Если персональные данные работника, возможно, получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Должностное лицо ОУ должно сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

Работодатель не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

Обработка указанных персональных данных работников возможна только с их согласия либо без их согласия в следующих случаях:

• персональные данные являются общедоступными;
• персональные данные относятся к состоянию здоровья работника и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;
• по требованию полномочных государственных органов в случаях, предусмотренных действующим законодательством.

Обрабатывать персональные данные работника можно только с его письменного согласия.

Письменное согласие работника на обработку своих персональных данных должно включать в себя:

• фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие работника администрации;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие работника;
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
• срок, в течение которого действует согласие, а также порядок его отзыва.

Формы заявлений о согласии работника на обработку персональных данных прилагаются (приложения № 1, 2, 3).

Согласие работника не требуется в следующих случаях:

• обработка персональных данных осуществляется в целях исполнения трудового договора;
• обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно.

3.2. Порядок обработки, передачи и хранения персональных данных

Работник предоставляет в ОУ достоверные сведения о себе. Руководитель ОУ, сверяет данные, предоставленные работником, с имеющимися у работника документами.

В соответствии со ст. 86, гл. 14 ТК РФ в целях обеспечения прав и свобод человека и гражданина при обработке персональных данных должны соблюдать следующие общие требования:

• обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
• при определении объема и содержания, обрабатываемых персональных данных должны руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами.
• при принятии решений, затрагивающих интересы работника, нельзя основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
• защита персональных данных работника от неправомерного их использования или утраты обеспечивается ОУ за счет своих средств, в порядке, установленном действующим законодательством.
• работники и их представители должны быть ознакомлены под роспись с документами ОУ, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
• во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.

IV. Передача и хранение персональных данных

4.1. При передаче персональных данных работника ОУ должно соблюдать следующие требования:

• не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных действующим законодательством;
• не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
• предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
• лица, получившие персональные данные работника, обязаны соблюдать режим конфиденциальности (неразглашении) (приложение № 4).
• разрешать доступ к персональным данным работника только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретной функции;
• не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой деятельности;
• передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
• сведения о запросах, о предоставлении персональных данных работников регистрировать в журнале учета выдачи/передачи персональных данных (приложение № 5).

4.2. Хранение и использование персональных данных работников

Персональные данные работников обрабатываются и хранятся в кабинете руководителя ОУ .

Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде — локальной компьютерной сети и отдельных компьютерах.

При получении персональных данных не от работника (за исключением случаев, если персональные данные были предоставлены на основании действующего законодательства или если персональные данные являются общедоступными) ОУ до начала обработки таких персональных данных обязана предоставить работнику следующую информацию:

• наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
• цель обработки персональных данных и ее правовое основание;
• предполагаемые пользователи персональных данных;
• установленные настоящим Положением права субъекта персональных данных.

V. Доступ к персональным данным работников

5.1. Право доступа к персональным данным работников имеют:

• директор ОУ;
• заместитель директора по УВР;
• заместитель директора по УВР;
• заместитель директора-заведующий филиалом;
•  главный бухгалтер;
• бухгалтер;
• секретарь.

5.2. Работник ОУ имеет право:

•  получать доступ к своим персональным данным и знакомиться с ними, безвозмездно получать копии любой записи, содержащей персональные данные работника;
•  требовать от ОУ уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для ОУ персональных данных.

5.2.1. Получать от ОУ:

• сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
• перечень обрабатываемых персональных данных и источник их получения;
• сведения о сроках обработки персональных данных, в том числе о сроках их хранения;
• сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

5.2.2. Требовать извещения ОУ всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

5.3. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия ОУ при обработке и защите его персональных данных.

5.4. Копировать и делать выписки персональных данных работника разрешается исключительно в служебных целях с письменного разрешения руководителя ОУ.

5.5. Передача информации третьей стороне возможна только при письменном согласии работников.

VI. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

Работники ОУ, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством.

Руководитель ОУ за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника, несет административную ответственность согласно ст. 5.27 и 5.39 Кодекса об административных правонарушениях Российской Федерации, а также возмещает работнику ущерб, причиненный неправомерным использованием информации, содержащей персональные данные работника