ПОЛОЖЕНИЕ (ПОЛИТИКА) об обработке персональных данных
Настоящее Положение (политика) об обработке персональных данных (далее – Положение) разработано с целью обеспечения соблюдения законодательства РФ, установления единого порядка обработки и защиты информации, относящейся к личности и личной жизни лиц, работающих и обучающихся в ООО ЦПО «Альянс» (далее – Общество), в соответствии со статьей 24 Конституции Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».
- Общие положения.
1.1. Основные понятия, используемые в настоящем Положении:
Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.
Персональные данные обучающихся – информация, предоставляемая Обществу в связи с отношениями, возникающими между обучающимся и Обществом.
Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
1.2. К персональным данным работника, получаемым работодателем и подлежащим хранению у работодателя в порядке, предусмотренном действующим законодательством и настоящим Положением, относятся следующие сведения, содержащиеся в личных делах работников:
- паспортные данные;
- данные документов о профессиональном образовании, профессиональной переподготовке, повышении квалификации, стажировке, подтверждении специальных знаний;
- копия документа воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);
- анкетные данные, заполненные работником при поступлении на работу или в процессе работы (в том числе – автобиография, сведения о семейном положении работника, перемене фамилии, наличии детей и иждивенцев);
- сведения о социальных льготах, пенсионном обеспечении и страховании;
- стаж работы и другие данные трудовой книжки и вкладыша к трудовой книжке;
- должность, квалификационный уровень;
- сведения о заработной плате (доходах), банковских счетах, картах;
- адрес места жительства (по регистрации и фактический), дата регистрации по указанному месту жительства;
- контактный номер телефона;
- фотографии;
- данные свидетельства о постановке на учет в налоговом органе физического лица по месту жительства на территории РФ (ИНН);
- данные страхового свидетельства государственного пенсионного страхования;
- данные страхового медицинского полиса обязательного страхования граждан;
- документы о состоянии здоровья (сведения об инвалидности, о беременности и т.п.);
- иные документы, которые с учетом специфики работы и в соответствии с законодательством Российской Федерации должны быть предъявлены работником при заключении трудового договора или в период его действия (включая медицинские заключения, предъявляемые работником при прохождении обязательных предварительных и периодических медицинских осмотров);
- трудовой договор;
- заключение по данным психологического исследования (если такое имеется);
- копии приказов о приеме, переводах, увольнении, повышении заработной платы, премировании, поощрениях и взысканиях;
- личная карточка по форме Т-2;
- заявления, объяснительные и служебные записки работника;
- документы о прохождении работником аттестации, повышения квалификации;
- иные документы, содержащие сведения о работнике, нахождение которых в личном деле работника необходимо для документального оформления трудовых правоотношений с работником (включая приговоры суда о запрете заниматься определенными видами деятельности или занимать руководящие должности).
1.5. К персональным данным обучающихся, получаемым Обществом и подлежащим хранению в Обществе в порядке, предусмотренном действующим законодательством и настоящим Положением, относятся следующие сведения, содержащиеся в личных делах учащихся:
- документы, удостоверяющие личность обучающегося;
- фотографии;
- документы о месте проживания, номер мобильного или домашнего телефона, E-mail;
- документы о составе семьи;
- данные представителей обучающегося;
- полис медицинского страхования;
- заключение по состоянию здоровья о допуске к осуществлению определенного вида деятельности (в случае если наличие такого заключение предусмотрено действующим законодательством РФ);
- документы, подтверждающие права на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством;
- иные документы, содержащие персональные данные.
- Основные условия проведения обработки персональных данных.
2.1. Общество определяет объем, содержание обрабатываемых персональных данных работников и обучающихся, руководствуясь Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 29.12.2012 N 273-ФЗ «Об образовании в Российской Федерации» и иными федеральными законами.
2.2. Цели обработки персональных данных.
2.2.1 Обработка персональных данных работников осуществляется в целях:
- обеспечения соблюдения законов и иных нормативных правовых актов;
- содействия работникам в трудоустройстве;
- обучении и продвижении по службе;
- обеспечения личной безопасности работников;
- контроля количества и качества выполняемой работы;
- сохранности имущества.
2.2.2. Обработка персональных данных обучающихся осуществляется в целях:
- обеспечения соблюдения законов и иных нормативных правовых актов;
- содействия обучающимся в обучении, трудоустройстве;
- обеспечения их личной безопасности;
- обеспечения сохранности имущества;
- заключения договоров на оказание услуг по профессиональному обучению (в т.ч. дополнительному), подготовке кадров высшей категории, дополнительному образованию детей и взрослых с субъектами персональных данных;
- оказания услуг по указанным договорам субъектам персональных данных;
- контроля качества оказываемых услуг.
2.3. Все персональные данные работника предоставляются самим работником, за исключением случаев, предусмотренных федеральным законом. Если персональные данные работника возможно получить только у третьей стороны, то работодатель обязан заранее уведомить об этом работника и получить его письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
2.4. Все персональные данные обучающегося предоставляются обучающимся и/или его представителем.Если персональные данные обучающегося возможно получить только у третьей стороны, то обучающийся и/или его представители должны быть уведомлены об этом заранее. От них должно быть получено письменное согласие на получение персональных данных от третьей стороны. Обучающийся и/или его представители должны быть проинформированы о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.
2.5. Общество вправе осуществлять сбор, передачу, уничтожение, хранение, использование информации о политических, религиозных, других убеждениях и частной жизни, а также информации, нарушающей тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений:
- работника только с его письменного согласия или на основании судебного решения,
- обучающегося только с его письменного согласия (согласия представителей) или на основании судебного решения.
- Порядок и условия обработки персональных данных.
3.1. Принципы обработки персональных данных.
3.1.1. Обработка персональных данных осуществляется на законной основе.
3.1.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3.1.3 Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
3.1.4. Обработке подлежат только те персональные данные, которые отвечают целям их обработки.
3.1.5. Содержание и объем персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточным по отношению к заявленным целям обработки.
3.1.6. При обработке персональных данных обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператором обеспечивается принятие необходимых мер по удалению или уточнению неполных или неточных данных.
3.1.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.2. Условия обработки персональных данных.
Обработка персональных данных допускается в следующих случаях:
3.2.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
3.2.2. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
3.2.3. Обработка персональных данных необходима для заключения договоров по инициативе субъекта персональных данных, а также исполнения таких договоров;
3.2.4. Обработка персональных данных необходима для осуществления прав, законных, интересов, исполнения обязательств оператора при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
3.2.5. Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных;
3.2.6. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством РФ.
3.2.7. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
- Хранение и использование персональных данных.
4.1. Персональные данные работников и обучающихся Общества хранятся на бумажных и электронных носителях (в том числе с использованием информационных систем персональных данных).
4.2. В процессе хранения персональных данных работников и обучающихся Общества должны обеспечиваться:
- требования нормативных документов, устанавливающих правила хранения конфиденциальных сведений;
- сохранность имеющихся данных, ограничение доступа к ним, в соответствии с законодательством Российской Федерации и настоящим Положением;
- контроль за достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.
4.3. Доступ к персональным данным работников и обучающихся образовательного учреждения имеют:
- генеральный директор;
- администратор образовательного учреждения;
- юрист;
- руководители структурных подразделений – к персональным данным работников и обучающихся возглавляемых подразделений;
- преподаватели (только к персональным данным обучающихся своей группы);
- иные работники, определяемые приказом руководителя Общества в пределах своей компетенции.
4.4. Помимо лиц, указанных в п. 3.3. настоящего Положения, право доступа к персональным данным работников и обучающихся имеют только лица, уполномоченные действующим законодательством.
4.5. Лица, имеющие доступ к персональным данным обязаны использовать персональные данные работников и обучающихся лишь в целях, для которых они были предоставлены.
4.6. Ответственным за обработку, организацию и осуществление хранения персональных данных работников и обучающихся Общества является генеральный директор.
4.7. Персональные данные работника отражаются в личной карточке работника, которая заполняется после издания приказа о его приеме на работу. Личные карточки работников хранятся в специально оборудованных шкафах, в систематизированном виде, позволяющем осуществить их поиск.
4.8. Персональные данные обучающегося отражаются в договоре на оказание платных образовательных услуг и хранятся в папках в специально оборудованных шкафах, в систематизированном виде, позволяющем осуществить их поиск.
- Передача персональных данных.
5.1. При передаче персональных данных работников и обучающихся Общества другим юридическим и физическим лицам Общество должно соблюдать следующие требования:
5.1.1. Персональные данные работника, обучающегося (представителей) не могут быть сообщены третьей стороне без письменного согласия работника, обучающегося (представителей), за исключением случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника, обучающегося, а также в случаях, установленных федеральным законом.
5.1.2. Лица, получающие персональные данные работника, обучающегося (представителей), должны предупреждаться о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены. Общество должно требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.
5.2. Передача персональных данных работника или обучающегося его представителям может быть осуществлена в установленном действующим законодательством порядке только в том объеме, который необходим для выполнения указанными представителями их функций.
- Конфиденциальность персональных данных.
Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
- Право субъекта персональных данных на доступ к его персональным данным.
7.1. Субъект персональных данных имеет право на получение сведений, указанных в п. 7.7 настоящего Положения, за исключением случаев, при которых доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели их обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.2. Сведения, указанные в п. 7.7 настоящего Положения, должны быть предоставлены субъекту персональных данных оператором в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
7.3. Сведения, указанные в п. 7.7 настоящего Положения, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
7.4. В случае, если сведения, указанные в п. 7.7 настоящего Положения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в п. 7.7 настоящего Положения, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого является субъект персональных данных.
7.5. Субъект персональных данных вправе обратиться повторно к оператору или направить ему запрос в целях получения сведений, указанных в п. 7.7 настоящего Положения, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п. 7.4 настоящей Политики, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п. 7.3 настоящего Положения, должен содержать основание направления повторного запроса.
7.6. Оператор в праве отказать субъекту персональных данных в выполнении повторного запроса, несоответствующего условиям, предусмотренным п. 7.3 и п. 7.4. настоящего Положения. Такой отказ должен быть мотивированным. Обязанность предоставления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
7.7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
7.7.1. Подтверждение факта обработки персональных данных Оператором;
7.7.2. Правовые основания и цели обработки персональных данных;
7.7.3. Цели и применяемые оператором способы обработки персональных данных;
7.7.4. Наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
7.7.5. Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;
7.7.6. Сроки обработки персональных данных, в том числе сроки их хранения;
7.7.7. Порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
7.7.8. Информацию обосуществленной или о предполагаемой трансграничной передаче данных;
7.7.9. Наименование или имя, фамилию, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу.
7.7.10. Иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
- Обязанности субъекта персональных данных по обеспечению достоверности его персональных данных.
8.1. В целях обеспечения достоверности персональных данных работники обязаны:
8.1.1. При приеме на работу в Общество представлять уполномоченным работникам Общества достоверные сведения о себе в порядке и объеме, предусмотренном законодательством Российской Федерации.
8.1.2. В случае изменения персональных данных работника: фамилия, имя, отчество, адрес места жительства, паспортные данные, сведения об образовании, состоянии здоровья (вследствие выявления в соответствии с медицинским заключением противопоказаний для выполнения работником его должностных, трудовых обязанностей и т.п.) сообщать об этом в течение 5 рабочих дней с момента их изменений.
8.2. В целях обеспечения достоверности персональных данных обучающиеся (представители) обязаны:
8.2.1. При приеме на обучение представлять уполномоченным работникам Общества достоверные сведения о себе.
8.2.2. В случае изменения сведений, составляющих персональные данные обучающегося, он обязан в течение 10 дней сообщить об этом уполномоченному работнику образовательного учреждения.
- Право на обжалование действий или бездействий Оператора.
9.1. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействия оператора вуполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
9.2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
- Обязанности Оператора при сборе персональных данных.
10.1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 6.7 настоящей Политики.
10.2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
10.3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных п. 8.4 настоящей Политики, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
10.3.1. Наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
10.3.2. Цель обработки персональных данных и ее правовое основание;
10.3.3. Предполагаемые пользователи персональных данных;
10.3.4. Установленные законодательством РФ права субъекта персональных данных;
10.3.5. Источник получения персональных данных.
10.4. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные п. 8.3 настоящего Положения, в случаях, если:
10.4.1. Субъект персональных данных уведомлен об осуществлении обработки его персональных данных оператором;
10.4.2. Персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого является субъект персональных данных;
10.4.3. Персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
10.4.4. Предоставление субъекту персональных данных сведений, предусмотренных частью 10.3 настоящей Политики, нарушает права и законные интересы третьих лиц.
- Ответственность за нарушение настоящего положения.
11.1. За нарушение порядка обработки (сбора, хранения, использования, распространения и защиты) персональных данных должностное лицо несет административную ответственность в соответствии с действующим законодательством.
11.2. За нарушение правил хранения и использования персональных данных, повлекшее за собой материальный ущерб работодателю, работник несет материальную ответственность в соответствии с действующим трудовым законодательством.
11.3. Материальный ущерб, нанесенный субъекту персональных данных за счет ненадлежащего хранения и использования персональных данных, подлежит возмещению в порядке, установленном действующим законодательством.
- Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом «О персональных данных».
Оператором приняты следующие меры по обеспечению безопасности персональных данных:
- сформировано настоящее положение об обработке персональных данных;
- назначен ответственный за обработку персональных данных;
- осуществляется внутренний контроль соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных.;
- утвержден перечень обрабатываемых персональных данных в информационной системе;
- работники оператора ознакомлены с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику организации в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;
- обеспечивается учет машинных носителей персональных данных;
- обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- разработаны правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечена регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- персональные данные доступны для строго определенного круга сотрудников, в здании установлены охранная и пожарная сигнализации, сведения на бумажных носителях хранятся в сейфах или запирающихся металлических шкафах, определены места хранения персональных данных, физическая охрана информационной системы (технических средств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации; учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета с отметкой об их выдаче (приеме);
- оператор располагает средствами обеспечения безопасности персональных данных, используются антивирусные средства защиты информации, сейф, помещение оборудовано сигнализацией;
- исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с персональными данными;
- обеспечена сохранность носителей персональных данных и средств защиты информации.