Политика в отношении обработки персональных данных

I. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Положение об обработке и защите персональных данных работников (далее – Положение) регулирует отношения, связанные с обработкой и защитой персональных данных работников (далее – работник, субъект персональных данных) МКОУ «Подъеланская СОШ» (далее           –           организация,      работодатель, оператор)      и                          гарантии конфиденциальности сведений о работнике, предоставленных работником работодателю, а           также   устанавливает     ответственности     должностных     лиц,             имеющих     доступ к персональным данным работников организации.

1.2. Настоящее Положение разработано с целью обеспечения защиты прав и свобод работников организации при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну работников от несанкционированного доступа, неправомерного их использования или утраты.

1.3 Настоящее Положение разработано в соответствии с: - Конституцией Российской Федерации;

- Трудовым кодексом Российской Федерации;

- Федеральным     законом    от     27.07.2006    г.    №     149-ФЗ    «Об                                          информации, информационных технологиях и о защите информации»;

- Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»;

- Федеральным законом от 29.12.2012 г. № 273-ФЗ «Об образовании в Российской Федерации»;

- Постановлением Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

- иными нормативными актами, регулирующими вопросы обработки персональных данных и обеспечения безопасности конфиденциальной информации;

- Коллективным договором организации; - Уставом организации.

1.4. В целях настоящего Положения используются следующие основные понятия:

1.4.1 Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

1.4.2. Персональные данные, разрешенные субъектом персональных данных для распространения, – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных,                разрешенных субъектом  персональных                              данных       для распространения     в    порядке,                              предусмотренном                 Федеральным                    законом№                              152-ФЗ «О персональных данных».

1.4.3. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.4.4. Обработка персональных данных – любое действие (операция) или совокупность                    действий          (операций),         совершаемых                 с                            использованием                  средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение,     использование,  передачу          (распространение,    предоставление,     доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.4.5. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

1.4.6. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

1.4.7. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

1.4.8. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

1.4.9. Уничтожение персональных данных – действия, в результате которых становится                    невозможным     восстановить    содержание                        персональных     данных               в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.4.10. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

1.4.11. Информационная     система    персональных     данных     –                                                            совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

1.4.12. Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.

1.4.13. Уровень защищенности персональных данных – комплексный показатель, характеризующий          требования,     исполнение              которых                             обеспечивает        нейтрализацию определенных          угроз                             безопасности        персональных     данных при         их       обработке в информационных системах персональных данных.

1.5. В состав обрабатываемых оператором персональных данных работников, уволенных работников, родственников работников, соискателей на вакантные должности могут входить:

- фамилия, имя, отчество; - пол;

- гражданство; - год рождения;

- месяц рождения; - дата рождения;

- место рождения;

- данные документа, удостоверяющего личность; - адрес регистрации;

- адрес места жительства; - номер телефона;

- адрес электронной почты; - СНИЛС;

- ИНН;

- сведения об образовании; - сведения о квалификации;

- сведения о профессиональной подготовке и повышении квалификации; - семейное положение;

- доходы;

- реквизиты банковской карты; - номер расчетного счета;

- номер лицевого счета; - профессия;

- должность;

- сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);

- отношение к воинской обязанности, сведения о воинском учете;

- иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

1.6. Конкретные перечни обрабатываемых персональных данных определены в зависимости от целей обработки и категории субъектов персональных данных в пункте 2.3. настоящего Положения.

1.7. Документами, которые содержат персональные данные работников, являются:

- комплекты документов, сопровождающих процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;

- комплекты     материалов     по     анкетированию,     тестированию,                                        проведению собеседований с кандидатом на должность;

- подлинники и копии приказов (распоряжений) по кадрам;

- личные дела, трудовые книжки, сведения о трудовой деятельности работников; - дела, содержащие материалы аттестаций работников;

- дела, содержащие материалы внутренних расследований;

- справочно-информационный банк данных по персоналу (картотеки, журналы); - копии отчетов, направляемых в государственные контролирующие органы;

- копия страхового свидетельства государственного пенсионного страхования;

- копия документа воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);

- копия документа об образовании, квалификации или наличии специальных знаний (при поступлении на работу, требующую специальных знаний или специальной подготовки);

- анкетные данные, заполненные работником при поступлении на работу или в процессе работы (в том числе – автобиография, сведения о семейном положении работника, перемене фамилии, наличии детей и иждивенцев);

- документы о возрасте малолетних детей и месте их обучения;

- документы о состоянии здоровья детей и других родственников (включая справки об инвалидности, о наличии хронических заболеваний);

- документы о состоянии здоровья (сведения об инвалидности, о беременности и т.п.);

- документы,    которые    с    учётом     специфики    работы     и    в                            соответствии с законодательством Российской Федерации должны быть предъявлены работником при заключении трудового договора или в период его действия (включая медицинские заключения,   предъявляемые        работником                            при        прохождении        обязательных предварительных   и                            периодических      медицинских       осмотров     и     психиатрического освидетельствования);

- трудовой договор;

- заключение по данным психологического исследования (если такое имеется);

- копии приказов о приёме, переводах, увольнении, повышении заработной платы, премировании, поощрениях и взысканиях;

- заявления, объяснительные и служебные записки работника;

- иные документы, содержащие сведения о работнике, нахождение которых в личном деле работника необходимо для документального оформления трудовых правоотношений с работником (включая приговоры суда о запрете заниматься педагогической деятельностью или занимать руководящие должности).

II. ОБЩИЕ ТРЕБОВАНИЯ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА И ГАРАНТИИ ИХ ЗАЩИТЫ

2.1. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

2.1.1. Обработка     персональных     данных     работника     может                                             осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

2.1.2. При определении объёма и содержания обрабатываемых персональных данных   работника          работодатель                               должен                 руководствоваться                  ст. 24        Конституции Российской Федерации, ст. 65 Трудового Кодекса и иными федеральными законами.

2.1.3. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

2.1.4. Работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся (в соответствии со ст. 10 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных») к специальным категориям персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, если:

- субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

- обработка персональных данных, разрешенных субъектом персональных данных для                распространения,              осуществляется  с     соблюдением           запретов          и         условий, предусмотренных        ст.     10.1           Федерального     закона     от                    27.07.2006     г.     №     152-ФЗ «О персональных данных»;

- обработка    персональных     данных    необходима    в    связи     с                                      реализацией международных договоров Российской Федерации о реадмиссии;

- обработка персональных данных осуществляется в соответствии с Федеральным законом от 25.01.2002 г. № 8-ФЗ «О Всероссийской переписи населения»;

- обработка     персональных      данных     осуществляется      в     соответствии                                       с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;

- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;

- обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

- обработка     персональных      данных     членов     (участников)               общественного объединения       или     религиозной     организации     осуществляется соответствующими общественным     объединением             или     религиозной     организацией,     действующими      в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных               их     учредительными     документами,     при     условии,     что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

- обработка     персональных     данных     необходима     для     установления                                       или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;

- обработка       персональных       данных       осуществляется        в                                         соответствии с законодательством       Российской       Федерации       об                                     обороне,       о       безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;

- обработка    полученных     в    установленных     законодательством                                      Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора;

- обработка персональных данных осуществляется в соответствии  со страховым   законодательством;

обработка персональных данных осуществляется в случаях, предусмотренных законодательством   Российской     Федерации,   государственными    органами,  муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан;

- обработка     персональных      данных     осуществляется      в     соответствии                                       с законодательством Российской Федерации о гражданстве Российской Федерации.

2.1.5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым Кодексом или иными федеральными законами.

2.1.6. Работодатель не вправе требовать от работника представления персональных данных, которые не характеризуют работника как сторону трудовых отношений.

2.1.7. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

2.1.8. Работодатель также не вправе принимать решения, затрагивающие интересы работника, основываясь на данных, допускающих двоякое толкование. В случае если на основании персональных данных работника невозможно достоверно установить какой-либо факт, работодатель предлагает работнику представить письменные разъяснения.

2.1.9. Защита      персональных      данных     работника     от     неправомерного                                        их использования или утраты должна быть обеспечена работодателем за счёт собственных средств в порядке, установленном Трудовым Кодексом и иными федеральными законами.

2.1.10. Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

2.1.11. Работники не должны отказываться от своих прав на сохранение и защиту тайны.

2.1.12. Работодатели,     работники     и    их     представители     должны                                                     совместно вырабатывать меры защиты персональных данных работников.

2.2. Организация определяет объём, содержание обрабатываемых персональных данных работников, руководствуясь Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами.

2.3. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

2.3. Обработка Оператором персональных данных осуществляется в следующих целях:

1. Цель обработки: подбор персонала (соискателей) на вакантные должности оператора

2. Цель обработки: обеспечение соблюдения трудового законодательства РФ

2.5. Работник (соискатель на должность) представляет работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, представленные работником (соискателем на должность), с имеющимися документами.

2.6. При изменении персональных данных работник письменно уведомляет работодателя о таких изменениях в разумный срок, не превышающий 5 дней.

2.7. По мере необходимости работодатель истребует у работника дополнительные сведения. Работник представляет требуемые сведения и в случае необходимости предъявляет документы, подтверждающие достоверность этих сведений.

2.8. Чтобы обрабатывать персональные данные работников, работодатель получает от каждого работника согласие на обработку его персональных данных. Такое согласие работодатель получает, если закон не предоставляет работодателю права обрабатывать персональные данные без согласия работников.

2.9. Согласие     на    обработку персональных    данных    может    быть                                       отозвано работником. В случае отзыва работником согласия на обработку персональных данных работодатель вправе продолжить обработку персональных данных без согласия работника при наличии оснований, указанных в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ.

2.10. Ответственным за организацию обработки персональных данных работников организации является заместитель руководителя, назначенный в соответствии с приказом руководителя организации.

III. ХРАНЕНИЕ И ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. ОРГАНИЗАЦИЯ обеспечивает защиту персональных данных работников от неправомерного использования или утраты.

3.2. Хранение      персональных      данных     должно     осуществляться       в                                        форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

3.3. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.4. Персональные данные работников организации хранятся на бумажных и электронных носителях.

3.5. Персональные данные работников могут также храниться в электронном виде в локальной компьютерной сети организации. Доступ к электронным базам данных, содержащим                   персональные  данные    работников,                  обеспечивается           двухступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли                  устанавливаются     заместителем      директора     организации     и                  сообщаются индивидуально работникам, имеющим доступ к персональным данным работников.

3.6. Изменение паролей производится заместителем директора организации не реже одного раза в два месяца.

3.7. В      процессе      хранения      персональных     данных      работников                           должны обеспечиваться:

- требования нормативных документов, устанавливающих правила хранения конфиденциальных сведений;

- сохранность имеющихся данных, ограничение доступа к ним, в соответствии с законодательством Российской Федерации и настоящим Положением;

- контроль за достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.

3.8. Доступ к персональным данным работников имеют: - руководитель организации;

- заместители руководителя организации; - главный бухгалтер;

- секретарь;

- работники бухгалтерии;

- иные работники, определяемые приказом руководителя организации в пределах своей компетенции.

3.9. Помимо лиц, указанных в п.3.4 настоящего Положения к персональным данным работников  право доступа имеют лица, уполномоченные действующим  законодательством.

3.10. Лица, имеющие доступ к персональным данным обязаны использовать персональные данные работников лишь в целях, для которых они были предоставлены.

3.11. Копировать     и    делать     выписки    из    персональных    данных                                             работника разрешается исключительно в служебных целях с разрешения руководителя организации или его заместителя.

IV. ПЕРЕДАЧА И РАСПРОСТРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ

4.1. При     передаче    персональных     данных    работника    работодатель                              должен соблюдать следующие требования:

4.1.1. Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым Кодексом или иными федеральными законами.

4.1.2. Не сообщать персональные данные работника в коммерческих целях без его письменного согласия.

4.1.3. Предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном Трудовым Кодексом и иными федеральными законами.

4.1.4. Осуществлять передачу персональных данных работника в пределах организации в соответствии с данным Положением, с которым работник должен быть ознакомлен под роспись.

4.1.5. Разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.

4.1.6. Не     запрашивать      информацию     о     состоянии     здоровья                                работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

4.1.7. Передавать персональные данные работника представителям работников в порядке, установленном Трудовым Кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

4.2. При передаче работодателем персональных данных работника сотрудник должен дать на это согласие в письменной или электронной форме. Если сотрудник оформил согласие на передачу персональных данных в электронной форме, то он подписывает согласие усиленной электронной цифровой подписью.

4.3. Работодатель       вправе       передать       информацию,       которая                                                относится к персональным данным работника, без его согласия, если такие сведения нужно передать по запросу государственных органов, в порядке, установленном законодательством.

4.4. В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение информации, относящейся к персональным данным работника, работодатель обязан отказать лицу в выдаче информации. Лицу, обратившемуся с запросом, выдается уведомление об отказе в выдаче информации, копия уведомления подшивается в личное дело работника.

4.5. Работодатель не вправе распространять персональные данные работников третьим лицам без согласия работника на передачу таких данных.

4.6. Согласие на обработку персональных данных, разрешенных работником для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

4.7. Работодатель обязан обеспечить работнику возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на распространение персональных данных.

4.8. В случае если из предоставленного работником согласия на распространение персональных данных не следует, что работник согласился с распространением персональных данных, такие персональные данные обрабатываются работодателем без права распространения.

4.9. В случае если из предоставленного работником согласия на передачу персональных данных не следует, что работник не установил запреты и условия на обработку персональных данных или не указал категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, работодатель обрабатывает такие персональные данные без возможности передачи (распространения, предоставления, доступа) неограниченному кругу лиц.

4.10. Согласие работника на распространение персональных данных может быть предоставлено работодателю:

- непосредственно;

- с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

4.11. В согласии на распространение персональных данных работник вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных работодателем неограниченному кругу лиц, а также запреты на обработку или условия              обработки      (кроме        получения                   доступа)        этих         персональных                  данных неограниченным кругом лиц. Отказ работодателя в установлении работником данных запретов и условий не допускается.

4.12. Работодатель обязан в срок не позднее трех рабочих дней с момента получения согласия работника на распространение персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных работника для распространения.

4.13. Передача (распространение, предоставление, доступ) персональных данных, разрешенных работником для распространения, должна быть прекращена в любое время по его требованию. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) работника, а также перечень персональных данных, обработка которых подлежит прекращению.

4.14. Действие согласия работника на распространение персональных данных прекращается с момента поступления работодателю требования, указанного в пункте 4.13 настоящего Положения.

4.15.     Работник     вправе     обратиться     с    требованием     прекратить                        передачу (распространение,             предоставление,     доступ)     своих                        персональных            данных,          ранее разрешенных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений Федерального закона от 27.07.2006 № 152-ФЗ или обратиться с таким требованием в суд. Работодатель или третье лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования работника или в срок, указанный во вступившем в законную силу решении суда. Если такой срок в решении суда не указан, то работодатель или третье лицо обязаны прекратить передачу персональных данных работника в течение трех рабочих дней с момента вступления решения суда в законную силу.

V. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

5.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Федерального закона «О персональных данных», предоставляются Оператором субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.

В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

Запрос должен содержать:

- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

- сведения,     подтверждающие     участие    субъекта     персональных    данных                                     в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;

- подпись субъекта персональных данных или его представителя.

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Федерального закона «О персональных данных» все

необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Федерального закона «О персональных данных», в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

5.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

5.3. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.

5.4. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

- оператор     не     вправе     осуществлять      обработку     без     согласия                                     субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;

- иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.

5.5. Уничтожение персональных данных осуществляется в соотвветствии с Регламентом уничтожения персональных данных комиссией, созданной приказом руководителя Учреждения.

5.6. Способы уничтожения персональных данных устанавливаются в Регламенте уничтожения персональных данных.

5.7.     Подтверждение      уничтожения     персональных     данных                       осуществляется в соответствии с требованиями, установленными приказом Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».

VI. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Оператор и иные лица, получившие доступ к персональным данным работника, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

6.2. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

6.3. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.

6.4. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных                         и                        нормативных                                                                  документов,              обеспечивающих создание, функционирование и совершенствование СЗПД.

6.5. Подсистема организационной защиты включает в себя организацию структуры управления   СЗПД,                     разрешительной         системы,           защиты                        информации                          при             работе с сотрудниками, партнерами и сторонними лицами.

6.6. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД.

6.7. Основными мерами защиты ПД, используемыми Оператором, являются:

6.7.1. Назначение лица, ответственного за организацию обработки ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите ПД.

6.7.2. Определение актуальных угроз безопасности ПД при их обработке в ИСПД и разработка мер и мероприятий по защите ПД.

6.7.3. Разработка политики в отношении обработки персональных данных.

6.7.4. Установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в ИСПД.

6.7.5.       Установление        индивидуальных       паролей      доступа                           сотрудников в информационную систему в соответствии с их производственными обязанностями.

6.7.6. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

6.7.7. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.

6.7.8. Соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ.

6.7.9. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.

6.7.10. Восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

6.7.11. Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.

6.7.12. Осуществление внутреннего контроля и аудита.

6.7.13. Определение типа угроз безопасности и уровней защищенности ПД, которые хранятся в информационных системах.

6.8. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.

6.9. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:

- в течение 24 часов – уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом (первичное уведомление);

- в течение 72 часов – уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии) (дополнительное уведомление).

6.10. Взаимодействия оператора с Роскомнадзором в рамках ведения реестр учета инцидентов в области персональных данных осуществляется в соответствии с приказом Роскомнадзора от 14.11.2022 № 187 «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных».

6.11. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Закона о персональных данных производится в соответствии с приказом Роскомнадзора от 27.10.2022 № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"».

6.12. Угрозы защищенности персональных данных.

6.12.1.     Угрозы     первого     типа.     В     системном     программном                           обеспечении информационной       системы         есть      функциональные      возможности      программного обеспечения, которые не указаны в описании к нему либо не отвечают характеристикам, которые заявил производитель. И это потенциально может привести к неправомерному использованию персональных данных.

6.12.2.    Угрозы     второго типа. Потенциальные           проблемы, связанные с программным обеспечением,   которое  установлено на компьютерах работников.  

6.12.3. Угрозы третьего типа. Потенциальной опасности ни от системного, ни от программного обеспечения нет.

6.13. Уровни защищенности персональных данных.

6.13.1. Первый уровень защищенности. Если работодатель отнес информационную систему к первому типу угрозы или если тип угрозы второй, но работодатель обрабатывает специальные категории ПД более 100 тыс. физических лиц без учета работников.

6.13.2. Второй уровень защищенности. Если тип угрозы второй и работодатель обрабатывает специальные категории ПД работников вне зависимости от их количества или специальные категории ПД менее чем 100 тыс. физических лиц, или любые другие категории ПД более чем 100 тыс. физических лиц, или при третьем типе угрозы работодатель обрабатывает специальные категории данных более чем 100 тыс. физических лиц.

6.13.3. Третий уровень защищенности. Если при втором типе угрозы работодатель обрабатывает общие ПД работников или менее чем 100 тыс. физических лиц, или при третьем типе угрозы работодатель обрабатывает специальные категории ПД работников или менее чем 100 тыс. физических лиц, или при третьем типе угрозы работодатель обрабатывает биометрические ПД, или при третьем типе угрозы работодатель обрабатывает общие ПД более чем 100 тыс. физических лиц.

6.13.4. Четвертый уровень защищенности. Если при третьем типе угрозы работодатель обрабатывает только общие ПД работников или менее чем 100 тыс. физических лиц.

6.14. При четвертом уровне защищенности персональных данных работодатель:

- обеспечивает режим безопасности помещений, в которых размещается информационная система;

- обеспечивает сохранность носителей информации;

- утверждает перечень работников, допущенных до ПД;

- использует средства защиты информации, которые прошли оценку соответствия требованиям закона в области обеспечения безопасности информации.

6.15.    При третьем        уровне    защищенности     ПД,    дополнительно к мерам, перечисленным     в     пункте     6.10    настоящего     Положения,    работодатель назначает ответственного за обеспечение безопасности ПД в информационной системе.

6.16.    При втором          уровне    защищенности     ПД     дополнительно        к                        мерам, перечисленным в пунктах 6.10, 6.11 настоящего Положения, работодатель ограничивает доступ к электронному журналу сообщений, за исключением работников, которым такие сведения необходимы для работы.

6.17.    При     первом     уровне    защищенности     ПД     дополнительно    к                        мерам, перечисленным в пунктах 6.10-6.12 настоящего Положения, работодатель:

- обеспечивает      автоматическую      регистрацию      в      электронном                                             журнале безопасности изменения полномочий работников по допуску к ПД в системе;

- создает отдел, ответственный за безопасность ПД в системе, либо возлагает такую обязанность на один из существующих отделов работодателя.

6.18. В целях защиты ПД на бумажных носителях работодатель:

- приказом назначает ответственного за обработку ПД;

- ограничивает допуск в помещения, где хранятся документы, которые содержат ПД работников;

- хранит документы, содержащие ПД работников в шкафах, запирающихся на ключ;

- хранит трудовые книжки работников в сейфе в отделе кадров.

6.19. В целях обеспечения конфиденциальности документы, содержащие ПД работников, оформляются, ведутся и хранятся только работниками отдела кадров, бухгалтерии, учебной части и службы охраны труда работодателя.

6.20. Работники отдела кадров, бухгалтерии, учебной части и службы охраны труда работодателя,                     допущенные                      к                          ПД                            работников,      подписывают                    обязательства     о неразглашении персональных данных. В противном случае до обработки ПД работников не допускаются.

6.21. Допуск к документам, содержащим ПД работников, внутри ОРГАНИЗАЦИИ осуществляется на основании Регламента допуска работников к обработке персональных данных.

6.22. Передача ПД по запросам третьих лиц, если такая передача прямо не предусмотрена законодательством РФ, допускается исключительно с согласия работника на обработку его персональных данных в части их предоставления или согласия на распространение персональных данных.

6.23. Передача информации, содержащей сведения о ПД работников, по телефону в связи с невозможностью идентификации лица, запрашивающего информацию, запрещается.

VII. ПРАВА РАБОТНИКА В ЦЕЛЯХ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ, ХРАНЯЩИХСЯ У РАБОТОДАТЕЛЯ

7.1. В    целях     обеспечения    защиты     персональных    данных,    хранящихся                          у работодателя, работники имеют право:

7.1.1. Получать полную информацию о своих персональных данных и их обработке.

7.1.2. На свободный бесплатный доступ к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральными законами.

Получение указанной информации о своих персональных данных возможно при личном обращении работника к сотруднику, ответственному за организацию обработки персональных данных работников.

7.1.3. На определение своих представителей для защиты своих персональных данных.

7.1.4. На доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору.

7.1.5. Требовать об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований действующего законодательства.

При отказе руководителя организации исключить или исправить персональные данные работника, работник имеет право заявить в письменном виде руководителю организации о своем несогласии, с соответствующим обоснованием такого несогласия. Персональные       данные        оценочного                             характера                        работник     имеет          право    дополнить заявлением, выражающим его собственную точку зрения.

7.1.6. Требовать об извещение организацией всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника обо всех произведенных в них исключениях, исправлениях или дополнениях.

7.1.7. Обжаловать в суде любые неправомерные действия или бездействия организации при обработке и защите его персональных данных.

VIII. ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ ПО ОБЕСПЕЧЕНИЮ ДОСТОВЕРНОСТИ ЕГО ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. В целях обеспечения достоверности персональных данных работники обязаны:

8.1.1. При приёме на работу в организацию представлять работникам достоверные сведения о себе в порядке и объёме, предусмотренном законодательством Российской Федерации.

8.1.2. В случае изменения персональных данных работника: фамилия, имя, отчество, адрес места жительства, паспортные данные, сведения об образовании, состоянии здоровья (вследствие выявления в соответствии с медицинским заключением противопоказаний для выполнения работником его должностных, трудовых обязанностей и т.п.) сообщать об этом в течение 5 рабочих дней с даты их изменений.

 IX. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА

9.1. Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым Кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

9.2. Персональная ответственность – одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.

9.3. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие её, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

9.4. За нарушение правил хранения и использования персональных данных, повлекшее за собой материальный ущерб работодателю, работник несёт материальную ответственность в соответствии с действующим трудовым законодательством.

9.5. Материальный ущерб, нанесённый субъекту персональных данных за счёт ненадлежащего хранения и использования персональных данных, подлежит возмещению в порядке, установленном действующим законодательством.

9.6. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с Федеральным законом № 152-ФЗ «О персональных данных», подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

9.7. Организация вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных лишь обработку следующих персональных данных:

• включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

• в случае если Оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации.

Во всех остальных случаях оператор (руководитель организации и (или) уполномоченные им лица) обязан направить в уполномоченный орган по защите прав субъектов персональных данных соответствующее уведомление.

X. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

10.1. Настоящее Положение является локальным нормативным актом, принимается на Общем собрании работников организации и утверждается (либо вводится в действие) приказом руководителя организации.

10.2. Все        изменения оформляются в письменной Российской Федерации.   дополнения,     вносимые     в     настоящее     Положение, форме в соответствии действующим законодательством

10.3. Положение    о    защите    персональных    данных    работников принимается на неопределенный срок. Изменения и дополнения к принимаются в порядке, предусмотренном п.10.1. настоящего Положения. организации Положению

10.4. После принятия Положения (или изменений и дополнений отдельных пунктов и разделов) в новой редакции предыдущая редакция автоматически утрачи