Положение
о защите, хранении, обработке и передаче персональных данных работников и обучающихся
образовательной организации МАОУ лицей№1г.Канска
1. Общие положения
1.1. Настоящее положение разработано в соответствии с положениями Конституции
Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона от 27
июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации",
Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон о
персональных данных) и иных нормативно-правовых актов в области обработки и защиты
персональных данных.
1.2. Целью настоящего положения является защита персональных данных, относящихся к
личности и частной жизни работников и обучающихся (субъектов персональных данных) в МАОУ
лицей№1г.Канска (далее - образовательная организация, работодатель), от несанкционированного
доступа, неправомерного их использования или утраты.
1.3. Персональные данные - любая информация, относящаяся к прямо или косвенно
определенному или определяемому физическому лицу (субъекту персональных данных).
1.4. К персональным данным работника относятся:
- фамилия, имя, отчество;
- дата и место рождения;
- гражданство;
- сведения о знании иностранных языков;
- данные об образовании (наименование учебного заведения, год окончания, документ об
образовании, квалификация, специальность);
- профессия;
- стаж работы (общий, непрерывный, дающий право на выслугу лет);
- семейное положение;
- данные о членах семьи (степень родства, Ф. И. О., год рождения, паспортные данные,
включая прописку и место рождения);
- паспорт (номер, дата выдачи, кем выдан);
- адрес места жительства (по паспорту, фактический), дата регистрации по месту
жительства;
- номер телефона (домашний, сотовый);
- сведения о воинском учѐте;
- сведения о состоянии здоровья работника, необходимые работодателю для определения
пригодности для выполнения поручаемой работы и предупреждения профессиональных
заболеваний, предусмотренные действующим законодательством Российской Федерации;
- содержание заключенного с работником контракта или трудового договора;
- сведения об аттестации, повышении квалификации, профессиональной переподготовке
работника;
- сведения об использованных отпусках;
- сведения об имеющихся наградах (поощрениях), почѐтных званиях;
- сведения о номере и серии страхового свидетельства государственного пенсионного
страхования;
- сведения об идентификационном номере налогоплательщика;
- сведения о социальных льготах (в соответствии с действующим законодательством
Российской Федерации);
- данные о текущей трудовой деятельности (дата начала трудовой деятельности, кадровые
перемещения, оклады и их изменения);
- иные сведения, необходимые работодателю в соответствии с действующим
законодательством Российской Федерации в области персональных данных, с помощью которых
можно идентифицировать субъекта персональных данных.
1.5. К персональным данным обучающегося относятся:
- фамилия, имя, отчество ребенка и его родителей (законных представителей);
- дата и место рождения ребенка;
- реквизиты свидетельства о рождении ребенка;
- адрес места жительства ребенка;
- сведения о наличии потребности в обучении ребенка по адаптированной образовательной
программе дошкольного образования и (или) в создании специальных условий для организации
обучения и воспитания ребенка-инвалида в соответствии с индивидуальной программой
реабилитации инвалида (при наличии);
- реквизиты документа, удостоверяющего личность родителя (законного представителя)
ребенка;
- реквизиты документов, подтверждающих установление опеки или попечительства (при
наличии);
- адрес электронной почты, номер телефона (при наличии) родителей (законных
представителей) ребенка;
- сведения о номере и серии страхового свидетельства государственного пенсионного
страхования;
- сведения об идентификационном номере налогоплательщика;
- сведения о воинском учѐте;
- иные сведения, необходимые образовательной организации в соответствии с действующим
законодательством Российской Федерации в области персональных данных, с помощью которых
можно идентифицировать субъекта персональных данных.
1.6. Персональные данные, разрешенные субъектом персональных данных для
распространения, - персональные данные, доступ неограниченного круга лиц к которым
предоставлен субъектом персональных данных путем дачи согласия на обработку персональных
данных, разрешенных субъектом персональных данных для распространения.
1.7. Персональные данные субъекта являются конфиденциальной информацией и не могут
быть использованы образовательной организацией или любым другим лицом в личных целях.
Образовательная организация и иные лица, получившие доступ к персональным данным, обязаны
не раскрывать третьим лицам и не распространять персональные данные без согласия работников и
обучающихся, если иное не предусмотрено Законом о персональных данных.
1.8. Обработка персональных данных - любое действие (операция) или совокупность
действий (операций), совершаемых с использованием средств автоматизации или без
использования таких средств с персональными данными, включая сбор, запись, систематизацию,
накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу
(распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение
персональных данных.
2. Принципы и условия обработки персональных данных
2.1. Обработка персональных данных должна осуществляться на законной и справедливой
основе и ограничиваться достижением конкретных, заранее определенных и законных целей.
2.2. Хранение персональных данных должно осуществляться в форме, позволяющей
определить субъекта персональных данных, не дольше, чем этого требуют цели обработки
персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо
обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении
этих целей.
2.3. Обработка персональных данных осуществляется с согласия субъекта персональных
данных на обработку его персональных данных.
2.4. Лицо, осуществляющее обработку персональных данных по поручению
образовательной организации, обязано соблюдать принципы и правила обработки персональных
данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность
персональных данных, принимать необходимые меры, направленные на обеспечение выполнения
обязанностей, предусмотренных названным Федеральным законом.
2.5. Лицо, осуществляющее обработку персональных данных по поручению
образовательной организации, не обязано получать согласие работника или обучающегося на
обработку его персональных данных.
3. Обработка, хранение и передача персональных данных работника и обучающегося
3.1. Обработка персональных данных работника осуществляется исключительно в целях
обеспечения соблюдения законов и иных нормативных правовых актов, содействия работнику в
трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности
работника, контроля количества и качества выполняемой работы и обеспечения сохранности
имущества.
3.2. Обработка персональных данных обучающегося осуществляется исключительно в целях
осуществления деятельности согласно Уставу образовательной организации, исполнения договора
на оказание образовательных услуг, исполнения иных договорных отношений, проведения
внеурочной работы.
3.3. Работодатель обрабатывает в информационных системах с использованием средств
автоматизации следующие категории персональных данных работника, обеспечивает их защиту с
учетом определенного типа угроз безопасности и уровня защищенности персональных данных:
Цель обработки персональных данных: регулирование трудовых отношений с
работниками. Обеспечение безопасности.
— обеспечения соблюдения законодательных и иных нормативных правовых актов РФ, локальных
нормативных актов;
— исполнения обязанностей, возложенных законодательством РФ, в том числе связанных с
представлением персональных данных в налоговые органы, Фонд социального страхования
Российской Федерации, Федеральный фонд обязательного медицинского страхования, а также в
иные государственные органы;
— регулирования трудовых отношений с работниками (трудоустройство, контроль количества и
качества выполняемой работы, обеспечение сохранности имущества);
— предоставления работникам и членам их семей дополнительных гарантий и компенсаций, в том
числе добровольного медицинского страхования, негосударственного пенсионного обеспечения и
других видов социального обеспечения;
— подготовки, заключения, исполнения и прекращения договоров с контрагентами;
— исполнения судебных актов, актов других государственных органов или должностных лиц;
— реализации прав и законных интересов в рамках ведения видов деятельности, предусмотренных
Уставом и иными локальными нормативными актам, или третьих лиц либо достижения
общественно значимых целей;
— в иных законных целях.
| Категория персональных данных |
Перечень персональных данных | Категория работников |
| только общие персональные данные |
- фамилия, имя, отчество; - год, месяц, дата рождения; - место рождения; - адрес; - семейное положение; - образование; - профессия; - социальное положение; - доходы; - иное. |
все работники |
| общие и специальные персональные данные |
- фамилия, имя, отчество; - год, месяц, дата рождения; - место рождения; - адрес; - семейное положение; - образование; - профессия; - социальное положение; - доходы; - национальная принадлежности; - состояние здоровья; - сведения о судимости; - иное. |
все работники |
| общие и биометрические персональные данные |
- фамилия, имя, отчество; - год, месяц, дата рождения; - место рождения; - адрес; - семейное положение; - образование; - профессия; - социальное положение; - доходы; - фото; - видео; - иное. |
все работники |
| общие, специальные и биометрические персональные данные |
- фамилия, имя, отчество; - год, месяц, дата рождения; - место рождения; - адрес; - семейное положение; - образование; - профессия; - социальное положение; - доходы; - состояние здоровья; - сведения о судимости; - фото; - видео; - иное. |
все работники |
3.4. Образовательная организация обрабатывает в информационных системах с
использованием средств автоматизации следующие категории персональных данных
обучающегося, обеспечивает их защиту с учетом определенного типа угроз
безопасности и уровня защищенности персональных данных:
| Целями | обработки | персональных | данных | обучающихся | являются: | |
| обеспечение соблюдения законов и иных нормативных правовых актов; учет детей, подлежащих обязательному обучению в школе; соблюдение порядка и правил приема |
||||||
| в | школе; | индивидуальный | учет | результатов | освоения | обучающимися |
образовательных программ, а также хранение архивов данных об этих результатах на
бумажных носителях и/или электронных носителях.
| Категория персональных данных |
Перечень персональных данных | Категория обучающихся |
| только общие персональные данные |
- фамилия, имя, отчество; - год, месяц, дата рождения; - место рождения; - адрес; - образование; - номер телефона; - СНИЛС; - ИНН; - сведения о воинском учѐте; - иное. |
все обучающиеся |
| общие и специальные персональные данные |
- фамилия, имя, отчество; - год, месяц, дата рождения; - место рождения; - адрес; - образование; - номер телефона; - СНИЛС; - ИНН; - сведения о воинском учѐте; - расовая, национальная принадлежности; - состояние здоровья; - сведения о судимости; - иное. |
все обучающиеся |
| общие и биометрические персональные данные |
- фамилия, имя, отчество; - год, месяц, дата рождения; - место рождения; - адрес; - образование; - номер телефона; - СНИЛС; - ИНН; - сведения о воинском учѐте; - фото; - видео; - иное. |
все обучающиеся |
3.5. При 4-м уровне защищенности персональных данных образовательная организация:
- обеспечивает режим безопасности помещений, в которых размещена информационная
система, препятствующий возможности неконтролируемого проникновения или пребывания в этих
помещениях лиц, не имеющих права доступа в эти помещения;
- обеспечивает сохранность носителей персональных данных;
- утверждает перечень работников, доступ которых к персональным данным,
обрабатываемым в информационной системе, необходим для выполнения ими служебных
(трудовых) обязанностей;
- использует средства защиты информации, прошедшие процедуру оценки соответствия
требованиям законодательства Российской Федерации в области обеспечения безопасности
информации.
3.6. При 3-м уровне защищенности персональных данных образовательная организация
дополнительно к мерам, перечисленным в пункте 3.5 настоящего положения, назначает
должностное лицо (работника), ответственного за обеспечение безопасности персональных данных
в информационной системе.
3.7. При 2-м уровне защищенности персональных данных образовательная организация
дополнительно к мерам, перечисленным в пунктах 3.5, 3.6 настоящего положения, ограничивает
доступ к содержанию электронного журнала сообщений, за исключением для должностных лиц
(работников), которым сведения, содержащиеся в указанном журнале, необходимы для выполнения
служебных (трудовых) обязанностей.
3.8. При 1-м уровне защищенности персональных данных образовательная организация
дополнительно к мерам, перечисленным в пунктах 3.5-3.7 настоящего положения:
- обеспечивает автоматическую регистрацию в электронном журнале безопасности
изменения полномочий работника по доступу к персональным данным, содержащимся в
информационной системе;
- создает структурное подразделение, ответственное за обеспечение безопасности
персональных данных в информационной системе, либо возлагает на одно из структурных
подразделений функции по обеспечению такой безопасности.
3.9. Работодатель обрабатывает без использования средств автоматизации следующие
категории персональных данных работника, обеспечивает их защиту, которые хранятся на
бумажных носителях:
Целями обработки персональных данных субъектов персональных данных являются:
осуществление деятельности согласно Уставу образовательной организации, исполнение договора
на оказание образовательных услуг; исполнение иных договорных отношений; проведение
внеурочной работы, оформление трудовых отношений.
| Категория персональных данных |
Перечень персональных данных | Категория работников |
| только общие персональные данные |
- фамилия, имя, отчество; - год, месяц, дата рождения; - место рождения; - адрес; - семейное положение; - образование; - профессия; - социальное положение; - доходы; - иное. |
все работники |
| общие и специальные персональные данные |
- фамилия, имя, отчество; - год, месяц, дата рождения; - место рождения; - адрес; - семейное положение; - образование; - профессия; - социальное положение; - доходы; - национальная принадлежности; - состояние здоровья; - сведения о судимости; - иное. |
все работники |
| общие и биометрически е персональные данные |
- фамилия, имя, отчество; - год, месяц, дата рождения; - место рождения; - адрес; - семейное положение; - образование; - профессия; - социальное положение; - доходы; - фото; - видео; - иное. |
все работники |
| общие, специальные и биометрически е персональные данные |
- фамилия, имя, отчество; - год, месяц, дата рождения; - место рождения; - адрес; - семейное положение; - образование; - профессия; - социальное положение; - доходы; - национальная принадлежности; - состояние здоровья; - сведения о судимости; - фото; - видео; - иное. |
все работники |
3.10. Образовательная организация обрабатывает без использования средств автоматизации
следующие категории персональных данных обучающегося, обеспечивает их защиту, которые
хранятся на бумажных носителях:
| Целями | обработки | персональных | данных | обучающихся | являются: | обеспечение подлежащих |
|||
| соблюдения | законов | и | иных | нормативных | правовых | актов; | учет правил |
детей, | |
| обязательному | обучению | в | школе; | соблюдение | порядка | и | приема | в | школе; |
индивидуальный учет результатов освоения обучающимися образовательных программ, а также
хранение архивов данных об этих результатах на бумажных носителях и/или электронных
носителях.
| Категория персональных данных |
Перечень персональных данных | Категория обучающихся |
| только общие персональные данные |
- фамилия, имя, отчество; - год, месяц, дата рождения; - место рождения; - адрес; - образование; - номер телефона; - СНИЛС; - ИНН; - сведения о воинском учѐте; - иное. |
все обучающиеся |
| общие и специальные персональные данные |
- фамилия, имя, отчество; - год, месяц, дата рождения; - место рождения; - адрес; - образование; - номер телефона; - СНИЛС; - ИНН; - сведения о воинском учѐте; - расовая, национальная принадлежности; - политические взгляды; - религиозные или философские убеждения; - состояние здоровья, интимной жизни; - сведения о судимости; - иное. |
все обучающиеся |
| общие и биометрически е персональные данные |
- фамилия, имя, отчество; - год, месяц, дата рождения; - место рождения; - адрес; - образование; - номер телефона; - СНИЛС; - ИНН; - сведения о воинском учѐте; - фото; - видео; - отпечатки пальцев; - иное. |
все обучающиеся |
| общие, специальные и биометрически е персональные данные |
- фамилия, имя, отчество; - год, месяц, дата рождения; - место рождения; - адрес; - образование; - номер телефона; - СНИЛС; - ИНН; - сведения о воинском учѐте; - расовая, национальная принадлежности; - политические взгляды; - религиозные или философские убеждения; - состояние здоровья, интимной жизни; - сведения о судимости; - фото; - видео; - отпечатки пальцев; - иное. |
все обучающиеся |
3.11. Образовательная организация при обработке персональных данных работника или
обучающегося на бумажных носителях в целях обеспечения их защиты:
- назначает должностное лицо (работника), ответственного за обработку персональных
данных;
- ограничивает допуск в помещения, в которых хранятся документы, содержащие
персональные данные работников или обучающихся.
3.12. В целях обеспечения конфиденциальности документы, содержащие персональные
данные работников, оформляются, ведутся и хранятся только работниками отдела кадров,
бухгалтерии и службы охраны труда образовательной организации, а документы, содержащие
персональные данные обучающихся, оформляются, ведутся и хранятся только классными
руководителями обучающихся и работниками учебной части.
3.13. Работники отдела кадров, бухгалтерии, службы охраны труда, учебной части,
допущенные к персональным данным работников или обучающихся, подписывают обязательства о
неразглашении персональных данных. В противном случае до обработки персональных данных
работников или обучающихся не допускаются.
3.14. Руководитель отдела кадров вправе передавать персональные данные работника в
бухгалтерию организации в случаях, установленных законодательством, необходимых для
исполнения обязанностей работников бухгалтерии.
3.15. Руководитель организации может передавать персональные данные работника третьим
лицам, только если это необходимо в целях предупреждения угрозы жизни и здоровья работника, а
также в случаях, установленных законодательством.
3.16. При передаче персональных данных работника руководитель отдела кадров и
руководитель организации предупреждают лиц, получающих данную информацию, о том, что эти
данные могут быть использованы лишь в целях, для которых они сообщены, и требуют от этих лиц
письменное подтверждение соблюдения этого условия.
3.17. Передача персональных данных по запросам третьих лиц, если такая передача прямо
не предусмотрена законодательством Российской Федерации, допускается исключительно с
согласия работника на обработку его персональных данных в части их предоставления или
согласия на распространение персональных данных.
3.18. Передача информации, содержащей сведения о персональных данных работников или
обучающихся, по телефону, в связи с невозможностью идентификации лица, запрашивающего
информацию, запрещается.
3.19. Персональные данные работника хранятся в отделе кадров, в сейфе на бумажных
носителях: трудовая книжка, личная карточка и на электронных носителях с ограниченным
доступом.
Право доступа к персональным данным работника имеют:
- руководитель организации;
- руководитель отдела кадров организации;
- сотрудники отдела кадров;
- сотрудники службы охраны труда.
3.20. Персональные данные обучающегося хранятся в МАОУ лицей №1г.Канска, в
приемной директора на бумажных носителях: личное дело и на электронных носителях с
ограниченным доступом.
Право доступа к персональным данным обучающегося имеют: директор, классные
руководители, социальный педагог, педагог психолог, заместитель директора, специалист по
кадрам.
3.21. Образовательная организация осуществляет передачу персональных данных
работников и обучающихся (их законных представителей) только при наличии согласия указанных
лиц на обработку персональных данных, разрешенных ими для распространения.
3.22. Согласие работника или обучающегося (его законного представителя) на обработку
персональных данных, разрешенных ими для распространения, оформляется отдельно от иных
согласий указанного лица на обработку его персональных данных.
3.23. Образовательная организация обеспечивает работникам и обучающимся (их законным
представителям) возможность определить перечень персональных данных по каждой категории
персональных данных, указанной в согласии на обработку персональных данных, разрешенных
этими лицами для распространения.
3.24. Молчание или бездействие работника или обучающегося (его законного
представителя) ни при каких обстоятельствах не может считаться согласием на обработку
персональных данных, разрешенных им для распространения.
3.25. В согласии работника или обучающегося (его законного представителя) на обработку
персональных данных, разрешенных им для распространения, работник и обучающийся (его
законный представитель) вправе установить запреты на передачу (кроме предоставления доступа)
этих персональных данных образовательной организацией неограниченному кругу лиц, а также
запреты на обработку или условия обработки (кроме получения доступа) этих персональных
данных неограниченным кругом лиц.
Отказ образовательной организации в установлении работником или обучающимся (его
законным представителем) запретов и условий, предусмотренных в настоящем пункте, не
допускается.
3.26. Образовательная организация в срок не позднее трех рабочих дней с момента
получения соответствующего согласия работника или обучающегося (его законного представителя)
публикует информацию об условиях обработки и о наличии запретов и условий на обработку
неограниченным кругом лиц персональных данных, разрешенных этими лицами для
распространения.
3.27. Установленные работником или обучающимся (его законным представителем) запреты
на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме
получения доступа) персональных данных, разрешенных им для распространения, не
распространяются на случаи обработки персональных данных в государственных, общественных и
иных публичных интересах, определенных законодательством Российской Федерации.
3.28. Все персональные данные несовершеннолетнего обучающегося (воспитанника) в
возрасте до 14 лет (малолетнего) предоставляются его родителями (законными представителями).
Если персональные данные обучающегося (воспитанника) возможно получить только у
третьей стороны, то родители (законные представители) обучающегося (воспитанника) должны
быть уведомлены об этом заранее и от них должно быть получено письменное согласие. Родители
(законные представители) обучающегося (воспитанника) должны быть проинформированы о целях,
предполагаемых источниках и способах получения персональных данных, а также о характере
подлежащих получению персональных данных и последствиях отказа дать письменное согласие на
их получение.
3.29. Персональные данные несовершеннолетнего обучающегося (воспитанника) в возрасте
старше 14 лет могут быть предоставлены самим обучающимся с письменного согласия своих
законных представителей - родителей, усыновителей или попечителя. Если персональные данные
обучающегося (воспитанника) возможно получить только у третьей стороны, то обучающийся
(воспитанник) должен быть уведомлен об этом заранее и от него и (или) его родителей (законных
представителей) должно быть получено письменное согласие. Обучающийся (воспитанник) и (или)
его родители (законные представители) должны быть проинформированы о целях, предполагаемых
источниках и способах получения персональных данных, а также о характере подлежащих
получению персональных данных и последствиях отказа дать письменное согласие на их
получение.
3.30. Все сведения о передаче персональных данных работников и обучающихся
учитываются для контроля правомерности использования данной информации лицами, ее
получившими.
3.31. Обработка специальных категорий персональных данных, касающихся расовой,
национальной принадлежности, политических взглядов, религиозных или философских убеждений,
состояния здоровья, интимной жизни, допускается только в случаях, если работник или
обучающийся (законный представитель) дал согласие в письменной форме на обработку своих
персональных данных или персональные данные сделаны общедоступными самим субъектом
персональных данных.
4. Требования к помещениям, в которых производится обработка персональных данных
4.1. Размещение оборудования информационных систем персональных данных,
специального оборудования и охрана помещений, в которых ведется работа с персональными
данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать
сохранность носителей персональных данных и средств защиты информации, а также исключать
возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних
лиц.
4.2. Помещения, в которых располагаются технические средства информационных систем
персональных данных или хранятся носители персональных данных, должны соответствовать
требованиям пожарной безопасности, установленным действующим законодательством
Российской Федерации.
4.3. Определение уровня специального оборудования помещения осуществляется
специально создаваемой комиссией. По результатам определения класса и обследования
помещения на предмет его соответствия такому классу составляются акты.
4.4. Кроме указанных мер по специальному оборудованию и охране помещений, в которых
устанавливаются криптографические средства защиты информации или осуществляется их
хранение, реализуются дополнительные требования, определяемые методическими документами
Федеральной службы безопасности России.
5. Обязанности образовательной организации по хранению и защите персональных данных
5.1. Образовательная организация за свой счет обеспечивает защиту персональных данных
работников и обучающихся от неправомерного их использования или утраты в порядке,
установленном законодательством Российской Федерации.
5.2. Образовательная организация принимает меры, необходимые и достаточные для
обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и
принятыми в соответствии с ним нормативными правовыми актами. Образовательная организация
самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения
выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в
соответствии с ним нормативными правовыми актами. К таким мерам, в частности, относятся:
1) назначение ответственного за организацию обработки персональных данных;
2) издание документов, определяющих политику образовательной организации в отношении
обработки персональных данных, локальных актов по вопросам обработки персональных данных,
определяющих для каждой цели обработки персональных данных категории и перечень
обрабатываемых персональных данных, категории субъектов, персональные данные которых
обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных
данных при достижении целей их обработки или при наступлении иных законных оснований, а
также локальных актов, устанавливающих процедуры, направленные на предотвращение и
выявление нарушений законодательства Российской Федерации, устранение последствий таких
нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие
права субъектов персональных данных, а также возлагающие на образовательную организацию не
предусмотренные законодательством Российской Федерации полномочия и обязанности;
3) применение правовых, организационных и технических мер по обеспечению
безопасности персональных данных;
4) осуществление внутреннего контроля и (или) аудита соответствия обработки
персональных данных Закону о персональных данных и принятым в соответствии с ним
нормативным правовым актам, требованиям к защите персональных данных, политике
образовательной организации в отношении обработки персональных данных, ее локальным
нормативным актам;
5) оценка вреда, который может быть причинен субъектам персональных данных в случае
нарушения Закона о персональных данных, соотношение указанного вреда и принимаемых
образовательной организацией мер, направленных на обеспечение выполнения обязанностей,
предусмотренных названным Федеральным законом;
6) ознакомление работников образовательной организации, непосредственно
осуществляющих обработку персональных данных, с положениями законодательства Российской
Федерации о персональных данных, в том числе требованиями к защите персональных данных,
документами, определяющими политику образовательной организации в отношении обработки
персональных данных, локальными актами по вопросам обработки персональных данных, и (или)
обучение указанных работников.
5.3. Образовательная организация знакомит работников и обучающихся и (или) их
родителей (законных представителей) с настоящим положением и их правами в области защиты
персональных данных под расписку.
5.4. Образовательная организация осуществляет передачу персональных данных работников
и обучающихся только в соответствии с настоящим положением и законодательством Российской
Федерации.
5.5. Образовательная организация предоставляет персональные данные работников и
обучающихся только уполномоченным лицам и только в той части, которая необходима им для
выполнения их трудовых обязанностей, в соответствии с настоящим положением и
законодательством Российской Федерации.
5.6. Образовательная организация не вправе предоставлять персональные данные
работников и обучающихся в коммерческих целях без их письменного согласия.
5.7. Образовательная организация обеспечивает работникам и обучающимся свободный
бесплатный доступ к своим персональным данным, включая право на получение копий любой
записи, содержащей их персональные данные, за исключением случаев, предусмотренных
законодательством.
5.8. Образовательная организация по требованию работника или обучающегося (его
законного представителя) предоставляет ему полную информацию о его персональных данных и
обработке этих данных.
6. Права работника и обучающегося на защиту его персональных данных
6.1. Работник или обучающийся в целях обеспечения защиты своих персональных данных,
хранящихся в образовательной организации, имеют право:
- получать полную информацию о своих персональных данных, их обработке, хранении и
передаче;
- определять своих представителей для защиты своих персональных данных;
- требовать исключения или исправления неверных или неполных персональных данных, а
также данных, обработанных с нарушениями настоящего положения и законодательства
Российской Федерации.
При отказе образовательной организации исключить или исправить его персональные
данные работник или обучающийся вправе заявить в письменном виде о своем несогласии с
соответствующим обоснованием;
- требовать от образовательной организации извещения всех лиц, которым ранее были
сообщены неверные или неполные персональные данные работника или обучающегося, обо всех
произведенных в них исключениях, исправлениях или дополнениях.
6.2. Если работник или обучающийся (его законный представитель) считает, что
образовательная организация осуществляет обработку его персональных данных с нарушением
требований Закона о персональных данных или иным образом нарушает его права и свободы,
работник или обучающийся (его законный представитель) вправе обжаловать действия или
бездействие образовательной организации в уполномоченный орган по защите прав субъектов
персональных данных или в судебном порядке.
6.3. Работник или обучающийся (его законный представитель) вправе обратиться с
требованием прекратить передачу (распространение, предоставление, доступ) своих персональных
данных, ранее разрешенных им для распространения, к любому лицу, обрабатывающему его
персональные данные, в случае несоблюдения положений Закона о персональных данных или
обратиться с таким требованием в суд.
7. Порядок уничтожения, блокирования персональных данных
7.1. В случае выявления неправомерной обработки персональных данных при обращении
работника или обучающегося (его законного представителя) образовательная организация
осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к
этому работнику или обучающемуся, с момента такого обращения на период проверки.
7.2. В случае выявления неточных персональных данных при обращении работника или
обучающегося (его законного представителя) образовательная организация осуществляет
блокирование персональных данных, относящихся к этому работнику или обучающемуся, с
момента такого обращения на период проверки, если блокирование персональных данных не
нарушает права и законные интересы работника или обучающегося, или третьих лиц.
7.3. В случае подтверждения факта неточности персональных данных образовательная
организация на основании сведений, представленных работником или обучающимся, или иных
необходимых документов уточняет персональные данные в течение семи рабочих дней со дня
представления таких сведений и снимает блокирование персональных данных.
7.4. В случае поступления требования работника или обучающегося (его законного
представителя) о прекращении распространения его персональных данных передача
(распространение, предоставление, доступ) персональных данных, разрешенных таким работником
или обучающимся (его законным представителем) для распространения, должна быть прекращена в
течение трех рабочих дней с момента получения такого требования.
Действие согласия работника или обучающегося (его законного представителя) на
обработку персональных данных, разрешенных им для распространения, прекращается с момента
поступления в образовательную организацию указанного требования.
7.5. В случае выявления неправомерной обработки персональных данных, осуществляемой
образовательной организацией, образовательная организация в срок, не превышающий трех
рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных
данных.
7.6. В случае если обеспечить правомерность обработки персональных данных невозможно,
образовательная организация в срок, не превышающий десяти рабочих дней с даты выявления
неправомерной обработки персональных данных, уничтожает такие персональные данные.
7.7. Об устранении допущенных нарушений или об уничтожении персональных данных
образовательная организация уведомляет работника или обучающегося (его законного
представителя).
7.8. В случае установления факта неправомерной или случайной передачи (предоставления,
распространения, доступа) персональных данных, повлекшей нарушение прав работника или
обучающегося, образовательная организация с момента выявления такого инцидента
образовательной организацией, уполномоченным органом по защите прав субъектов персональных
данных или иным заинтересованным лицом уведомляет уполномоченный орган по защите прав
субъектов персональных данных:
- в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых
причинах, повлекших нарушение прав работника или обучающегося, и предполагаемом вреде,
нанесенном правам работника или обучающегося, о принятых мерах по устранению последствий
соответствующего инцидента, а также предоставляет сведения о лице, уполномоченном
образовательной организацией на взаимодействие с уполномоченным органом по защите прав
субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
- в течение семидесяти двух часов о результатах внутреннего расследования выявленного
инцидента, а также предоставляет сведения о лицах, действия которых стали причиной
выявленного инцидента (при наличии).
7.9. В случае достижения цели обработки персональных данных образовательная
организация прекращает обработку персональных данных и уничтожает персональные данные в
срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных,
если иное не предусмотрено трудовым договором или договором на оказание образовательных
услуг.
7.10. В случае отзыва работником или обучающимся (его законным представителем)
согласия на обработку его персональных данных образовательная организация прекращает их
обработку и в случае, если сохранение персональных данных более не требуется для целей
обработки персональных данных, уничтожает персональные данные в срок, не превышающий
тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено трудовым
договором или договором на оказание образовательных услуг.
7.11. В случае обращения работника или обучающегося (его законного представителя) в
образовательную организацию с требованием о прекращении обработки персональных данных
образовательная организация в срок, не превышающий десяти рабочих дней с даты получения ей
соответствующего требования, прекращает их обработку, за исключением случаев,
предусмотренных Законом о персональных данных.
Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае
направления образовательной организацией в адрес работника или обучающегося (его законного
представителя) мотивированного уведомления с указанием причин продления срока
предоставления запрашиваемой информации.
7.12. В случае отсутствия возможности уничтожения персональных данных в течение срока,
указанного в пунктах 7.5-7.11 настоящего положения, образовательная организация осуществляет
блокирование таких персональных данных и обеспечивает уничтожение персональных данных в
срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
7.13. Образовательная организация уведомляет Федеральную службу по надзору в сфере
связи, информационных технологий и массовых коммуникаций о факте неправомерной или
случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей
нарушение прав работников или обучающихся, в порядке, утвержденном приказом Федеральной
службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 14
ноября 2022 г. N 187.
7.14. Образовательная организация передает в федеральный орган исполнительной власти,
уполномоченный в области обеспечения безопасности, информацию о компьютерных инцидентах,
повлекших неправомерную или случайную передачу (предоставление, распространение, доступ)
персональных данных, в порядке, установленном совместно федеральным органом исполнительной
власти, уполномоченным в области обеспечения безопасности, и уполномоченным органом по
защите прав субъектов персональных данных.
7.15. После истечения срока нормативного хранения документов, содержащих персональные
данные работника или обучающегося, или при наступлении иных законных оснований документы
подлежат уничтожению.
7.16. Образовательная организация для этих целей создает экспертную комиссию и
проводит экспертизу ценности документов.
7.17. По результатам экспертизы документы, содержащие персональные данные работника
или обучающегося и подлежащие уничтожению:
- на бумажном носителе - уничтожаются путем сжигания;
- в электронном виде - стираются с информационных носителей либо физически
уничтожаются сами носители, на которых хранится информация.
7.18. В случае если обработка персональных данных осуществлялась образовательной
организацией без использования средств автоматизации, документом, подтверждающим
уничтожение персональных данных работников или обучающихся, является акт об уничтожении
персональных данных.
7.19. В случае если обработка персональных данных осуществлялась образовательной
организацией с использованием средств автоматизации, документами, подтверждающими
уничтожение персональных данных работников или обучающихся, являются акт об уничтожении
персональных данных и выгрузка из журнала регистрации событий в информационной системе
персональных данных.
8. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника или обучающегося
8.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту
персональных данных работника или обучающегося, привлекаются к дисциплинарной и
материальной ответственности в порядке, установленном Трудовым кодексом Российской
Федерации, Федеральным законом от 29 декабря 2012 г. N 273-ФЗ "Об образовании в Российской
Федерации", а также привлекаются к гражданско-правовой, административной и уголовной
ответственности в порядке, установленном федеральными законами.
8.2. Моральный вред, причиненный работнику или обучающемуся вследствие нарушения
его прав, нарушения правил обработки персональных данных, установленных Законом о
персональных данных, а также требований к защите персональных данных, установленных в
соответствии с названным Федеральным законом, подлежит возмещению в соответствии с
законодательством Российской Федерации. Возмещение морального вреда осуществляется
независимо от возмещения имущественного вреда и понесенных работником или обучающимся
убытков.
9. Заключительные положения
9.1. Настоящее положение вступает в силу с момента его утверждения.
9.2. Работодатель обеспечивает неограниченный доступ к настоящему документу.
9.3. Настоящее положение доводится до сведения всех работников, обучающихся и их
родителей (законных представителей) персонально под роспись.
