Положение о порядке обработки и защите персональных данных в МБОУ СОШ № 27 г. Ставрополя
I. Общие положения
1.1. Настоящее Положение об обработке и защите персональных данных в МБОУ СОШ № 27 г. Ставрополя (далее – Положение) регулирует порядок получения, обработки, использования, хранения и обеспечения конфиденциальности персональных данных в муниципальном бюджетном общеобразовательном учреждении средней общеобразовательной школе №27 города Ставрополя (далее – школы) на основании Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее - Закон № 152-ФЗ), Федерального закона от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", постановления Правительства РФ от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", а также в соответствии с уставом школы и локальными актами.
1.2. Основной задачей школы в области защиты персональных данных является обеспечение в соответствии с законодательством РФ обработки персональных данных работников школы, обучающихся и их родителей (законных представителей), а также персональных данных, содержащихся в документах, полученных из других организаций, обращениях граждан и иных субъектов персональных данных.
1.3. В настоящем Положении используются следующие термины и определения. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных). Документированная информация – зафиксированная на материальном носителе путем документирования информации с реквизитами, позволяющими определить такую информацию или ее материальный носитель. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. Информация – сведения (сообщения, данные) независимо от формы их представления. Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Оператор – юридическое лицо (школы), самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Работник – физическое лицо, вступившее в трудовые отношения с гимназией. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Субъекты персональных данных школы (далее – субъекты) – носители персональных данных, в т. ч. работники школы, обучающиеся, воспитанники и их родители (законные представители), передавшие свои персональные данные школы на добровольной основе и (или) в рамках выполнения требований нормативно-правовых актов для их обработки. Съемные носители данных – материальные объекты или устройства с определенными физическими свойствами, позволяющими использовать их для записи, хранения и считывания персональных данных. Типовая форма документа – документ, позволяющий упорядочить, типизировать и облегчить процессы подготовки документов. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
II. Документы, содержащие сведения, составляющие персональные данные
2.1. Документы, содержащие сведения, необходимые для заключения, изменения или прекращения трудового договора с работником: - паспорт; - документы об образовании, квалификации; -медицинская книжка с медицинским заключением об отсутствии противопоказаний для занятия конкретным видом деятельности в образовательном учреждении; - страховое свидетельство государственного пенсионного страхования; - ИНН; - документы воинского учета; - фотография; - документы о судимости.
2.2. Документы, содержащие сведения, необходимые для предоставления работнику гарантий и компенсаций, установленных действующим законодательством: - документы о составе семьи; - документы о беременности работницы; - документы о возрасте малолетних детей; - документы о месте обучения детей.
2.3. Документы, содержащие сведения, необходимые для реализации конституционного права на получение общего образования, в том числе заключения договора с родителями (законными представителями): - документы, удостоверяющий личность обучающегося (свидетельство о рождении или паспорт); -документ о получении образования, необходимого для поступления в соответствующий класс (личное дело); -медицинская карта; - справка о месте проживания.
2.4. Документы, содержащие сведения, необходимые для предоставления обучающемуся гарантий и компенсаций, установленных действующим законодательством: - документы о составе семьи; -документы о состоянии здоровья (сведения об инвалидности, о наличии хронических заболеваний и т.п.); -документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (родителиинвалиды, неполная семья, ребенок-сирота и т.п.)
III. Сбор и обработка персональных данных данного работника
3.1. Персональные данные работника относятся к конфиденциальной информации. Для лица, получившего доступ к персональным данным, обязательным является требование не допускать распространение данной информации без согласия работника, а также при наличии иного законного основания. Требования при обработке персональных данных работника установлены ст. 86 Трудового кодекса РФ и не подлежат изменению и исключению.
3.2. В целях обеспечения прав и свобод человека и гражданина ОУ при обработке персональных данных работника обязана соблюдать следующие общие требования:
3.2.1. Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, обучении и продвижении по службе, обеспечения личной безопасности, контроля деятельности, количества и качества выполняемой работы и обеспечения сохранности имущества ОУ, работника и третьих лиц.
3.2.2. Обработка персональных данных может осуществляться для статистических или иных научных и служебных целей при условии обязательного обезличивания персональных данных.
3.2.3. Информация о персональных данных работника предоставляется школе устно, либо путем заполнения различных анкет, опросных листов, которые хранятся в личном деле. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом не менее чем за три рабочих дня и от него должно быть получено письменное согласие (либо письменный отказ), которое работник должен дать в течение пяти рабочих дней с момента получения соответствующего уведомления. В письменном уведомлении ОУ в лице директора сообщает работнику о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных (например, оформление запроса в учебное заведение о подлинности документа об образовании и т.п.) и последствиях отказа работника дать письменное согласие на их получение.
3.2.4. Школа не имеет право получать и обрабатывать персональные данные работника, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни и состоянии здоровья работника только с его письменного согласия.
3.2.5. Школа не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.
3.2.6. При принятии решений, затрагивающих интересы работника, школа не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
3.3. При поступлении на работу работник предоставляет школе следующие документы, содержащие персональные данные о себе: - паспорт или иной документ, удостоверяющий личность; - трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства; - страховое свидетельство государственного пенсионного страхования; - документы воинского учета – для военнообязанных и лиц, подлежащих призыву на военную службу; - документ об образовании, о квалификации или наличии специальных знаний при поступлении на работу, требующую специальных знаний или специальной подготовки; - справку о судимости.
3.4. Запрещается требовать от лица, поступающего на работу, документы помимо предусмотренных Трудовым кодексом Российской Федерации, иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации.
3.5. При заключении трудового договора и в ходе трудовой деятельности для обеспечения гарантий и компенсаций работнику, установленных действующим законодательством, может возникнуть необходимость в предоставлении работником документов: - о возрасте детей; - о беременности женщины; - об инвалидности; - о донорстве; - о составе семьи; - о необходимости ухода за больным членом семьи; - прочие.
3.6. После того, как будет принято решение о приеме на работу, а также впоследствии в процессе трудовой деятельности, к документам, содержащим персональные данные работника, будут относиться: - трудовой договор; - дополнительные соглашения к трудовому договору; - приказ о приеме на работу; - приказы о поощрениях и взысканиях; - медицинские документы; - приказы об изменении условий трудового договора; - карточка унифицированной формы Т-2, утвержденная постановлением Госкомстата России от 05.01.2004 №1; - другие документы.
IV. Сбор и обработка персональных данных обучающегося
4.1. Все персональные данные несовершеннолетнего обучающегося до получения им основного общего образования можно получать только у его родителей (законных представителей). Если персональные данные обучающегося возможно получить только у третьей стороны, то родители (законные представители) обучающегося должны быть уведомлены об этом заранее. От них должно быть получено письменное соглашение на получение персональных данных от третьей стороны. Родители (законные представители) обучающегося должны быть проинформированы о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.
4.2. Все персональные данные несовершеннолетнего обучающегося после получения им основного общего образования или совершеннолетнего обучающегося можно получать только у него самого. Если персональные данные такого обучающегося возможно получить только у третьей стороны, от он должен быть уведомлен об этом заранее. От него должно быть получено письменное согласие на получение персональных данных от третьей стороны. Такой обучающийся должен быть проинформирован о целях, предполагаемых источниках данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.
4.3. В соответствии со ст.24 Конституции РФ ОУ вправе осуществлять сбор, передачу, уничтожение, хранение, использование информации о политических, религиозных, других убеждений частной жизни, а также информации, нарушающей тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений обучающегося с его письменного согласия (согласия родителей (законных представителей) несовершеннолетнего обучающегося до получения им основного общего образования), форма определяется ч.4 ст.9 Федерального закона «О защите персональных данных» или на основании судебного решения.
V. Хранение и защита персональных данных работников и обучающихся
5.1. Персональные данные работников хранятся на бумажных носителях, в помещениях школы в шкафах и сейфах. Личные дела и карточки Т-2 уволенных работников до истечения текущего календарного года хранятся в сейфе, а затем передаются в архив школы.
5.2.Персональные данные обучающегося отражаются в его личном деле, которое заполняется после издания приказа о его зачислении в школу. Личные дела обучающихся в алфавитном порядке формируются в папках классов, которые хранятся в специально оборудованных шкафах.
5.3. Конкретные обязанности по ведению, хранению личных дел работников, заполнению, хранению и выдаче трудовых книжек, иных документов, отражающих персональные данные работников, в том числе по хранению личных дел уволенных работников, возлагаются на секретаря школы.
5.4. В отношении некоторых документов действующим законодательством Российской Федерации могут быть установлены иные требования хранения, чем предусмотрено настоящим Положением. В таких случаях следует руководствоваться правилами, установленными соответствующим нормативным актом.
5.5. Персональные данные работников, хранящиеся в электронном виде, подлежат защите программными средствами. К ним относятся разграничения прав доступа к электронным ресурсам, парольная идентификация пользователей электронной системы документооборота и парольная идентификация пользователей при входе в информационную систему. Под разграничением прав доступа подразумевается организация доступа работников школы только к тому сегменту информации, который необходим для выполнения своих служебных обязанностей. Каждому работнику школы, имеющему доступ к электронной базе персональных данных, назначается его индивидуальный логин для входа в систему и уникальный пароль, известный только самому пользователю. Работникам запрещается разглашать уникальные пароли для входа в систему.
VI. Защита информации о персональных данных
6.1. Сотрудники школы, имеющие доступ к персональным данным, обязаны принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, модифицирования, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении данной информации.
6.2. Секретарь и лаборант компьютерного класса осуществляют: - ограничение сетевого доступа для определенных пользователей; - организацию контроля технического состояния компьютерной техники и уровней защиты и восстановления информации; - проведение регулярного копирования информации на носители, создание резервных копий особо важной информации; - ведение аудита действий пользователей и своевременное обнаружение фактов несанкционированного доступа к информации.
6.3. Работники школы, имеющие доступ к персональным данным, при пользовании доступом в сеть Интернет обязаны принимать максимальные меры по обеспечению безопасности: - использовать антивирусное программное обеспечение (с регулярным обновлением вирусов); - не допускать работать на свое автоматизированное рабочее место лиц, не имеющих права доступа к данным; - не оставлять не заблокированным свой компьютер в нерабочее время; - своевременно сообщать лаборанту компьютерного класса о случаях сбоя в работе сети, парольной идентификации и т.д.
VII. Передача персональных данных работников и обучающихся
7.1. При передаче персональных данных работники школы, имеющие доступ к персональным данным, должны соблюдать следующие требования:
7.1.1. Не сообщать персональные данные работника и обучающегося третьей стороне без письменного согласия работника, обучающегося, родителей (законных представителей) обучающегося, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника и обучающегося, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами. Учитывая, что Трудовой кодекс Российской Федерации не определяет критерии ситуаций, представляющих угрозу жизни или здоровью работника и обучающегося, ОУ в каждом конкретном случае делает самостоятельную оценку серьезности, неминуемости, степени такой угрозы. Если же лицо, обратившееся с запросом, не уполномочено федеральным законом на получение персональных данных работника или обучающегося, либо отсутствует письменное согласие работника, обучающегося или его родителей (законных представителей) на предоставление его персональных сведений, либо по мнению ОУ отсутствует угроза жизни или здоровью работника или обучающемуся, ОУ обязана отказать в предоставлении персональных данных лицу.
7.1.2. Не сообщать персональные данные работника и обучающегося в коммерческих целях без его письменного согласия.
7.1.3. Предупредить лиц, получающих персональные данные работника и обучающегося, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.
7.1.4. Осуществлять передачу персональных данных в пределах школы в соответствии с настоящим Положением.
7.1.5. Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
7.1.6. Передавать персональные данные работника представителю работника в порядке, установленном Трудовым кодексом Российской Федерации и настоящим Положением, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанным представителем его функций.
7.2. Внутренний доступ к персональным данным работников. Право доступа к персональным данным работника без получения специального разрешения имеют: - директор школы; - секретарь; - заместители директора школы; - председатель профсоюзного комитета; - руководители предметных ШМО (только к персональным данным педагогических работников своей образовательной области); - сам работник, носитель данных.
7.3. Внутренний доступ к персональным данным обучающихся и их родителей без получения специального разрешения имеют: - директор школы; - заместители руководителя образовательного учреждения; - социальный педагог; - секретарь - учитель-психолог; - учитель-логопед; - ответственный за бесплатное питание; - классные руководители (только к персональным данным обучающихся и родителей своего класса).
7.4. По письменному запросу, на основании приказа руководителя образовательного учреждения, к персональным данным работников и обучающихся могут быть допущены лица в пределах своей компетенции.
7.5. Внешний доступ. К числу массовых потребителей персональных данных вне школы можно отнести государственные и негосударственные функциональные структуры: - налоговые инспекции; - правоохранительные органы; - органы статистики; - страховые агентства; - военкоматы; - органы социального страхования; - пенсионные фонды; - подразделения муниципальных органов управления.
7.6. Другие организации. Сведения о работающем сотруднике или уже уволенном, обучающемся ученике или закончившем обучение могут быть предоставлены другой организации только с письменного запроса на бланке организации с приложением копии заявления работника, обучающегося или закончившего обучение. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке школы и в том объеме, который позволяет не разглашать излишний объем персональных сведений о работниках и обучающихся.
7.7. Родственники и члены семей. Персональные данные могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника.
7.8. Требования п.5.1. Положения не подлежат изменению, исключению, так как являются обязательными для сторон трудовых отношений на основании ст. 88 Трудового кодекса Российской Федерации.
VIII. Обязанности работника и работодателя
8.1. В целях обеспечения достоверности персональных данных работник обязан:
8.1.1. При приеме на работу предоставить школе полные достоверные данные о себе.
8.1.2. В случае изменения сведений, составляющих персональные данные, своевременно в срок, не превышающий 5 рабочих дней, предоставить данную информацию секретарю школы.
8.2. Для обеспечения достоверности персональных данных обучающиеся, родители (законные представители) несовершеннолетних обучающихся до получения ими основного общего образования обязаны:
8.2.1. Предоставлять ОУ точные сведения о себе (своих несовершеннолетних детях).
8.2.2. В случае изменения сведений, составляющих персональные данные совершеннолетнего обучающегося, он обязан в течение месяца сообщить об этом секретарю школы.
8.2.3. В случае изменения сведений, составляющих персональные данные обучающегося, родители (законные представители) несовершеннолетнего обучающегося до получения им основного общего образования обязаны в течение месяца сообщить об этом секретарю школы.
8.3. Предоставление работнику или обучающемуся гарантий и компенсаций, предусмотренных действующим законодательством, осуществляется с момента предоставления соответствующих сведений, если иное не предусмотрено действующим законодательством. 8.4. ОУ обязано:
8.4.1. Осуществлять защиту персональных данных работников.
8.4.2. Обеспечить хранение первичной учетной документации по учету труда и его оплаты, к которой в частности, относятся документы по учету кадров, документы по учету использования рабочего времени и расчетов с работниками по оплате труда и др.
8.4.3. По письменному заявлению работника не позднее трех рабочих дней со дня подачи этого заявления выдать копии документов, связанных с его работой (копии приказа о приеме на работу, приказов о переводах, приказа об увольнении с работы; копию и выписки из трудовой книжки, о периоде работы и др.). Копии документов, связанных с работой, должны быть заверены надлежащим образом и предоставляться работнику безвозмездно.
IX. Права субъектов персональных данных по обеспечению защиты персональных данных
9.1. В целях обеспечения защиты персональных данных, хранящихся в ОУ, работники, обучающиеся, родители (законные представители) имеют право на:
9.1.1. Полную информацию об их персональных данных и обработке этих данных.
9.1.2. Свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом.
9.1.3. Определение своих представителей для защиты своих персональных данных.
9.1.4. Требование об исключении или исправлении неверных или неполных персональных данных. При отказе ОУ исключить или исправить персональные данные работника или обучающегося он имеет право заявить в письменной форме директору школы о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник, обучающийся, родители (законные представители) имеет право дополнить заявлением, выражающим его собственную точку зрения.
9.1.5. Требование об извещении ОУ всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника или обучающегося, обо всех произведенных в них исключениях, исправлениях или дополнениях.
X. Ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных
10.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника и обучающихся, привлекаются к дисциплинарной и материальной ответственности в порядке установленном Трудовым кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.