I. Общие положения
1.1. Настоящее Положение об обработке персональных данных участников образовательно-воспитательного процесса (далее — Положение) Муниципального бюджетного общеобразова-тельного учреждения «Средняя общеобразовательная школа №1 с валеологическим направлени-ем» (далее Школа) города Можги Удмуртской Республики разработано в соответствии с Трудо-вым кодексом Российской Федерации, Конституцией Российской Федерации, Гражданским ко-дексом Российской Федерации, Федеральным законом «Об информации, информационных тех-нологиях и о защите информации», Федеральным законом «О персональных данных», Правила-ми внутреннего трудового распорядка школы, Постановлением Правительства Российской Фе-дерации от 01 ноября 2012 года №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; Приказом Феде-ральной Службы по техническому и экспортному контролю от 18 февраля 2013 года №21 «Об утверждении состава и содержания организационных технических мер по обеспечению персо-нальных данных при их обработке в информационных системах персональных данных»; Прика-за Федеральной Службы по техническому и экспортному контролю. России от 11 февраля 2013 года №17 «Требования о защите информации, не составляющей государственную тайну, содер-жащейся в государственных информационных системах»; Постановлением Правительства Рос-сийской Федерации от 15 сентября 2008 года «Об утверждении Положения об особенностях об-работки персональных данных, осуществляемый без использования средств автоматизации»; Приказ Федеральной Службы Безопасности России от 10.07.2014 года №378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности пер-сональных данных при их обработке в информационных системах персональных данных с ис-пользованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»; Федерального Закона от 27 июля 2006 года №152-ФЗ «О персональных данных»(с изменениями и дополнениями.
1.2. Цель разработки Положения:
• определение порядка обработки персональных данных участников образовательно-воспитательного процесса школы;
• обеспечение защиты прав и свобод участников образовательно-воспитательного процесса Школы при обработке их персональных данных;
• установление ответственности должностных лиц, имеющих доступ к персональным дан-ным участников образовательно-воспитательного процесса Школы, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.3. Порядок ввода в действие и изменения Положения.
1.3.1. Настоящее Положение вступает в силу с момента его утверждения директором Школы и действует бессрочно, до замены его новым Положением.
1.3.2. Все изменения в Положение вносятся приказом директора Школы.
1.4. Все участник образовательно-воспитательного процессаи Школы должны быть ознакомле-ны с настоящим Положением.
1.5. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 75 лет срока их хранения, или продлевается на основании заключения экспертной комиссии Школы, если иное не определено законом.
II. Основные понятия и состав персональных данных участников образовательно-воспитательного процесса
2.1. Для целей настоящего Положения используются следующие основные понятия:
– персональные данные участника образовательно-воспитательного процесса — любая инфор-мация, относящаяся к определенному или определяемому на основании такой информации участнику образовательно-воспитательного процесса, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, об-разование, профессия, доходы, другая информация, необходимая работодателю в связи с трудо-выми отношениями;
– обработка персональных данных — сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличива-ние, блокирование, уничтожение персональных данных участников образовательно-воспитательного процесса школы;
– конфиденциальность персональных данных — обязательное для соблюдения назначенного от-ветственного лица, получившего доступ к персональным данным участников образовательно-воспитательного процесса, требование не допускать их распространения без согласия участни-ка образовательно-воспитательного процесса или иного законного основания;
– распространение персональных данных — действия, направленные на передачу персональных данных участников образовательно-воспитательного процесса определенному кругу лиц (пере-дача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных участников образовательно-воспитательного процесса в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным участников образовательно-воспитательного процесса каким-либо иным способом;
– использование персональных данных — действия (операции) с персональными данными, со-вершаемые должностным лицом школы в целях принятия решений или совершения иных дей-ствий, порождающих юридические последствия в отношении участников образовательно-воспитательного процесса либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
– блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных участников образователь-но-воспитательного процесса, в том числе их передачи;
– уничтожение персональных данных — действия, в результате которых невозможно восстано-вить содержание персональных данных в информационной системе персональных данных участников образовательно-воспитательного процесса или в результате которых уничтожаются материальные носители персональных данных участников образовательно-воспитательного процесса;
– обезличивание персональных данных — действия, в результате которых невозможно опреде-лить принадлежность персональных данных конкретному участнику образовательно-воспитательного процесса;
– общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц, к которым предоставлен с согласия участника образовательно-воспитательного процесса или на которые в соответствии с федеральными законами не распространяется требование со-блюдения конфиденциальности;
– информация — сведения (сообщения, данные) независимо от формы их представления;
– документированная информация — зафиксированная на материальном носителе путем доку-ментирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
2.2. В состав персональных данных участников образовательно-воспитательного процесса Шко-лы входят документы, содержащие информацию о паспортных данных, свидетельстве о рожде-нии, образовании, отношении к воинской обязанности, семейном положении, месте жительства, состоянии здоровья, а также о предыдущих местах их работы и учебы.
2.3. Комплекс документов, сопровождающий процесс оформления трудовых отношений участ-ника образовательно-воспитательного процесса в Школу при его приеме, переводе и увольне-нии, а также выбытие.
2.3.1. Информация, представляемая участником образовательно-воспитательного процесса при поступлении на учебу, работу в школу, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, по-ступающее на работу, предъявляет работодателю:
– паспорт или иной документ, удостоверяющий личность;
– трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или участник образовательно-воспитательного процесса поступает на работу на условиях совмести-тельства, либо трудовая книжка у участника образовательно-воспитательного процесса отсут-ствует в связи с ее утратой или по другим причинам;
– страховое свидетельство государственного пенсионного страхования;
– документы воинского учета — для военнообязанных и лиц, подлежащих воинскому учету;
– документ об образовании, о квалификации или наличии специальных знаний — при поступ-лении на работу, требующую специальных знаний или специальной подготовки;
– свидетельство о присвоении ИНН (при его наличии у участника образовательно-воспитательного процесса).
2.3.2. При оформлении работника в Школу секретарем заполняется унифицированная форма Т-2 «Личная карточка участника образовательно-воспитательного процесса», в которой отражаются следующие анкетные и биографические данные работника:
– общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образова-ние, профессия, стаж работы, состояние в браке, паспортные данные);
– сведения о воинском учете;
– данные о приеме на работу;
В дальнейшем в личную карточку вносятся:
– сведения о переводах на другую работу;
– сведения об аттестации;
– сведения о повышении квалификации;
– сведения о профессиональной переподготовке;
– сведения о наградах (поощрениях), почетных званиях;
– сведения об отпусках;
– сведения о месте жительства и контактных телефонах.
2.3.3. В Школе создаются и хранятся следующие группы документов, содержащие данные о участника образовательно-воспитательного процессах в единичном или сводном виде:
2.3.3.1. Документы, содержащие персональные данные участников образовательно-воспитательного процесса (комплексы документов, сопровождающие процесс оформления тру-довых или обучающих отношений при приеме в Школу, переводе, увольнении, выбытие и от-числении; подлинники и копии приказов по личному составу; личные дела и трудовые книжки участников образовательно-воспитательного процесса; дела, содержащие материалы аттестации участников образовательно-воспитательного процесса; подлинники и копии отчетных, аналити-ческих и справочных материалов, передаваемых администрации школы; копии отчетов, направ-ляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения).
2.3.3.2. Документация по организации работы структурных подразделений (положения о струк-турных подразделениях, должностные инструкции работников, приказы, распоряжения, указа-ния директора школы); документы по планированию, учету, анализу и отчетности в части рабо-ты с персоналом школы.
III. Сбор, обработка и защита персональных данных
3.1. Порядок получения персональных данных.
3.1.1. Все персональные данные участника образовательно-воспитательного процесса Школы следует получать у него самого или его родителя (законного представителя (до достижения им 18 лет). Если персональные данные участника образовательно-воспитательного процесса воз-можно получить только у третьей стороны, то участник образовательно-воспитательного про-цесса должен быть уведомлен об этом заранее и от него должно быть получено письменное со-гласие. Должностное лицо работодателя должно сообщить участнику образовательно-воспитательного процесса Школы о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и по-следствиях отказа участника образовательно-воспитательного процесса дать письменное согла-сие на их получение.
3.1.2. Директор Школы не имеет права получать и обрабатывать персональные данные участни-ка образовательно-воспитательного процесса Школы о его расовой, национальной принадлеж-ности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации работодатель вправе получать и об-рабатывать данные о частной жизни участника образовательно-воспитательного процесса толь-ко с его письменного согласия.
Обработка указанных персональных данных участников образовательно-воспитательного про-цесса возможна только с их согласия или согласия его родителя (законного представителя (до достижении им 18 лет) либо без согласия в следующих случаях:
– персональные данные являются общедоступными;
– персональные данные относятся к состоянию здоровья участника образовательно-воспитательного процесса и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов дру-гих лиц и получение согласия участника образовательно-воспитательного процесса невозмож-но;
– по требованию полномочных государственных органов в случаях, предусмотренных федераль-ным законом.
3.1.3. Обработка персональных данных возможна только с письменного согласия участников об-разовательно-воспитательного процесса или их родителей (законных представителей (до дости-жения им 18 лет).
3.1.4. Письменное согласие участника образовательно-воспитательного процесса на обработку своих персональных данных должно включать в себя:
– фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
– наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
– цель обработки персональных данных;
– перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
– перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
– срок, в течение которого действует согласие, а также порядок его отзыва.
Форма заявления о согласии участника образовательно-воспитательного процесса на обработку персональных данных см. в приложении 1 к настоящему Положению.
3.1.5. Согласие участника образовательно-воспитательного процесса не требуется в следующих случаях:
1) обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных дан-ных и круг субъектов, персональные данные которых подлежат обработке, а также определяю-щего полномочия работодателя;
2) обработка персональных данных осуществляется в целях исполнения трудового договора;
3) обработка персональных данных осуществляется для статистических или иных научных це-лей при условии обязательного обезличивания персональных данных;
4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизнен-но важных интересов участника образовательно-воспитательного процесса, если получение его согласия невозможно.
3.2. Порядок обработки, передачи и хранения персональных данных.
3.2.1. Участник образовательно-воспитательного процесса или его родитель (законный предста-витель (до достижения им 18 лет) школы предоставляет секретарю школы достоверные сведения о себе. Секретарь Школы проверяет достоверность сведений, сверяя данные, предоставленные участником образовательно-воспитательного процесса, с имеющимися у участника образова-тельно-воспитательного процесса документами.
3.2.2. В соответствии со ст. 86, гл. 14 ТК РФ в целях обеспечения прав и свобод человека и граж-данина директор Школы (Работодатель) и его представители при обработке персональных дан-ных участника образовательно-воспитательного процесса должны соблюдать следующие общие требования:
3.2.2.1. Обработка персональных данных может осуществляться исключительно в целях обеспе-чения соблюдения законов и иных нормативных правовых актов, содействия участника образо-вательно-воспитательного процессам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности участников образовательно-воспитательного процесса, кон-троля количества и качества выполняемой работы и обеспечения сохранности имущества.
3.2.2.2. При определении объема и содержания, обрабатываемых персональных данных Работо-датель должен руководствоваться Конституцией Российской Федерации, ТК Российской Феде-рации и иными федеральными законами.
3.2.2.3. При принятии решений, затрагивающих интересы участника образовательно-воспитательного процесса, Работодатель не имеет права основываться на персональных данных участника образовательно-воспитательного процесса, полученных исключительно в результате их автоматизированной обработки или электронного получения.
3.2.2.4. Защита персональных данных участника образовательно-воспитательного процесса от неправомерного их использования или утраты обеспечивается Работодателем за счет его средств в порядке, установленном федеральным законом.
3.2.2.5. Участник образовательно-воспитательного процессаи и их представители должны быть ознакомлены под расписку с документами Школы, устанавливающими порядок обработки пер-сональных данных участников образовательно-воспитательного процесса, а также об их правах и обязанностях в этой области.
3.2.2.6. Во всех случаях отказ участника образовательно-воспитательного процесса от своих прав на сохранение и защиту тайны недействителен.
IV. Передача и хранение персональных данных
4.1. При передаче персональных данных участника образовательно-воспитательного процесса директор Школы должен соблюдать следующие требования:
4.1.1. Не сообщать персональные данные участника образовательно-воспитательного процесса третьей стороне без письменного согласия участника образовательно-воспитательного процесса, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоро-вью участника образовательно-воспитательного процесса, а также в случаях, установленных фе-деральным законом.
4.1.2. Не сообщать персональные данные участника образовательно-воспитательного процесса в коммерческих целях без его письменного согласия. Обработка персональных данных участни-ков образовательно-воспитательного процесса в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
4.1.3. Предупредить лиц, получивших персональные данные участника образовательно-воспитательного процесса, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюде-но. Лица, получившие персональные данные участника образовательно-воспитательного про-цесса, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными участников образовательно-воспитательного процесса в порядке, установленном федеральными законами.
4.1.4. Осуществлять передачу персональных данных участников образовательно-воспитательного процесса в пределах Организации в соответствии с настоящим Положением.
4.1.5. Разрешать доступ к персональным данным участников образовательно-воспитательного процесса только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные участника образовательно-воспитательного процесса, которые необходимы для выполнения конкретной функции.
4.1.6. Не запрашивать информацию о состоянии здоровья участника образовательно-воспитательного процесса, за исключением тех сведений, которые относятся к вопросу о воз-можности выполнения участником образовательно-воспитательного процесса трудовой или учебной функции.
4.2. Хранение и использование персональных данных участников образовательно-воспитательного процесса:
4.2.1. Персональные данные участников образовательно-воспитательного процесса обрабатыва-ются и хранятся в школе.
4.2.2. Персональные данные участников образовательно-воспитательного процесса могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных но-сителях, так и в электронном виде — локальной компьютерной сети и компьютерной програм-ме «1С: Зарплата и кадры».
4.3. При получении персональных данных не от участника образовательно-воспитательного процесса (за исключением случаев, если персональные данные были предоставлены работодате-лю на основании федерального закона или если персональные данные являются общедоступны-ми) работодатель до начала обработки таких персональных данных обязан предоставить участ-нику образовательно-воспитательного процесса следующую информацию:
– наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
– цель обработки персональных данных и ее правовое основание;
– предполагаемые пользователи персональных данных;
– установленные настоящим Федеральным законом права субъекта персональных данных.
V. Доступ к персональным данным участников образовательно-воспитательного процесса
5.1. Право доступа к персональным данным участников образовательно-воспитательного про-цесса имеют:
– директор Школы;
– сотрудники отдела кадров;
– сотрудники бухгалтерии;
– секретарь Школы (информация о фактическом месте проживания и контактные телефоны участников образовательно-воспитательного процесса);
5.2. Участник образовательно-воспитательного процесса Школы имеет право:
5.2.1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные участника образовательно-воспитательного процесса.
5.2.2. Требовать от директора школы уточнения, исключения или исправления неполных, невер-ных, устаревших, недостоверных, незаконно полученных или не являющих необходимыми для Работодателя персональных данных.
5.2.3. Получать от директора школы
– сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
– перечень обрабатываемых персональных данных и источник их получения;
– сроки обработки персональных данных, в том числе сроки их хранения;
– сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
5.2.3. Требовать извещения директором Школы всех лиц, которым ранее были сообщены не-верные или неполные персональные данные, обо всех произведенных в них исключениях, ис-правлениях или дополнениях.
Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в су-дебном порядке неправомерные действия или бездействия директора школы при обработке и защите его персональных данных.
5.3. Копировать и делать выписки персональных данных участника образовательно-воспитательного процесса разрешается исключительно в служебных целях с письменного раз-решения директора Школы.
5.4. Передача информации третьей стороне возможна только при письменном согласии участ-ников образовательно-воспитательного процесса.
VI. Ответственность за нарушение норм, регулирующих обработку и защиту персональ-ных данных
6.1. Участник образовательно-воспитательного процесса Школы, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных участника образователь-но-воспитательного процесса, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
6.2. Директор Школы за нарушение норм, регулирующих получение, обработку и защиту персо-нальных данных участника образовательно-воспитательного процесса, несет административную ответственность согласно ст. 5.27 и 5.39 Кодекса об административных правонарушениях Рос-сийской Федерации, а также возмещает участнику образовательно-воспитательного процесса ущерб, причиненный неправомерным использованием информации, содержащей персональные данные участника образовательно-воспитательного процесса.