Политика в области обработки и защиты персональных данных

ПОЛОЖЕНИЕ

об обработке и защите персональных данных в

ООО «Сетевой институт дополнительного профессионального образования»

  1. Общие положения

   1.1. Положение об обработке и защите персональных данных в ООО «Сетевой институт дополнительного профессионального образования» (далее  –  ООО СИДПО)  регулирует отношения,  связанные  с  обработкой  персональных  данных,  осуществляемой лицами, уполномоченными на получение, обработку, хранение, передачу и другое использование персональных данных с использованием средств автоматизации или без использования таких средств.

1.2.  Действие  настоящего  Положения  не  распространяется  на  отношения, возникающие при организации хранения, комплектования, учета и использования, содержащих  персональные  данные  архивных  документов  в  соответствии  с законодательством об архивном деле в Российской Федерации.

1.3. Целью настоящего Положения является обеспечение защиты персональных данных, обрабатываемых в ООО СИДПО, от несанкционированного доступа к ним. Персональные  данные  всегда  являются  конфиденциальной,  строго  охраняемой информацией.

1.4. Настоящее  Положение  разработано  в  соответствии  с  Конституцией Российской Федерации, Трудовым  кодексом  Российской Федерации, Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите  информации», Федеральным законом от 27.07.2006 г. №   152-ФЗ «О персональных  данных»,  Указом  Президента  РФ  от  06.03.1997  г.  № 188  «Об утверждении  перечня  сведений  конфиденциального  характера»  и  иными нормативными правовыми актами Российской Федерации.

1.5. В настоящем Положении используются следующие основные понятия:

1) персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и

место  рождения,  адрес,  образование, профессия, доходы, другая информация, определяемая нормативными правовыми актами Российской Федерации в области защиты информации, трудовых отношений  и  образования,  нормативными  и  распорядительными  документами Минобрнауки России;

2)  лицо, уполномоченное на  получение, обработку, хранение, передачу и другое использование персональных данных  – работник, организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели и содержание обработки персональных данных;

3)  субъект  персональных  данных  –  работник,  обучающийся  и  (или)  иное лицо, к которому относятся соответствующие персональные данные;

4)  работник  –  физическое  лицо,  вступившее  в  трудовые  отношения  с ООО СИДПО;

5)    обучающийся  –  слушатель, зачисленный приказом директора в ООО СИДПО для обучения;

6)  иное  лицо  –  физическое  лицо  (заказчик,  потребитель,  исполнитель, арендатор, подрядчик и др.), состоящее в договорных и иных гражданско-правовых отношениях  с  ООО СИДПО,  родитель  (опекун,  попечитель)  обучающегося;

7) обработка персональных данных – действия (операции) с персональными данными,  включая  сбор,  систематизацию,  накопление,  хранение,  уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

8)  сбор персональных данных  – накопление информации на материальных носителях и (или) в автоматизированных информационных системах;

9)  накопление  и  систематизация  персональных  данных  –  организация размещения персональных данных, которое обеспечивает быстрый поиск и отбор нужных  сведений,  методическое  обновление  данных,  защиту  их  от  искажений, потери;

10) хранение персональных данных – комплекс мероприятий, направленный на  обеспечение  сохранности  полноты  и  целостности  сформированных  массивов персональных  данных,  создание  и  поддержание  надлежащих  условий  для  их использования,  а  также  предупреждение  несанкционированного  доступа, распространения и использования;

11) уточнение персональных данных – процесс поддержания персональных данных в актуальном состоянии;

12)  распространение  персональных  данных  –  действия,  направленные  на передачу персональных данных определенному кругу лиц (передача персональных данных) или  на  ознакомление  с персональными данными неограниченного круга лиц,  в  том  числе  обнародование  персональных  данных  в  средствах  массовой информации,  размещение  в  информационно-телекоммуникационных  сетях  или предоставление доступа к персональным данным каким-либо иным способом;

13)  использование  персональных  данных  –  действия  (операции)  с персональными  данными,  совершаемые  лицом,  уполномоченным  на  получение, обработку,  хранение,  передачу  и  другое  использование  персональных  данных  в целях  принятия  решений  или  совершения  иных  действий,  порождающих юридические последствия в отношении субъекта персональных данных или других лиц  либо иным  образом  затрагивающих  права и свободы  субъекта  персональных данных или других лиц;

14)  блокирование  персональных  данных  –  временное прекращение  сбора, систематизации,  накопления,  использования,  распространения  персональных данных, в том числе их передачи;

15)  уничтожение  персональных  данных  –  действия,  в результате  которых невозможно  восстановить  содержание  персональных  данных  в  информационной   системе  персональных  данных  или  в  результате  которых  уничтожаются материальные носители персональных данных;

16) обезличивание персональных данных – действия, в результате которых невозможно  определить  принадлежность  персональных  данных  конкретному субъекту персональных данных;

17)  материальный  носитель  –  бумажный  и  машиночитаемый  носители информации (в том числе магнитный и электронный), на которых осуществляются запись  и  хранение  сведений,  на  основе  которых  можно  установить  личность физического лица;

18) доступ к персональным данным – возможность получения персональных данных и их использования;

19)  информационная  система  персональных  данных  –  информационная система, представляющая собой совокупность персональных данных, содержащихся в  базе  данных,  а  также  информационных  технологий  и  технических  средств, позволяющих  осуществлять  обработку  таких  персональных  данных  с использованием средств автоматизации или без использования таких средств;

20)  конфиденциальность  персональных  данных  –  обязательное  для соблюдения лицом, уполномоченным на получение, обработку, хранение, передачу и  другое  использование  персональных  данных  или  иным  получившим  доступ  к персональным  данным  лицом  требование  не  допускать  их  распространение  без согласия субъекта персональных данных  или наличия иного законного основания;

21)  общедоступные  персональные  данные –  персональные  данные,  доступ неограниченного  круга  лиц  к  которым  предоставлен  с  согласия  субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

22) согласие субъекта персональных данных – свободно данное конкретное и сознательное  указание  о  своей  воле,  которым  субъект  персональных  данных оповещает о своем согласии на обработку касающихся его персональных данных;

23) запрос – изложенное в письменной или устной форме обращение субъекта персональных данных или его законного представителя;

24)  письменное  обращение  –  изложенное  в  письменной  форме  заявление, направленное по почте либо переданное субъектом персональных данных лично или через его законного представителя;

25)  устное  обращение  –  изложенное  в  устной  форме  заявление  субъекта персональных данных или его законного представителя во время личного приема;

26)  третья  сторона  –  любое  физическое  или  юридическое  лицо,  орган государственной  власти  или  местного  самоуправления,  кроме  субъекта персональных  данных,  университета  (оператора)  и  лиц,  уполномоченных  на получение,  обработку, хранение, передачу и другое  использование персональных данных  на законных основаниях;

27)  защита  персональных  данных  –  технологический  процесс, предупреждающий  нарушение  доступности,  целостности,  достоверности  и конфиденциальности  персональных  данных  и  обеспечивающий  безопасность информации в процессе деятельности университета;

28)  технические  средства,  позволяющие  осуществлять  обработку  персональных  данных  –  средства  вычислительной  техники,  информационно-вычислительные  комплексы  и  сети,  средства  и  системы  передачи,  приема  и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения,  переговорные  и  телевизионные  устройства,  средства изготовления, тиражирования документов и другие технические средства обработки речевой,  графической,  видео-  и  буквенно-цифровой  информации),  программные средства  (операционные  системы,  системы  управления  базами  данных  и  т.п.), средства защиты информации, применяемые в информационных системах;

29)  несанкционированный  доступ  –  доступ  к информации  или  действия  с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа  к  информации  или  действий  с  ней  с  применением  штатных  средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам;

30)  архивные  документы  –  документы,  хранящиеся  в  архиве ООО СИДПО.

1.6.  Директор и преподаватели,  ответственные  лица  за  обеспечение  безопасности персональных данных и лица, уполномоченные на получение, обработку, хранение, передачу  и  другое  использование  персональных  данных  обеспечивают  защиту персональных  данных  работников  и  обучающихся,  содержащихся  в  их  личных делах  и  иных  документах,  в  автоматизированных  информационных  системах персональных  данных  ООО СИДПО от  неправомерного  их использования или утраты.

1.7.  Приказом  директора ООО СИДПО назначаются  ответственные  лица  за обеспечение  безопасности  персональных  данных  в  структурном  подразделении, органе управления, контролирующем и ином органе, уполномоченном на обработку персональных данных и лица, уполномоченные на получение, обработку, хранение, передачу и другое использование персональных данных

.

  1. Общие требования при обработке персональных данных

 2.1.  Лица,  уполномоченные  на  получение,  обработку,  хранение,  передачу  и другое использование персональных данных при обработке персональных данных субъекта персональных данных, обязаны соблюдать следующие общие требования:

2.2. Обработка персональных данных субъекта персональных данных может осуществляться  исключительно  в  целях  обеспечения  соблюдения  Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов, исполнения  трудового  и  гражданско-правового  договоров,  содействия  субъекту персональных  данных  в  трудоустройстве,  обучении  и  продвижении  по  службе, обеспечения  личной  безопасности  субъекта  персональных  данных,  контроля количества  и  качества  выполняемой  работы,  качества  освоения  образовательных программ.

2.3.  Все  персональные  данные  субъекта  персональных  данных  следует получать у него самого в устной форме, либо в письменной, либо в электронной форме путем заполнения различных  анкет,  опросных  листов  и  т.п.

  1. Принципы обработки персональных данных

 3.1  Обработка  персональных  данных  осуществляется  на  основе  следующих

принципов:

3.2.  Законности  целей  и  способов  обработки  персональных  данных  и добросовестности.

3.3.  Соответствия  целей  обработки  персональных  данных  целям,  заранее определенным и заявленным при сборе персональных данных, а также полномочиям ООО СИДПО.

3.4. Соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных.

3.5.  Достоверности  персональных  данных,  их  достаточности  для  целей обработки,  недопустимости  обработки  персональных  данных,  избыточных  по отношению к целям, заявленным при сборе персональных данных.

  1. Сбор, накопление и систематизация персональных данных

4.1 Обработка персональных данных может осуществляться ООО СИДПО с согласия  субъектов  персональных  данных.  Согласие  на  обработку  персональных данных может быть дано представителем субъекта персональных данных.

4.2 Письменное согласие субъекта персональных данных на обработку своих

персональных данных должно включать в себя:

4.2.1 Фамилию,  имя,  отчество,  адрес субъекта  персональных  данных.

4.2.2 Цель обработки персональных данных.

4.2.3 Перечень персональных данных, на обработку которых дается согласие

субъекта персональных данных.

4.2.4 Перечень действий с персональными данными,  на  совершение которых

дается согласие, общее описание используемых университетом способов обработки

персональных данных.

4.2.5 Срок, в течение которого действует согласие, а также порядок его отзыва.

4.2.6 Согласие субъекта персональных данных на обработку осуществляется в электронной виде.

Согласие  субъекта  персональных  данных  на  обработку  своих  персональных

данных  оформляется  в  виде электронной анкеты, расположенной на сайте, принадлежащих ООО СИДПО.  Форма  анкеты  о  согласии  на  обработку персональных  данных  разрабатывается ООО СИДПО университетом самостоятельно.

  Согласие  на  обработку  персональных данных может быть отозвано субъектом персональных данных в любое время на основании его личного заявления в письменном или устном виде.

4.3  Согласие  субъекта  персональных  данных  не  требуется  в  следующих случаях:

4.3.1  Обработка  персональных  данных  осуществляется  в  целях  исполнения гражданско-правового или трудового договора, одной из сторон которого является субъект персональных данных.

4.3.2 Обработка персональных данных осуществляется для статистических или иных  научных  целей  при  условии  обязательного  обезличивания  персональных данных.

4.3.3 Обработка персональных данных необходима для защиты жизни, здоровья или  иных  жизненно  важных  интересов  субъекта  персональных  данных,  если получение согласия субъекта персональных данных невозможно.

4.3.4  Обработка  персональных  данных  необходима  для  доставки  почтовых отправлений организациями почтовой связи.

4.4  ООО СИДПО получает  сведения  о  персональных  данных  субъектов персональных данных из следующих документов: анкета слушателя (запись на курс, запись на мероприятие), документ об образовании.

4.5. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, электронные базы). В общедоступные источники персональных данных с письменного согласия работника (обучающегося)  могут  включаться  его  фамилия,  имя,  отчество,  место работы, должность, предоставленные работником (обучающимся).

4.6.  Персональные  данные  работников  (обучающихся)  ООО СИДПОобрабатываются с использованием автоматизированных систем:

– информационной системы 1С: Бухгалтерия;

–  информационной  системы  для  ведения  обучения  по  дистанционной технологии  moodle, wordpress, drupal и др.;

– персональных компьютеров оборудованным ПО MS Exelle.

  1. Порядок обработки  персональных  данных,  осуществляемых  без использования средств автоматизации и с использованием таких средств

5.1 Обработка персональных данных без использования средств автоматизации.

5.2. Обработка персональных данных на материальных носителях считается осуществленной без использования средств автоматизации (неавтоматизированной).

При неавтоматизированной обработке персональных данных на бумажных носителях.

5.3. Уничтожение или обезличивание  части персональных данных, если это допускается  материальным  носителем,  может  производиться  способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

6   Хранение и защита персональных данных

 6.1   Персональные данные хранятся на материальных носителях.

6.2  Электронно-вычислительные  машины,  средствами  которых  осуществляется  работа  с  персональными  данными,  должны  иметь  парольную  систему доступа.

7 Допуск к персональным данным

 7.1. Внутренний доступ (доступ внутри организации).

7.2.  Право  доступа  к персональным  данным  субъекта  персональных данных

имеют:

– директор;

– преподаватели;

–  руководители  структурных  подразделений  по  направлению  деятельности

(доступ к персональным данным только работников своего подразделения);

– лица, уполномоченные на получение, обработку, хранение, передачу и другое

использование персональных данных;

– субъект персональных данных.

  1. Передача персональных данных

 8.1. При передаче персональных данных субъекта персональных данных лицо, уполномоченное  на  получение,  обработку,  хранение,  передачу  и  другое использование персональных данных должно соблюдать следующие требования:

Не  сообщать  персональные  данные  субъекта  персональных  данных третьей  стороне  без  письменного  согласия  субъекта  персональных  данных,  за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и  здоровью  субъекта  персональных  данных,  а  также  в  других  случаях, предусмотренных Трудовым кодексом или иными федеральными законами.

По возможности персональные данные обезличивать.

Лицо, уполномоченное на получение, обработку, хранение, передачу и другое использование  персональных  данных  для  проведения  научных,  статистических, социологических,  медицинских  и  других  исследований  обязано  обезличить  их посредством вывода из  персональных данных части данных, которые позволяют идентифицировать  физическое  лицо,  придавая  им  форму  анонимных  сведений, которые  не  могут  быть  ассоциированы  идентифицированной  или идентифицируемой личностью.

  1. Права и обязанности субъекта персональных данных

9.1.  В  целях    обеспечения  защиты  персональных  данных,  хранящихся  в

ООО СИДПО, субъект персональных данных имеет право на:

 –  полную  информацию  о  своих  персональных  данных  и  обработке  этих данных, в том числе автоматизированной;

 –  свободный  бесплатный  доступ  к  своим  персональным  данным,  включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных федеральным законом;

–  требование  об  исключении  или  исправлении  неверных  или  неполных персональных  данных,  а также  данных,  обработанных с  нарушением требований Трудового кодекса Российской Федерации или иного федерального закона.

9.2. В  целях  обеспечения  достоверности  персональных  данных  субъект персональных данных обязан:

– предоставить полные достоверные данные о себе;

–  в  случае  изменения  сведений,  составляющих  персональные  данные, незамедлительно известить ООО СИДПО о соответствующих изменениях.

  1. Ответственность за  нарушение  норм,  регулирующих  обработку  и защиту персональных данных

 10.1. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных  данных  субъектов  персональных  данных,  привлекаются  к дисциплинарной,  материальной,  гражданско-правовой,  административной  и уголовной  ответственности  в  порядке,  установленном  Трудовым  кодексом Российской  Федерации,  Кодексом  Российской  Федерации  об  административных правонарушениях,  Уголовным  кодексом  Российской  Федерации  и  иными федеральными законами.

Настоящее  Положение  утверждается  директором ООО СИДПО.

Добавить комментарий