Положение о защите персональных данных работников МБОУ «Кокрекская СОШ» 1. Общие положения 1.1 Настоящее Положение о защите персональных данных работников организации, осуществляющей образовательную деятельность, (далее – Положение) разработано в соответствии со статьей 24 Конституции Российской Федерации, Трудовым кодексом Российской Федерации и Федеральными законами от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (с изменениями на 3 апреля 2020 года), от 27 июля 2006 года № 152-ФЗ «О персональных данных» (с изменениями на 24 апреля 2020 года), Постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» (с изменениями на 15 апреля 2019 года), Федеральным законом № 273-ФЗ от 29.12.2012 «Об образовании в Российской Федерации» в редакции от 1 сентября 2020 года. 1.2. Данное Положение о защите персональных данных работников школы разработано с целью защиты информации, относящейся к личности и личной жизни работников общеобразовательной организации от несанкционированного доступа, неправомерного их использования или утраты. 1.3. Данное Положение определяет порядок работы (сбора, обработки, использования, хранения и т. д.) с персональными данными работников и гарантии конфиденциальности сведений о работнике, предоставленных работником работодателю, а также устанавливает ответственности должностных лиц, имеющих доступ к персональным данным работников. 1.4. Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. 1.5. Персональные данные работника — информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. 1.5.1. Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. 1.5.2. Распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом. 1.5.3. Использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц. 1.5.4. Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. 1.6. К персональным данным работника, получаемым работодателем и подлежащим хранению у работодателя в порядке, предусмотренном действующим законодательством и настоящим Положением, относятся следующие сведения, содержащиеся в личных делах работников: • паспортные данные работника; • ИНН; • копия страхового свидетельства государственного пенсионного страхования; • копия документа воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу); • копия документа об образовании, квалификации или наличии специальных знаний (при поступлении на работу, требующую специальных знаний или специальной подготовки); • анкетные данные, заполненные работником при поступлении на работу или в процессе работы (в том числе – автобиография, сведения о семейном положении работника, перемене фамилии, наличии детей и иждивенцев); • документы о возрасте малолетних детей и месте их обучения; • документы о состоянии здоровья детей и других родственников (включая справки об инвалидности, о наличии хронических заболеваний); • документы о состоянии здоровья (сведения об инвалидности, о беременности и т.п.); • иные документы, которые с учетом специфики работы и в соответствии с законодательством Российской Федерации должны быть предъявлены работником при заключении трудового договора или в период его действия (включая медицинские заключения, предъявляемые работником при прохождении обязательных предварительных и периодических медицинских осмотров); • трудовой договор; • заключение по данным психологического исследования (если такое имеется); • копии приказов о приеме, переводах, увольнении, повышении заработной платы, премировании, поощрениях и взысканиях; • личная карточка по форме Т-2; • заявления, объяснительные и служебные записки работника; • документы о прохождении работником аттестации, повышения квалификации; • иные документы, содержащие сведения о работнике, нахождение которых в личном деле работника необходимо для документального оформления трудовых правоотношений с работником (включая приговоры суда о запрете заниматься педагогической деятельностью или занимать руководящие должности). 2. Основные условия проведения обработки персональных данных 2.1. Организация определяет объем, содержание обрабатываемых персональных данных работников, руководствуясь Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами. 2.2. Обработка персональных данных работников осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, а также обеспечения личной безопасности работников, сохранности имущества, контроля количества и качества выполняемой работы. 2.3. Все персональные данные работника предоставляются работником, за исключением случаев, предусмотренных федеральным законом. Если персональные данные работника, возможно, получить только у третьей стороны, то работодатель обязан заранее уведомить об этом работника и получить его письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение. 2.4. Организация не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни без письменного согласия работника. 2.5. Организация вправе осуществлять сбор, передачу, уничтожение, хранение, использование информации о политических, религиозных, других убеждениях и частной жизни, а также информации, нарушающей тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений работника только с его письменного согласия или на основании судебного решения. 2.6. Согласие субъекта персональных данных не требуется в следующих случаях: обработка персональных данных осуществляется на основании Трудового кодекса РФ, Федерального закона от 29.12.2012 г. № 273-ФЗ «Об образовании в Российской Федерации» или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия образовательной организации; обработка персональных данных осуществляется в целях исполнения трудового договора; обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных; обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия невозможно. 3. Хранение и использование персональных данных 3.1. Персональные данные работников организации хранятся на бумажных и электронных носителях (к доступу имеется определенный код), в специально предназначенных для этого помещениях. 3.2. В процессе хранения персональных данных работников должны обеспечиваться: • требования нормативных документов, устанавливающих правила хранения конфиденциальных сведений; • сохранность имеющихся данных, ограничение доступа к ним, в соответствии с законодательством Российской Федерации и настоящим Положением; • контроль за достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений. 3.3. Доступ к персональным данным работников имеют: • директор; • заместители директора; • • • • руководители структурного подразделения; секретарь учебной части; специалист по кадрам; иные работники, определяемые приказом руководителя образовательной организации в пределах своей компетенции. 3.4. Помимо лиц, указанных в п. 3.3. настоящего Положения, право доступа к персональным данным работников имеют только лица, уполномоченные действующим законодательством. 3.5. Лица, имеющие доступ к персональным данным обязаны использовать персональные данные работников лишь в целях, для которых они были предоставлены. 3.6. Ответственным за организацию и осуществление хранения персональных данных работников организации является заместитель директора, в соответствии с приказом руководителя организации, осуществляющей образовательную деятельность. 3.7. Персональные данные работника отражаются в личной карточке работника (форма Т-2), которая заполняется после издания приказа о его приеме на работу. Личные карточки работников хранятся в специально оборудованных несгораемых шкафах в алфавитном порядке. 4. Передача персональных данных 4.1. При передаче персональных данных работников другим юридическим и физическим лицам организация должно соблюдать следующие требования: 4.1.1. Персональные данные работника не могут быть сообщены третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом. 4.1.2. Лица, получающие персональные данные работника должны предупреждаться о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены. Организация, осуществляющая образовательную деятельность, должна требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами. 4.1.3. Передача персональных данных работника может быть осуществлена в установленном действующим законодательством порядке только в том объеме, который необходим для выполнения указанными представителями их функций. 5. Права работника на обеспечение защиты персональных данных 5.1. В целях обеспечения защиты персональных данных, хранящихся в организации, работники, имеют право: 5.1.1. Получать полную информацию о своих персональных данных и их обработке. 5.1.2. Свободного бесплатного доступа к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральными законами. Получение указанной информации о своих персональных данных возможно при личном обращении работника, – к заместителю директора, ответственному за организацию и осуществление хранения персональных данных работников. 5.1.3. Требовать об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований действующего законодательства. Указанное требование должно быть оформлено письменным заявлением работника на имя руководителя организации, осуществляющей образовательную деятельность. При отказе руководителя организации исключить или исправить персональные данные работника, работник имеет право заявить в письменном виде руководителю организации, осуществляющей образовательную деятельность, о своем несогласии, с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения. 5.1.4. Требовать об извещение организацией всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника обо всех произведенных в них исключениях, исправлениях или дополнениях. 5.1.5. Обжаловать в суде любые неправомерные действия или бездействия организации при обработке и защите его персональных данных. 6. Обязанности субъекта персональных данных по обеспечению достоверности его персональных данных 6.1. В целях обеспечения достоверности персональных данных работники обязаны: 6.1.1. При приеме на работу в организацию, осуществляющую образовательную деятельность, представлять уполномоченным работникам достоверные сведения о себе в порядке и объеме, предусмотренном законодательством Российской Федерации. 6.1.2. В случае изменения персональных данных работника: фамилия, имя, отчество, адрес места жительства, паспортные данные, сведения об образовании, состоянии здоровья (вследствие выявления в соответствии с медицинским заключением противопоказаний для выполнения работником его должностных, трудовых обязанностей и т.п.) сообщать об этом в течение 5 рабочих дней с даты их изменений. 7. Ответственность за нарушение настоящего положения 7.1. За нарушение порядка обработки (сбора, хранения, использования, распространения и защиты) персональных данных должностное лицо несет административную ответственность в соответствии с действующим законодательством. 7.2. Персональная ответственность - одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы. 7.3. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации. 7.4. За нарушение правил хранения и использования персональных данных, повлекшее за собой материальный ущерб работодателю, работник несет материальную ответственность в соответствии с действующим трудовым законодательством. 7.5. Материальный ущерб, нанесенный субъекту персональных данных за счет ненадлежащего хранения и использования персональных данных, подлежит возмещению в порядке, установленном действующим законодательством. 7.6. Организация вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных лишь обработку следующих персональных данных: • относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения (работникам); • полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных; • являющихся общедоступными персональными данными; • включающих в себя только фамилии, имена и отчества субъектов персональных данных; • необходимых в целях однократного пропуска субъекта персональных данных на территорию организации или в иных аналогичных целях; • включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка; • обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных. Во всех остальных случаях оператор (руководитель организации, осуществляющей образовательную деятельность, и (или) уполномоченные им лица) обязан направить в уполномоченный орган по защите прав субъектов персональных данных соответствующее уведомление. 8. Заключительные положения 8.1. Настоящее Положение о защите персональных данных работников является локальным нормативным актом, принимается на Педагогическом совете школы и утверждается (либо вводится в действие) приказом директора организации, осуществляющей образовательную деятельность. 8.2. Все изменения и дополнения, вносимые в настоящее Положение, оформляются в письменной форме в соответствии действующим законодательством Российской Федерации. 8.3. Положение о защите персональных данных работников общеобразовательной организации принимается на неопределенный срок. Изменения и дополнения к Положению принимаются в порядке, предусмотренном п.8.1. настоящего Положения. 8.4. После принятия Положения (или изменений и дополнений отдельных пунктов и разделов) в новой редакции предыдущая редакция автоматически утрачивает силу.