1. Общие положения Настоящее Положение о защите персональных данных работников, учащихся и их законных представителей образовательного учреждения (далее Положение) разработано с целью защиты информации, относящейся к личности работников и учащихся МБУ ДО «Дом творчества Белоглинского района» (далее образовательное учреждение), несанкционированного доступа, неправомерного их использования или утраты в соответствии со статьей 24 Конституции Российской Федерации, Трудовым Кодексом Российской Федерации и Федеральными законами от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологий и о защите информации», от 27.07.2006 г. № 152-ФЗ ( с изменениями от 02. 07.2021 г.) «О персональных данных». 1.1. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случае обезличивания или по истечении 75 лет срока хранения, если иное не определено законом. 1.2. Настоящее Положение обсуждается на Общем собрании коллектива и утверждается приказом директора. 1.3. Настоящее Положение является локальным нормативным актом, регламентирующим деятельность образовательного учреждения. 2. Понятие и состав персональных данных 2.1. Персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и качающиеся конкретного работника. Под информацией о работниках понимаются сведения о фактах, событиях, обстоятельствах жизни работника, позволяющие идентифицировать его личность. Субъект персональных данных - это физическое лицо, обладатель персональных данных. 2.2. Персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и качающиеся конкретного работника. Персональные данные учащихся - информация, необходимая образовательному учреждению в связи с отношениями, возникающими между учащимся, его родителями (законными представителями) и образовательным учреждением. 2.3. Обработка персональных данных - действие (операция) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. 2.4. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Предоставление персональных данных - действия, направленное на раскрытие персональных данных определенному лицу или определенному кругу лиц. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных). Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Информационная система персональных данных совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. 2.5. В состав персональных данных работника входят: - анкетные и биографические данные; - образование; - страховое свидетельство обязательного пенсионного страхования; - сведения о трудовом и общем стаже; - сведения о составе семьи; - паспортные данные; - сведения о воинском учете; - сведения о заработной плате сотрудника, сведения о социальных льготах; - специальность; - занимаемая должность; - наличие судимостей; - адрес места жительства; - домашний телефон; - место работы или учебы членов семьи и родственников; - содержание трудового договора; - состав декларируемых сведений о наличие материальных ценностей; - содержание декларации, подаваемой в налоговую инспекцию; - подлинники и копии приказов по личному составу; - личные дела и трудовые книжки сотрудников; - основания к приказам по личному составу; - дела, содержащие материалы по повышению квалификации и переподготовки сотрудников, их аттестации, служебным расследованиям; - копии отчетов, направленные в статистики. 2.6. К персональным данным обучающихся, полученным образовательным учреждением и подлежащим хранению законодательства учреждения в порядке, предусмотренным действующим законодательством и настоящим Положением, относятся следующие сведения, содержащиеся в личных делах учащихся: - документы, удостоверяющие личность учащихся (свидетельство о рождении, паспорт); - страховое свидетельство обязательного пенсионного страхования; - документы о месте проживания; - документы о составе семьи; - паспортные данные родителей (законных представителей) учащихся; документы о состоянии здоровья (медицинская справка). 2.7. Данные документы являются конфиденциальными, хотя учитывая их массовость и единое место обработки и хранения - соответствующий гриф ограничения на них не ставится. 3. Основные условия проведения обработки персональных данных 3.1. Под обработкой персональных данных работника понимается получение, хранение, комбинирование, передача или любое другое использование персональных данных работника. 3.2. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие требования: 3.2.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных правовых актов, содействии работникам в трудоустройстве, обучении и продвижении по службе, обеспечении личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. Согласие на обработку персональных данных работника оформляется по форме, приведенной в Приложении № 1. 3.2.2. Обработка персональных данных учащихся может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия учащимся в обучении, обеспечении их личной безопасности, контроля качества обучения и обеспечения сохранности имущества. 3.2.3. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым Кодексом и иными федеральными законами. 3.2.4. Получение персональных данных может осуществляться как путем представления их самим работником, так и получение их из других источников. 3.2.5. Персональные данные следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение. Все персональные данные несовершеннолетнего учащегося в возрасте до 14 лет (малолетнего) представляются его родителями (законными представителями). Если персональные данные учащихся возможно получить только у третьей стороны, то родители (законные представители) учащихся должны быть уведомлены заранее. От них должно быть получено письменное согласие на получение персональных данных от третьей стороны. Родители (законные представители) учащихся должны быть проинформированы о целях, предполагаемых источниках и способах получения персональных данных, а также о характере, подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение. 3.2.6. Персональные данные несовершеннолетнего учащегося в возрасте старше 14 лет предоставляется самим учащимся с письменного согласия его законных представителей родителей, усыновителей или попечителя. Если персональные данные возможно получить только у третьей стороны, то учащийся должен быть уведомлен об этом заранее. От него и его родителей (законных представителей) должно быть получено письменное согласие на получение персональных данных от третьей стороны. Учащийся и его родитель (законный представитель) должны быть проинформированы о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение. Согласие на обработку персональных данных учащихся оформляется по форме приведенной в Приложении № 2. 3.2.7. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях в частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений данные о частной жизни работника (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны работодателем только с его письменного согласия. 3.2.8. Образовательное учреждение не имеет право получать и обрабатывать персональные данные работника/учащегося о его политических, религиозных и иных убеждениях в частной жизни без письменного согласия работника/учащегося. Образовательное учреждение не имеет право получать и обрабатывать персональные данные работника/учащегося о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренным федеральным законом. 4. Хранение и использование персональных данных 4.1. Персональные данные работников и учащихся образовательного учреждения хранятся на бумажном и электронном носителях, в специально предназначенных для этого помещениях. 4.2. В процессе хранения персональных данных работников и учащихся образовательного учреждения должны обеспечиваться: - требования нормативных документов, устанавливающих правила хранения конфиденциальной информации; - сохранность имеющихся данных, ограничения доступа к ним, в соответствии с законом Российской Федерации и настоящим Положением; - контроль за достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений. 4.3. Доступ к персональным данным работников и учащихся образовательного учреждения имеют следующие работники: - директор; - заместитель директора; - педагоги – организаторы; - педагоги дополнительного образования и концертмейстеры к персональным данным своего детского объединения; - бухгалтер, закрепленный за образовательным учреждением; - иные работники, определенные приказом директора в пределах своей компетенции. 4.4. Лица, имеющие доступ к персональным данным обязаны использовать персональные данные работников и учащихся в целых, для которых они были предоставлены. 4.5. Персональные данные не могут быть предоставлены в целях имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничения прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством. 4.6. В соответствии с приказом директора ответственным за организацию и осуществление хранения персональных данных работников образовательного учреждения является специалист по кадрам, ответственным за организацию и осуществление хранения персональных данных учащихся являются педагоги дополнительного образования, осуществляющие образовательную деятельность в детском объединении, ансамбле. 4.7. Личные карточки, трудовые книжки основных работников, личные медицинские книжки и документы воинского учета хранятся в специально оборудованном помещении в алфавитном порядке. 4.8. Персональные данные учащихся отражаются в его личном деле, которое заполняется после издания приказа о его зачислении в образовательное учреждение. Личные дела учащихся формируются в папках по детских объединениям, студиям, ансамблям. 5. Передача персональных данных 5.1. При передаче персональных данных работников и учащихся образовательного учреждения другим юридическим и физическим лицам образовательное учреждение должно соблюдать следующие требования: 5.1.1. Персональные данные работника/учащегося не могут быть переданы третьей стороне без письменного согласия работника/родителей (законных представителей) несовершеннолетнего учащегося, за исключением случаев, когда при необходимости для предупреждения угрозы жизни и здоровью работника/учащегося, а также в случаях, установленных федеральным законом. 5.1.2. Лица, получающие персональные данные работника/учащегося, должны предупреждаться, что эти данные могут быть использованы лишь в целях, для которых они сообщены. Лица, получающие персональные данные работника/учащегося, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен персональными данными работников/учащихся в порядке, установленном федеральным законами. 5.1.3. Передача персональных данных работников/учащихся его представителям может быть осуществлена в установленном действующем законодательном порядке только в том объеме, который необходим для выполнения указанными их представителями функций. 5.1.4. Передача персональных данных работников и учащихся возможна только с письменного согласия работника или законного представителя несовершеннолетнего или в случаях прямо предусмотренных законодательством. 6. Права работников и учащихся на обеспечение защиты своих персональных данных 6.1. В целях обеспечения защиты персональных данных, хранящегося в образовательном учреждении, работники/учащиеся, родители,(законные представители несовершеннолетнего учащегося), имеют право: 6.1.1. Получать полную информацию о своих персональных данных и их обработке. 6.1.2. Свободного бесплатного доступа к своим персональным данным, включая право на получении копии любой записи, содержащие персональные данные работника/учащихся, за исключением случаев, предусмотренных федеральными законами. Получение указанной информации о своих персональных данных возможно при личном обращении работника/учащегося, родитеей, (законных представителей несовершеннолетнего учащегося) к лицам, ответственным за организацию и осуществление хранения персональных данных работников/учащихся. 6.1.3. Требовать об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований действующего законодательства. Указанное требование должно быть оформлено письменным заявлением работника/учащегося, родителей, (законных представителей несовершеннолетнего учащегося) на имя руководителя образовательного учреждения. При отказе руководителя образовательного учреждения исключить или исправить персональные данные работника, работник/учащийся, родитель, (законный представитель несовершеннолетнего учащегося) имеет право заявить в письменном виде руководителю образовательного учреждения о своем несогласии, с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник/учащийся (законный представитель несовершеннолетнего учащегося) имеет право дополнить заявлением, выражающим его собственную точку зрения. 6.1.4. Требовать об извещении образовательным учреждением всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника/учащегося обо всех произведенных в них исключениях, исключениях или дополнениях. 7. Обязанности субъекта персональных данных по обеспечению достоверности его персональных данных 7.1. В целях обеспечения достоверности персональных данных работники обязаны: 7.1.1. При приеме на работу в образовательное учреждение представлять уполномоченным работникам образовательного учреждения достоверные сведения о себе в порядке и объеме, предусмотренном законодательством Российской Федерации. 7.1.2. В случае изменения персональных данных работника: фамилия, имя, отчество, адрес места жительства, паспортные данные, сведения об образовании, состояния здоровья (вследствие выявления в соответствии с медицинским заключением противопоказаний для выполнения работником его должностных, трудовым обязанностей и т.п.) сообщать об этом в течение 5 рабочих дней с даты их изменения. 7.2. В целях обеспечения достоверности персональных данных обучающиеся, родители (законные представители несовершеннолетних обучающихся) обязаны: 7.2.1. При приеме в образовательное учреждение предоставлять уполномоченным работникам образовательного учреждения достоверные сведения о себе (своих несовершеннолетних детях). 7.2.2. В целях изменения сведений, составляющих персональные данные несовершеннолетнего обучающегося старше 14 лет, он обязан в течение 10 дней сообщить об этом уполномоченному работнику образовательного учреждения. 7.2.3. В случае изменения сведений, составляющих персональные данные обучающегося родители (законные представители) несовершеннолетнего обучающегося в возрасте до 14 лет обязаны в течение месяца сообщить об этом уполномоченному работнику образовательного учреждения. 8. Ответственность за нарушение настоящего положения 8.1. За нарушение порядка обработки (сбора, хранения, использования, распространения и защиты) персональных данных должностное лицо несет административную ответственность в соответствии с действующим законодательством. 8.2. За нарушение правил хранения и использования персональных данных, повлекшее за собой материальный ущерб работодателю, работник несет материальную ответственность в соответствии с действующим трудовым законодательством. 8.3. Материальный ущерб, нанесенный субъекту персональных данных за счет ненадлежащего хранения и использования персональных данных, подлежит возмещению в порядке, установленном действующим законодательством. 8.4. Образовательное учреждение вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных лишь обработку следующих персональных данных: - полученных ответственным работником в связи с заключением договора, стороной которого является субъект персональных данных (учащихся и др.), если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются для исполнения указанного договора и заключения договора с субъектом персональных данных; - являющихся общедоступными персональными данными; - включающих в себя только фамилии, имена и отчества субъекта персональных данных; - включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка; - обрабатываемые без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных. Во всех остальных случаях директор образовательного учреждения и (или) уполномоченные им лица обязан направить в уполномоченный орган по защите прав субъектов персональных данных соответствующее уведомление. Приложение №1 СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ Я, _________________________________________________________________, (ФИО) паспорт ____________ выдан ___________________________________________, (серия, номер) (когда и кем выдан) адрес регистрации: ______________________________________________________________________, даю свое согласие на обработку в _________________________________________ моих персональных данных, относящихся исключительно к перечисленным ниже категориям персональных данных: фамилия, имя, отчество; пол; дата рождения; тип документа, удостоверяющего личность; данные документа, удостоверяющего личность; гражданство. Я даю согласие на использование персональных данных исключительно в целях ___________________________________________________________________________, а также на хранение данных об этих результатах на электронных носителях. Настоящее согласие предоставляется мной на осуществление действий в отношении моих персональных данных, которые необходимы для достижения указанных выше целей, включая (без ограничения) сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу третьим лицам для осуществления действий по обмену информацией, обезличивание, блокирование персональных данных, а также осуществление любых иных действий, предусмотренных действующим законодательством Российской Федерации. Я проинформирован, что ______________________________________ гарантирует обработку моих персональных данных в соответствии с действующим законодательством Российской Федерации как неавтоматизированным, так и автоматизированным способами. Данное согласие действует до достижения целей обработки персональных данных или в течение срока хранения информации. Данное согласие может быть отозвано в любой момент по моему заявлению. письменному Я подтверждаю, что, давая такое согласие, я действую по собственной воле и в своих интересах. "____" ___________ 20__ г. _______________ /_______________/ Подпись Расшифровка подписи Приложение 2 СОГЛАСИЕ РОДИТЕЛЯ/ЗАКОННОГО ПРЕДСТАВИТЕЛЯ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ НЕСОВЕРШЕННОЛЕТНЕГО Я, ___________________________________________________________________, (ФИО родителя или законного представителя) паспорт ___________ выдан _____________________________________________, (серия, номер) (когда и кем выдан) ___________________________________________________________________ (в случае опекунства указать реквизиты документа, на основании которого осуществляется опека или попечительство) являясь законным представителем несовершеннолетнего _____________________________________________________________________, (ФИО несовершеннолетнего) приходящегося мне _____________, зарегистрированного по адресу: ______________________________________________________________, даю свое согласие на обработку в МБУ ДО «Дом творчества Белоглинского района» (наименование образовательной организации) персональных данных несовершеннолетнего, относящихся исключительно к перечисленным ниже категориям персональных данных: фамилия, имя, отчество; пол; дата рождения; тип документа, удостоверяющего личность; данные документа, удостоверяющего личность; гражданство; образовательная организация; класс. Я даю согласие на использование персональных данных несовершеннолетнего исключительно в следующих целях: индивидуальный учет результатов освоения обучающимися дополнительных образовательных программ, а также хранение данных об этих результатах на бумажных и/или электронных носителях. Настоящее согласие предоставляется мной на осуществление действий в отношении персональных данных несовершеннолетнего, которые необходимы для достижения указанных выше целей, включая (без ограничения) сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, блокирование персональных данных, а также осуществление любых иных действий, предусмотренных действующим законодательством РФ. Я проинформирован, что МБУ ДО «Дом творчества Белоглинского района» (наименование образовательной организации) гарантирует обработку персональных данных несовершеннолетнего в соответствии с действующим законодательством РФ как неавтоматизированным, так и автоматизированным способами. Данное согласие действует до достижения целей обработки персональных данных или в течение срока хранения информации. Данное согласие может быть отозвано в любой момент по моему письменному заявлению. Я подтверждаю, что, давая такое согласие, я действую по собственной воле и в интересах несовершеннолетнего. "____" ___________ 20__ г. _______________ /_______________/ Подпись Расшифровка подписи