Примерная форма приказа о допуске сотрудников к персональным данным клиентов и назначении ответственных по работе и хранению персональных данных клиентов (общий) (подготовлено экспертами компании "Гарант")
Приказ
о допуске сотрудников к персональным данным клиентов и назначении ответственных по работе и хранению персональных данных клиентов
(общий)
[ число, месяц, год ]
г. [ вписать нужное ]
В целях соблюдения порядка получения, учета, хранения и эффективной защиты персональных данных Клиентов от несанкционированного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных и иных неправомерных действий, обеспечения конфиденциальности персональных данных, приказываю:
1. Организовать работу сотрудников, перечисленных в приложении к настоящему приказу, с персональными данными Клиентов.
2. Ответственным по работе и хранению персональных данных Клиентов назначить [ Ф. И. О., должность ].
3. Ответственному по работе и хранению персональных данных Клиентов необходимо:
- разъяснить всем сотрудникам, имеющим доступ к персональным данным Клиентов, их права, обязанности и ответственность за обработку персональных данных, разъяснить технологию обработки персональных данных в информационной системе;
- ознакомить сотрудников, имеющих доступ к персональным данным Клиентов, с Положением об обработке и защите персональных данных Клиентов, утвержденным [ должность руководителя ] приказом N [ значение ] от [ число, месяц, год ], и Соглашением о неразглашении персональных данных Клиента от [ число, месяц, год ] под роспись.
4. Ответственным за ведение "Журнала учета обращений Клиентов (законных представителей) для получения доступа к своим персональным данным" назначить [ Ф. И. О., должность ].
5. Ответственным за обеспечение безопасности информации о персональных данных Клиентов, хранящихся в электронном виде в локальной компьютерной сети организации, в электронных папках и файлах в персональных компьютерах [ должность руководителя ] и сотрудников, допущенных к обработке персональных данных Клиентов, назначить системного администратора [ Ф. И. О. ].
6. Контроль за исполнением приказа оставляю за собой.
[ наименование должности руководителя ] [ подпись ] [ инициалы, фамилия ]
С приказом ознакомлены:
[ наименование должности ] [ подпись ] [ инициалы, фамилия ]
[ наименование должности ] [ подпись ] [ инициалы, фамилия ]
Приложение к приказу N [ значение ]
от [ число, месяц, год ]
Список сотрудников,
имеющих доступ к персональным данным Клиентов
Ф. И. О., должность сотрудника
Перечень информационных ресурсов, к которым допущены сотрудники
Приказ об утверждении списка лиц, имеющих доступ к персональных данным работников
Приказ об утверждении списка лиц, имеющих доступ к персональных данным работников – документ, содержащий перечень физических лиц, которые имеют доступ к обработке персональных данных работников на предприятии. Под «обработкой данных» принято понимать получение, комбинирование, хранение, передача, а так же иное использование персональных данных работников.
Независимо от того на каком носителе хранятся полученные персональные данные работников (бумажные или электронные), в обязательном порядке должен быть установлен конкретный перечень физических лиц, которые в силу своих должностных обязанностей должны иметь доступ к персональным данным. Это отображено в Федеральном законе № 152-ФЗ «О персональных данных», целью которого является обеспечение защиты свобод и прав работника при обработке его персональных данных, а так же защиты прав на неприкосновенность его частной жизни. Таким образом, утвержденный приказом руководителя предприятия перечень конкретных лиц, ограничивает доступ к персональным данным работников, что в точности следует вышеупомянутому Закону.
Помимо соответствующего приказа, на каждом предприятии должно быть разработано Положение о персональных данных, целью которого является защита персональных данных работников от неправомерного их использования, утраты, а так же несанкционированного доступа посторонних лиц.
Конфиденциальность персональных данных: оформление приказа об установлении списка лиц, имеющих доступ к ним
При трудоустройстве и в процессе дальнейшей трудовой деятельности работник передает работодателю свои персональные данные. Информация эта требует защиты, доступ к ней должен быть ограниченным.
Соответственно выделяются узкий круг лиц, которые имеют право работать с конфиденциальной информацией для выполнения своих служебных обязанностей. Они назначаются специальным приказом.
Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.
Если вы хотите узнать, как решить именно Вашу проблему - обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (495) 212-90-15 . Это быстро и бесплатно !
Приказ представляет собой правовой акт, который относится ко всему предприятию, определяет его деятельность и решает его основные задачи. Он издается единолично руководителем фирмы.
В перечень таких лиц могут войти руководитель, его заместители, работники отдела кадров, сотрудники бухгалтерии, служба безопасности, секретарь и иные работники, которым эти сведения нужны для выполнения трудовых обязанностей.
Доступ может быть и к информации, предоставленной клиентами организации или другими лицами. Все это требует отдельного уточнения при составлении документа.
Если допуск понадобится лицам, не обозначенным в приказе, для них издается отдельный документ. Допуск регистрируется в журнале.
Общие правила составления
- Приказ оформляется на бланке формата А4.
- Приказ должен содержать пункты, разъясняющие, что надо сделать, за какое время и кто из сотрудников за это отвечает.
- Текст приказа состоит из констатирующей и распорядительной части. В констатирующей части указываются причины, побудившие создать приказ. В данном случае это законодательные акты.
В документе необходимо четко перечислить те законы, на основании которых происходит обработка персональных данных. Это должны быть конкретные пункты и статьи, а не просто формальная отсылка к названию закона. Распорядительная часть указывает на те действия, которые необходимо выполнить.
Утверждение перечня личных сведений
Правовой акт включает в себя:
- Наименование организации. Например, МОУ СОШ №7.
- Название документа (ПРИКАЗ) и его номер.
- Дату создания. Например, 5 октября 2016 г.
- Место создания. Например, г. Пермь.
- Отсылку к законодательной базе, на основании которой он создается.
Пример: В целях соблюдения закона РФ № 152-ФЗ «О персональных данных» от 27 июля 2006 года и в целях защиты персональных данных сотрудников.
Утверждение перечня и отсылку к нему. Перечень часто оформляется в виде приложения.
Утвердить прилагаемый перечень данных МОУ СОШ №7.
Назначение ответственного за исполнение.
Например: Контроль за исполнением приказа оставляю за собой.
Перечень персональных данных, оформленный в виде таблицы или иным способом. Столбцы таблицы составляются в зависимости от целей и задач компании.
Установление списка лиц, имеющих доступ к такой информации
В правовом акте должно присутствовать:
-
Название организации (указывается сверху). Например, ООО «Родон».
- Название документа (ПРИКАЗ), его номер.
- Дата составления. Например, 4 августа 2017 г.
- Место составления. Например, г . Москва.
- Ссылка на законодательство, на основании которого он издается.
Пример: В соответствии с Трудовым кодексом РФ и законом РФ № 152-ФЗ «О персональных данных» от 27 июля 2006 года.
Перечень работников, допущенных к сведениям, с указанием их должности.
Вот примерно как выглядит документ для утверждения списка лиц, имеющих доступ к личным сведениям работников:
- Генеральный директор Г. Е. Чуриков.
- Зам. генерального директора К. А. Голиков.
- Начальник отдела кадров И. Н. Дирина.
- Главный бухгалтер Е. Г. Листовская.
Указание лица, ответственного за исполнение.
Пример: Контроль за исполнением возложить на К. А. Голикова.
Каждый работник, получивший доступ, должен подписать соглашение о неразглашении персональных данных. Тогда в случае утечки информации и ее неправомерного использования можно наказать виновных. Если такое соглашение не было подписано, вся вина ложится на руководителя предприятия.
Это могут быть дисциплинарные взыскания (увольнение, выговор, замечание), штрафы.
Оформление готового документа
- Документ предпочтительно напечатать на компьютере.
- Оформление документа стандартное.
- Сверху указывается организация, далее ставится дата создания, номер и название.
- Сам текст состоит из отсылки к законодательным актам, потом следует перечень тех действий, которые необходимо выполнить работникам.
- Внизу приказа должны быть подписи лиц, указанных в правовом акте, а также подпись лица, издавшего приказ, т.е. руководителя компании или его заместителя.
- Если необходимо, к документу добавляется приложение.
- Приказ должен быть учтен в специальном журнале. Туда вносится наименование правового акта, его номер и дата составления.
Наказания за нарушения в работе с персональными данными ужесточились. Поэтому к оформлению и содержанию приказов нужно подойти серьезно, чтобы избежать штрафов при проверке. Документы должны быть составлены в соответствии с требованиями законодательства.
Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему - позвоните прямо сейчас:
+7 (495) 212-90-15 (Москва)
+7 (812) 332-54-12 (Санкт-Петербург)
Персональные данные: а вы готовы к проверке?
- Щетинина А. В. | начальник службы персонала ГК «Дон-Консультант»
Примеры документов из статьи:
- ЗАЯВЛЕНИЕ на обработку персональных данных
- Положение о персональных данных
- ПРИКАЗ о назначении ответственных за обработку персональных данных
- ПРИКАЗ о назначении ответственных за обеспечение безопасности персональных данных
- ДОГОВОР Об обработке персональных данных
Определяемся с понятиями
Р оссийское законодательство вот уже более 3 лет стоит на страже неприкосновенности частной жизни, личной и семейной тайны, а также следит за обеспечением защиты прав и свобод человека и гражданина при обработке его персональных данных. Для этого законодатели приняли ряд нормативных актов, обязывающих обеспечить безопасность персональных данных, с которыми взаимодействуют различные органы власти, юридические и физические лица. Наиболее важными из этого ряда нормативных актов являются:
- Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных),
- Постановление Правительства РФ от 17.11.2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Постановление № 781),
- Постановление Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (далее – Постановление № 687).
В декабре прошлого года на заседании Госдумы принят в третьем чтении законопроект № 284213-5 «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных». Из закона исключены требования об использовании криптографических средств защиты персональных данных. В соответствии со ст. 25 Федерального закона «О персональных данных» информационные системы персональных данных, созданные до дня вступления в силу данного закона, должны быть приведены в соответствие с требованиями законодательства не позднее 1 января 2010 года. Законопроектом же предлагается продлить этот срок до 1 января 2011 года.
Но каким образом это относится к кадровой службе? Что нового содержится в данных постановлениях и Законе, чего нет в главе 14 ТК РФ? Эти документы в первую очередь определяют порядок работы с персональными данными, они расширяют и уточняют нормы права, приведенные в ТК РФ. Во-вторых, они определяют мероприятия по обеспечению безопасности работы с персональными данными.
Давайте разберемся подробнее. Ключевыми понятиями, от которых стоит отталкиваться при определении объема работ при использовании персональных данных работников, является само понятие «персональные данные» и понятие «обработка персональных данных».
Согласно ТК РФ под персональными данными работников понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Закон «О персональных данных» расширяет и уточняет понятие. Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Таким образом, каждый работодатель, заключая трудовой договор, получает информацию, относящуюся к персональным данным. Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:
- паспорте;
- военном билете (у военнообязанных);
- свидетельстве о присвоении ИНН;
- страховом пенсионном свидетельстве;
- документах об образовании (в том числе и дополнительного образования, если работник предоставляет их при приеме на работу или это требуется при выполнении определенных трудовых функциях);
- в водительском удостоверении и документах на машину, если это требуется в связи с выполнением трудовой функции работника;
- медицинской справке о прохождении медицинского осмотра (медицинской книжке), если это требуется в связи с выполнением трудовой функции работника.
Использование предприятием в своей деятельности вышеуказанных данных трактуется законодательством как «обработка персональных данных». В это понятие входят следующие действия: сбор, систематизация, накопление, хранение, уточнение, обновление, изменение, обезличивание, блокирование, уничтожение, использование, распространение и передача. Все эти операции в том или ином объеме выполняются в любой организации и на любом предприятии.
Особое внимание необходимо уделить понятию передача персональных данных, так как на работодателя в связи с ним накладывается ряд ограничений 2 . Так, собственник не имеет права:
- сообщать персональные данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью последнего, а также других случаев, предусмотренных законодательством РФ;
- сообщать персональные данные работника в коммерческих целях без его письменного согласия;
- запрашивать информацию о состоянии здоровья, за исключением сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
Кроме этого, работодатель должен соблюдать следующие требования:
- предупредить лиц, получающих персональные данные работника, что такие данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от указанных лиц подтверждения, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном законодательством РФ;
- разрешать доступ к персональным данным работников лишь специально уполномоченным лицам, причем они должны получать только те персональные данные, которые необходимы для выполнения конкретных функций;
- передавать персональные данные представителям работников в порядке, установленном законодательством РФ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.
Необходимые документы
Для выполнения всех требований законодательства работодатель должен соблюсти ряд условий обработки персональных данных 3 . Согласно ч. 1 ст. 6 Закона «О персональных данных» обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных. Исключения приведены в ч. 2 ст. 6 Закона «О персональных данных». Так, разрешение не требуется, если «обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора». Казалось бы, ТК РФ, являясь федеральным законом, должен соответствовать данному исключению. Однако в Кодексе оговаривается некоторое множество целей обработки персональных данных и дается указание на то, что работодатель сам должен определить объем, содержание и цели обработки данных. Если этот объем превышает объем, приведенный в Трудовом кодексе, то работодателю целесообразно получить разрешение от работника на использование своих данных, то есть перед заключением трудового договора работник должен написать заявление о своем согласии на обработку персональных данных (см. Пример 1). В этом заявлении должны быть указаны следующие сведения:
- Ф.И.О., адрес работника, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование и адрес работодателя, получающего согласие сотрудника;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие работника;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
- срок, в течение которого действует согласие;
- порядок отзыва заявления.
Остановимся подробнее на целях обработки персональных данных. В заявлении работнику стоит перечислить все возможные варианты использования его персональных данных. Например, если фамилия работника будет указана в его электронном адресе и у работника будут визитные карточки, то на данные действия необходимо получить его согласие.
Отдельно необходимо определить с работником сроки использования персональных данных после его увольнения. Так как документы сотрудника хранятся в организации в течение 75 лет, цели и характер использования этих данных, а также разрешение на их использование необходимо получить у него заблаговременно.
При этом работник может отказаться написать подобное заявление. Это его право, но целесообразно зафиксировать где-то, что он предупрежден о последствиях отказа 4 . Конечно, это бывает крайне редко, возможны варианты частичного отказа от использования персональных данных. Для того чтобы работники не отказывались от написания подобных заявлений, необходимо перед такой процедурой ознакомить его под роспись с Положением о персональных данных, которое обязательно должно быть на каждом предприятии (см. Пример 2). В данном документе необходимо отразить перечень персональных данных, предоставляемых работниками, на каких носителях и в каких местах они будут храниться, а также указать перечень мер, необходимых для обеспечения безопасности условий хранения, порядок их принятия, и список должностей, ответственных за реализацию указанных мер.
Помимо положения о персональных данных работодатель должен издать два приказа:
- о назначении ответственных за обработку персональных данных (см. Пример 3);
- о назначении ответственных за обеспечение безопасности персональных данных (см. Пример 4).
Далее согласно ст. 6 Положения № 687 все работники работодателя, работающие с персональными данными, должны быть проинформированы о факте обработки ими персональных данных, а также об особенностях и правилах осуществления такой обработки. Для реализации этой нормы права целесообразно заключить со всеми работниками соответствующий договор (см. Пример 5). В этом документе, который может быть частью соответствующего трудового договора, должны быть указаны обязанности работников, их ответственность за нарушения режима конфиденциальности.
Требования к работе на различных носителях
В деятельности юридических лиц образуются бумажные (материальные) носители персональных данных и электронные носители персональных данных (информационные системы и базы данных). К работе и хранению информации на материальных и электронных носителях предъявляются разные требования. Остановимся на них подробнее.
Примеры бумажных носителей персональных данных:
- трудовая книжка;
- журналы учета трудовых книжек;
- журнал учета командировок;
- материалы по учету рабочего времени;
- личная карточка Т-2;
- журналы сверки по военнообязанным;
- входящая и исходящая корреспонденция военкомата, страховой компании, службы судебных приставов;
- приказы по личному составу.
Закон «О персональных данных» требует от работодателя раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. При этом в отношении каждой категории должно быть возможно определить места хранения персональных данных (материальных носителей).
Электронные носители персональных данных – базы данных, содержащие персональные данные работников организации. Данные, хранящиеся на электронных носителях, обрабатываются и передаются техническими средствами. Постановление № 781 дает исчерпывающее определение технических средств. Это средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
Безопасность персональных данных на электронных носителях достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий. Для обеспечения этой безопасности работодатель должен принять ряд организационных мер.
Во-первых, информационную систему необходимо классифицировать в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства. Решение о присвоении того или иного класса системы определяет специальная организация, имеющая лицензию на данные работы. В зависимости от присвоенного класса работодатель определяет мероприятия по защите используемых персональных данных.
Во-вторых, работодатель должен обеспечить режим безопасности и охрану помещений, в которых ведется работа с персональными данными, а также обеспечивать сохранность носителей персональных данных и средств защиты информации таким образом, чтобы исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
В-третьих, обеспечить в информационной системе следующие возможности:
- а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
- б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;
- в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
- г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- д) постоянный контроль за обеспечением уровня защищенности персональных данных.
Подведение итогов
Итак, в организации для работы с персональными данными должны быть следующие документы:
- Положение о персональных данных.
- Приказ о назначении ответственных за работу с персональными данными.
- Приказ о назначении ответственных за обеспечение безопасности персональных данных.
- Заявления работников на обработку персональных данных.
- Договоры (допсоглашения) с работниками об обработке персональных данных.
Доступ к персональным данным
Подборка наиболее важных документов по запросу Доступ к персональным данным (нормативно-правовые акты, формы, статьи, консультации экспертов и многое другое).
Нормативные акты: Доступ к персональным данным
Статьи, комментарии, ответы на вопросы: Доступ к персональным данным
Формы документов: Доступ к персональным данным
Документ доступен: в коммерческой версии КонсультантПлюс
Документ доступен: в коммерческой версии КонсультантПлюс
Правила обработки персональных данных
ПОЛИТИКА
ГАПОУ РК «Колледж технологии и предпринимательства»
в отношении обработки и защиты персональных данных
1. Общие положения
1.1. В целях выполнения норм федерального законодательства в области обработки персональных данных субъектов персональных данных ГАПОУ РК «Колледж технологии и предпринимательства» (далее – Оператор) считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.
1.2. Настоящая политика в отношении обработки и защиты персональных данных в ГАПОУ РК «Колледж технологии и предпринимательства» (далее – Политика) характеризуется следующими признаками:
- Раскрывает основные категории персональных данных, обрабатываемых Оператором, цели, способы и принципы обработки Оператором персональных данных, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке.
- Является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке персональных данных.
2. Информация об Операторе
полное официальное наименование: государственное автономное профессиональное образовательное учреждение Республики Карелия «Колледж технологии и предпринимательства»;
официальное сокращенное наименование: ГАПОУ РК «Колледж технологии и предпринимательства.
Фактический адрес: 185030, Республика Карелия, г. Петрозаводск, пр. А. Невского, 64.
Тел., факс: (8142): 57-34-95, 57-42-39.
Реестр операторов персональных данных:
- Ссылка на номер в реестре операторов персональных данных:
https://rkn.gov.ru/personal-data/register/?id=09-0042292 - Номер в реестре операторов персональных данных: 09-0042292.
- Дата и основание внесения оператора в реестр: 24.03.2009, приказ № 77.
3. Правовые основания обработки персональных данных
3.1. Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами Российской Федерации:
Конституцией Российской Федерации;
Трудовым кодексом Российской Федерации;
Гражданским кодексом Российской Федерации;
Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
3.2. Во исполнение настоящей Политики Оператором утверждены следующие локальные нормативные правовые акты:
- Положение об обработке и защите персональных данных обучающихся и работников ГАПОУ РК «Колледж технологии и предпринимательства»
- Инструкция по работе с персональными данными
- Приказ о допуске сотрудников к работе с персональными данными.
- Модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
4. Цели обработки персональных данных
4.1. Оператор обрабатывает персональные данные сотрудников, обучающихся и абитуриентов. Обработка персональных данных производится исключительно в следующих целях:
- обеспечения наиболее полного исполнения образовательным учреждением своих обязанностей, обязательств и компетенций, обеспечение соблюдения законов и иных нормативных правовых актов; соблюдение порядка и правил приема в образовательное учреждение; учет результатов освоения обучающимися образовательных программ, а также хранение архивов данных об этих результатах на бумажных носителях и/или электронных носителях; учет обучающихся, нуждающихся в социальной поддержке и защите; планирование, организация, регулирование и контроль качества деятельности образовательного учреждения в целях осуществления государственной политики в области образования.
- заполнение базы данных автоматизированной информационной системы управления качеством образования в целях повышения эффективности управления образовательными процессами, проведения мониторинговых исследований в сфере образования, формирования статистических и аналитических отчетов по вопросам качества образования;
- Заключения и выполнения обязательств по трудовым договорам, договорам гражданско-правового характера и договорам с контрагентами.
5. Категории обрабатываемых персональных данных,
источники их получения, сроки обработки и хранения
5.1. В информационных системах персональных данных Оператора обрабатываются следующие категории персональных данных:
Персональные данные работников. Источники получения: субъекты персональных данных ГАПОУ РК «Колледж технологии и предпринимательства».
Персональные данные обучающихся/абитуриентов, их законных представителей. Источники получения: обучающиеся ГАПОУ РК «Колледж технологии и предпринимательства».
5.2. Сроки обработки и хранения персональных данных определены Инструкцией по делопроизводству Колледжа.
- Основные принципы обработки, передачи и хранения персональных данных
- Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона 152-ФЗ «О персональных данных».
- Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- Обработке подлежат только те персональные данные, которые отвечают целям их обработки;
- Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки;
- При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки.
- Колледж в своей деятельности исходит из того, что субъект персональных данных предоставляет точную и достоверную информацию во время взаимодействия с Колледжем и извещает представителей Колледжа об изменении своих персональных данных
- Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
- Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом,
- Оператор не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
- Оператор не выполняет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
- Оператор не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.
- Оператор производит передачу персональных данных третьим лицам на основании соответствующего соглашения и только с согласия субъектов персональных данных.
- При использовании информации, размещенной на официальном сайте Колледжа, технические средства Сайта не распознают сетевые (IP) адреса и доменные имена каждого пользователя информации.
- Регистрационные данные, указываемые посетителем сайта не обрабатываются и не сохраняются.
7. Сведения о третьих лицах, участвующих в обработке персональных данных
7.1. В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Оператор в ходе своей деятельности предоставляет персональные данные следующим организациям:
7.1.1. Федеральной налоговой службе.
7.1.2. Отделению Пенсионного фонда РФ по Республике Карелия.
7.1.3. Участникам системы межведомственного электронного взаимодействия.
7.1.4. Негосударственным пенсионным фондам.
7.2. Оператор не поручает обработку персональных данных другим лицам на основании договора.
8. Меры по обеспечению безопасности персональных данных
при их обработке
8.1. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
8.1.1. Назначением ответственных за организацию обработки персональных данных.
8.1.2. Ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и (или) обучением указанных сотрудников.
8.1.3. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
8.1.4. Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных.
8.1.5. Учетом машинных носителей персональных данных.
8.1.6. Выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер.
8.1.7. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
8.1.8. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
8.2. Обязанности должностных лиц, осуществляющих обработку и защиту персональных данных, а также их ответственность, определяются в Инструкции о порядке обеспечения конфиденциальности при обработке информации, содержащей персональные данные.
9. Права субъектов персональных данных
9.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Оператором.
9.2. Субъект персональных данных вправе требовать от Оператора, который их обрабатывает, уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе в следующих случае, когда доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
9.4. Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
9.5. Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.
9.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов.