Государственное бюджетное общеобразовательное учреждение Ленинградской области «Приморская школа-интернат, реализующая адаптированные образовательные программы» (ГБОУ ЛО «Приморская школа-интернат») Приняты на общем собрании коллектива ГБОУ ЛО «Приморская школа-интернат» протокол № 2 от «5» ию ля 2021 г. Положение о работе с персональными данными работников и обучающихся Доведено до сведения работников 05.07.2021, до обучающихся, родителей (законных представителей) обучающихся 01.09.2021 1. Общие положения 1.1. Настоящее положение о работе с персональными данными работников и обучающихся устанавливает требования к обработке персональных данных в ГБОУ ЛО «Приморская школа-интернат» в соответствии с видами деятельности, указанными в уставе ОУ, и политикой информационной безопасности ОУ. 1.2. Настоящее Положение разработано в соответствии с Федеральным законом РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; Трудовым кодексом РФ №197-ФЗ от 30.12.2001 (гл. 14 «Защита персональных данных работника», постановлением Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» для обеспечения порядка обработки (получения, сбора, использования, передачи, хранения и защиты) персональных данных работников и обучающихся образовательного учреждения и гарантии их конфиденциальности. 1.3. Под персональными данными работника понимается информация, касающаяся конкретного работника, необходимая оператору (руководителю образовательного учреждения и (или) уполномоченному им лицу) в связи с трудовыми отношениями, возникающими между работником и работодателем (руководителем образовательного учреждения). 1.4. Под персональными данными обучающегося понимается информация, касающаяся конкретного обучающегося, необходимая оператору (руководителю образовательного учреждения и (или) уполномоченному им лицу) в связи с отношениями, возникающими между родителями (законными представителями) обучающегося и образовательным учреждением (руководителем образовательного учреждения). 1.5. В настоящем Положении используются следующие понятия: Персональные данные - любая информация, относящиеся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных). Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. 1.6. Оператор (руководитель образовательного учреждения и (или) уполномоченное им лицо) обрабатывает персональные данные работников, учащихся, их родителей (законных представителей) и иных лиц (субъектов персональных данных) в соответствии с определенными в уставе целями. При достижении целей персональные данные удаляются либо передаются на архивное хранение в виде документированной информации в течение сроков, определенных требованиями номенклатуры дел. 1.7. При обработке персональных данных обеспечиваются точность персональных данных, их достаточность и актуальность. Неполные и неточные данные уточняются или удаляются. 1.8. Оператор (руководитель образовательного учреждения и (или) уполномоченное им лицо) обрабатывает персональные данные: без использования средств автоматизации и в ИСПДн; в статистических или иных исследовательских целях при условии обезличивания. 1.9. Оператор (руководитель образовательного учреждения и (или) уполномоченное им лицо) не передает персональные данные иностранным государствам, иностранным физическим лицам и иностранным юридическим лицам и не обрабатывает биометрические персональные данные в целях установления личности. 2. Документы, содержащие сведения, составляющие персональные данные 2.1. Документы, содержащие сведения, необходимые для заключения, изменения или прекращения трудового договора с работником (оформления трудовых отношений с работником): паспорт; документы об образовании, квалификации; медицинское заключение об отсутствии противопоказаний для занятия конкретным видом деятельности в образовательном учреждении; страховое свидетельство государственного пенсионного страхования; приговор суда о запрете заниматься педагогической деятельностью или занимать руководящие должности; справка об отсутствии судимости; документ воинского учета. 2.2. Документы, содержащие сведения, необходимые для предоставления работнику гарантий и компенсаций, установленных действующим законодательством: документы о составе семьи; документы о состоянии здоровья (сведения об инвалидности и т.п.); документы о состоянии здоровья детей и других близких родственников (например, справки об инвалидности, о наличии хронических заболеваний); документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (донорстве, нахождении в зоне воздействия радиации в связи с аварией на Чернобыльской АЭС и т.п.); документы о беременности работницы; документы о возрасте малолетних детей; документы о месте обучения детей. 2.3. Документы, содержащие сведения, необходимые для реализации конституционного права на получение образования (заключения договора с родителями (законными представителями) обучающегося): документ, удостоверяющий личность обучающегося (свидетельство о рождении или паспорт); документ о получении образования, необходимого для поступления в соответствующий класс (личное дело, справка с предыдущего места учебы и т.п.); медицинское заключение об отсутствии противопоказаний для обучения в образовательном учреждении конкретного вида и типа; медицинское заключение о возможности изучения предметов, представляющих повышенную опасность для здоровья (физкультура, информатика и т.п.); документ о месте проживания; паспорт одного из родителей (законных представителей) обучающегося; полис обязательного медицинского страхования. 2.4. Документы, содержащие сведения, необходимые для предоставления обучающемуся гарантий и компенсаций, установленных действующим законодательством: документы о составе семьи; документы о состоянии здоровья (сведения об инвалидности, наличии хронических заболеваний); документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (родителиинвалиды, неполная семья, ребенок-сирота, опекаемый и т.п.). 3. Условия проведения обработки персональных данных 3.1. Обработка персональных данных работника. 3.1.1. Обработка (получение, сбор, использование, передача, хранение и защита) персональных данных работника может осуществляться исключительно в целях: обеспечения соблюдения законов и иных нормативных правовых актов; содействия работникам в трудоустройстве, обучении и продвижении по службе; обеспечения личной безопасности работников; контроля количества и качества выполняемой работы; обеспечения сохранности имущества в минимально необходимом для этих целей объеме. 3.1.2. Все персональные данные работника можно получать только у него самого, за исключением случаев, предусмотренных федеральным законом. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работник должен быть проинформирован о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение. 3.1.3. В соответствии со ст. 24 Конституции РФ оператор (руководитель образовательного учреждения и (или) уполномоченное им лицо) вправе осуществлять сбор, передачу, уничтожение, хранение, использование информации о политических, религиозных, других убеждениях и частной жизни, а также информации, нарушающей тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений работника только с его письменного согласия или на основании судебного решения. 3.2. Обработка персональных данных обучающегося. 3.2.1. Обработка (получение, сбор, использование, передача, хранение и защита) персональных данных обучающегося может осуществляться исключительно в целях: обеспечения соблюдения законов и иных нормативных правовых актов; содействия обучающимся в обучении, трудоустройстве; обеспечения их личной безопасности; контроля количества и качества обучения; обеспечения сохранности имущества в минимально необходимом для этих целей объеме. 3.2.2. Все персональные данные несовершеннолетнего обучающегося до получения им основного общего образования можно получать только у его родителей (законных представителей). Если персональные данные обучающегося возможно получить только у третьей стороны, то родители (законные представители) обучающегося должны быть уведомлены об этом заранее и от них должно быть получено письменное согласие. Родители (законные представители) обучающегося должны быть проинформированы о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение. 3.2.3. Все персональные данные несовершеннолетнего обучающегося после получения им основного общего образования или совершеннолетнего обучающегося можно получать только у него самого. Если персональные данные такого обучающегося возможно получить только у третьей стороны, то он должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Такой обучающийся должен быть проинформирован о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение. 3.2.4. В соответствии со ст. 24 Конституции РФ, оператор (руководитель образовательного учреждения и (или) уполномоченное им лицо) вправе осуществлять сбор, передачу, уничтожение, хранение, использование информации о политических, религиозных, других убеждениях и частной жизни, а также информации, нарушающей тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений обучающегося только с его письменного согласия (согласия родителей (законных представителей) несовершеннолетнего обучающегося до получения им основного общего образования), форма которого определяется ч.4 ст.9 Федерального закона «О защите персональных данных», или на основании судебного решения. 3.2.5. Оператор (руководитель образовательного учреждения и (или) уполномоченное им лицо) не обрабатывает и не передает третьим лицам без согласия субъекта персональных данных, его законного представителя информацию о национальности, расовой принадлежности, политических, религиозных, философских убеждениях, состоянии здоровья, интимной жизни субъекта персональных данных, за исключением случаев, когда такая информация необходима: для защиты жизни, здоровья или других жизненно важных интересов субъекта персональных данных, а получить согласие невозможно; в медико-профилактических целях; для выполнения требований законодательства о безопасности. 3.2.6. В случае прекращения трудового договора, расторжения и/или исполнения гражданско-правового договора, прекращения образовательных отношений с субъектом персональных данных оператор (руководитель образовательного учреждения и (или) уполномоченное им лицо) незамедлительно прекращает обработку персональных данных соответствующих субъектов и уничтожает их персональные данные в срок, не превышающий тридцати рабочих дней с даты достижения цели обработки персональных данных. Уничтожение по достижении цели обработки не распространяется на документированную информацию, переданную на архивное хранение. 3.2.7. При использовании оператором (руководителем образовательного учреждения и (или) уполномоченным им лицом) типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, соблюдаются следующие условия: типовая форма содержит: сведения о цели обработки персональных данных без использования средств автоматизации; наименование и адрес школы; фамилию, имя, отчество и адрес субъекта персональных данных; источник получения персональных данных; сроки обработки персональных данных; перечень действий с персональными данными, которые будут совершаться в процессе их обработки; общее описание используемых способов обработки персональных данных; при необходимости получения письменного согласия на обработку персональных данных типовая форма предусматривает поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных без использования средств автоматизации; типовая форма составляется таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, мог ознакомиться со своими персональными данными, не нарушая прав и законных интересов иных субъектов персональных данных. 4. Хранение и использование персональных данных 4.1. Комплекс мер по обеспечению безопасности персональных данных в ОУ направлен на защиту персональных данных от неправомерного или случайного уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий. 4.2. Безопасность персональных данных при их обработке в ИСПДн обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы. 4.3. Порядок действий по защите персональных данных с использованием средств автоматизации и без таких средств определяет план мероприятий, утвержденный приказом руководителя ОУ. 4.4. При обработке персональных данных места хранения материальных носителей определяются в отношении каждой категории персональных данных. 4.4.1. Персональные данные работника размещаются в личной карточке работника формы Т2, которая заполняется после издания приказа о его приеме на работу. Личные карточки работников хранятся в специально оборудованных несгораемых шкафах в алфавитном порядке. 4.4.2. Персональные данные обучающегося размещаются в его личном деле, которое заполняется после издания приказа о зачислении в школу. Личные дела обучающихся формируются в папках классов, которые хранятся в специально оборудованных несгораемых шкафах. 4.4.3. В качестве места хранения персональных данных в бухгалтерии определена ГИС ЕИАСБУ (государственная информационная система СанктПетербурга «Единая информационно-аналитическая система бюджетного (бухгалтерского) учёта»). 4.4.4. Право доступа к личным данным работников и обучающихся имеют только оператор (руководитель образовательного учреждения и (или) уполномоченное им лицо) и лица, уполномоченные действующим законодательством. 4.4.5. Личные карточки уволенных работников хранятся в архиве образовательного учреждения в алфавитном порядке в течение 75 лет (ст. 339 «Перечня типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения», утвержденного Руководителем Федеральной архивной службы России 6 октября 2000 года). 4.5. В целях обеспечения безопасности персональных данных в качестве организационных и технических мер руководитель ОУ: назначает лицо, ответственное за организацию обработки персональных данных; определяет список лиц, допущенных к обработке персональных данных, в т. ч. при работе с документированной информацией, содержащей персональные данные; определяет места хранения материальных носителей персональных данных; устанавливает правила доступа к персональным данным, обрабатываемым в ИСПДн, а также обеспечивает регистрацию и учет всех действий, совершаемых с персональными данными в ИСПДн; контролирует эффективность мер, направленных на защиту персональных данных и ИСПДн согласно плану мероприятий по контролю в сфере информационной безопасности. Персональные данные работников и обучающихся хранятся на электронных носителях на сервере образовательного учреждения, а также на бумажных и электронных носителях у оператора (руководителя образовательного учреждения и (или) уполномоченного им лица). 4.6. При работе с персональными данными в целях обеспечения информационной безопасности необходимо, чтобы: оператор, осуществляющий работу с персональными данными, не оставлял в свое отсутствие компьютер незаблокированным; оператор имел свой персональный идентификатор и пароль, не оставлял его на рабочем месте и не передавал другим лицам. 4.7. Доступ к персональным данным работников без получения специального разрешения имеют: руководитель образовательного учреждения; заместитель директора, ответственный за работу с персональными данными; секретарь; специалист по кадрам (ответственный за ведение кадрового делопроизводства). 4.8. Доступ к персональным данным обучающегося без получения специального разрешения имеют: руководитель образовательного учреждения; заместители руководителя образовательного учреждения; секретарь учебной части; классные руководители (только к персональным данным обучающихся своего класса). 4.9. По письменному запросу, на основании приказа руководителя образовательного учреждения, к персональным данным работников и обучающихся могут быть допущены иные лица, в пределах своей компетенции. 4.10. Оператор (руководитель образовательного учреждения и (или) уполномоченное им лицо) при обработке персональных данных должен руководствоваться настоящим Положением и обязан использовать персональные данные работников и обучающихся лишь в целях, для которых они были предоставлены. 5. Передача персональных данных 5.1. Персональные данные работника (обучающегося) не могут быть сообщены третьей стороне без письменного согласия работника, обучающегося (родителей (законных представителей) несовершеннолетнего обучающегося до получения им основного общего образования), за исключением случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (обучающегося), а также в случаях, установленных федеральным законом. 5.2. Передача персональных данных работника (обучающегося) его представителям может быть осуществлена в установленном действующим законодательством порядке только в том объеме, который необходим для выполнения указанными представителями их функций. 6. Права субъектов персональных данных по обеспечению защиты их персональных данных 6.1. Работники и обучающиеся (родители (законные представители) несовершеннолетних обучающихся до получения ими основного общего образования) имеют право на полную информацию о своих персональных данных (персональных данных своих несовершеннолетних детей до получения ими основного общего образования) и их обработке, свободный бесплатный доступ к своим персональным данным (персональным данным своих несовершеннолетних детей до получения ими основного общего образования). Работники и обучающиеся (родители (законные представители) несовершеннолетних обучающихся до получения ими основного общего образования) могут потребовать исключить или исправить неверные, или неполные персональные данные, а также данные, обработанные с нарушением установленных требований. 6.2. Персональные данные оценочного характера работник и обучающийся (родители (законные представители) несовершеннолетнего обучающегося до получения им основного общего образования) имеет право дополнить заявлением, выражающим его собственную точку зрения. 7. Обязанности субъекта персональных данных по обеспечению достоверности его персональных данных 7.1. Для обеспечения достоверности персональных данных работники и обучающиеся (родители (законные представители) несовершеннолетних обучающихся до получения ими основного общего образования) обязаны предоставлять оператору (руководителю образовательного учреждения и (или) уполномоченному им лицу) сведения о себе (своих несовершеннолетних детях до получения ими основного общего образования). 7.2. В случае изменения сведений, составляющих персональные данные, необходимые для заключения трудового договора работник обязан в течение 10 рабочих дней сообщить об этом оператору (руководителю образовательного учреждения и (или) уполномоченному им лицу). 7.3. В случае изменения сведений, составляющих персональные данные совершеннолетнего обучающегося, он обязан в течение месяца сообщить об этом оператору (руководителю образовательного учреждения и (или) уполномоченному им лицу). 7.4. В случае изменения сведений, составляющих персональные данные обучающегося, родители (законные представители)несовершеннолетнего обучающегося до получения им основного общего образования) обязаны в течение месяца сообщить об этом оператору (руководителю образовательного учреждения и (или) уполномоченному им лицу). 7.5. Предоставление работнику (обучающемуся) гарантий и компенсаций, предусмотренных действующим законодательством, осуществляется с момента предоставления соответствующих сведений, если иное не предусмотрено действующим законодательством. 8. Ответственность за нарушение настоящего положения 8.1. За нарушение порядка обработки (сбора, хранения, использования, распространения и защиты) персональных данных должностное лицо несет административную ответственность (на основании ст. 13.11 «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» Кодекса РФ об административных правонарушениях). 8.2. За нарушение правил хранения и использования персональных данных, повлекшее за собой материальный ущерб работодателю, работник несет материальную ответственность (на основании ст. 238 «Материальная ответственность работника за ущерб, причиненный работодателю» и ст.241 «Пределы материальной ответственности работника» Трудового кодекса РФ). 8.3. Материальный ущерб, нанесенный работнику за счет ненадлежащего хранения и использования персональных данных, подлежит возмещению в полном объеме (ст. 235 «Материальная ответственность работодателя за ущерб, причиненный имуществу работника» Трудового кодекса РФ), а моральный — в форме и размерах, определенных трудовым договором (ст. 237 «Возмещение морального вреда, причиненного работнику» Трудового кодекса РФ). 8.4. Оператор (руководитель образовательного учреждения и (или) уполномоченные им лица) вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных лишь обработку следующих персональных данных: относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения (работникам); полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных (обучающийся, подрядчик, исполнитель и т.п.), если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных; являющихся общедоступными персональными данными; включающих в себя только фамилии, имена и отчества субъектов персональных данных; необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях; • включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка; обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных. Во всех остальных случаях оператор (руководитель образовательного учреждения и (или) уполномоченные им лица) обязан направить в уполномоченный орган по защите прав субъектов персональных данных соответствующее уведомление (ч. 3 ст. 22 Федерального закона «О защите персональных данных»). Пронумеровано, прошнуровано и скреплено печатью -fО (. ejyiOjtrob)____________лист