1. Общие положения
1.1.Настоящее Положение о защите персональных данных обучающихся (далее-Положение) разработано с целью защиты информации, относящейся к личности и личной жизни обучающихся ООО «ИНФАРМАТИС» (далее - Организация), в соответствии со статьей 24 Конституции Российской Федерации, Федеральными законами от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и от 27 июля 2006 года № 152-ФЗ «О персональных данных», а также Письмом Рособразования Министерства образования Российской Федерации руководителям учреждений, подведомственным Рособразованию №17-110 от 29.07.2009 года «Об обеспечении защиты персональных данных».
1.2. Положение является локальным нормативным актом Организации, утверждено приказом руководителя, его действие распространяется на всех обучающихся.
1.3. Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата рождения, адрес, образование, профессия, СНИЛС, паспортные данные.
1.4. Персональные данные обучающихся - информация, необходимая Организации в связи с отношениями, возникающими между обучающимся и Организацией.
1.5. Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
1.6. Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно- телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
1.7. Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
1.8. Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
1.9. К персональным данным обучающихся, получаемым Организацией и подлежащим хранению в порядке, предусмотренном действующим законодательством и настоящим Положением, относятся следующие сведения:
- данные, удостоверяющие личность обучающегося (паспортные данные);
- данные о месте проживания;
- документы об образовании;
- страховой номер индивидуального лицевого счета гражданина в системе индивидуального (персонифицированного) учета (СНИЛС).
2. Основные условия проведения обработки персональных данных
2.1. Организация определяет объем, содержание обрабатываемых персональных данных работников и обучающихся, руководствуясь Конституцией Российской Федерации, Законом РФ от 29.12.2012 № 273 «Об образовании» и иными федеральными законами.
2.2. Обработка персональных данных обучающегося осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов; содействия обучающимся в обучении, обеспечения их личной безопасности; контроля качества обучения и обеспечения сохранности имущества.
2.3. Все персональные данные обучающегося предоставляются обучающимся, за исключением случаев, предусмотренных федеральным законом. Организация должен сообщить обучающемуся о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа обучающегося дать письменное согласие на их получение.
2.4. Организация не имеет права получать и обрабатывать персональные данные обучающегося о его политических, религиозных и иных убеждениях и частной жизни без письменного согласия обучающегося, не имеет права получать и обрабатывать персональные данные обучающегося о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
2.5. Организация вправе осуществлять сбор, передачу, уничтожение, хранение, использование информации о политических, религиозных, других убеждениях и частной жизни, а также информации, нарушающей тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений работника и (или) обучающегося только с его письменного согласия или на основании судебного решения.
3.Хранение и использование персональных данных
3.1. Персональные данные обучающихся Организации хранятся на бумажных и электронных носителях, в специально предназначенных для этого помещениях.
3.2. В процессе хранения персональных данных обучающихся Организации должны обеспечиваться:
- требования нормативных документов, устанавливающих правила хранения конфиденциальных сведений;
- сохранность имеющихся данных, ограничение доступа к ним, в соответствии с законодательством Российской Федерации и настоящим Положением;
- контроль за достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.
3.3. Доступ к персональным данным обучающихся в Организации имеют:
- руководитель;
- иные работники, определяемые приказом руководителя Организации в пределах своей компетенции.
3.4. Помимо лиц, указанных в п. 3.3. настоящего Положения, право доступа к персональным данным обучающихся имеют только лица, уполномоченные действующим законодательством.
3.5. Лица, имеющие доступ к персональным данным обязаны использовать персональные данные обучающихся лишь в целях, для которых они были предоставлены.
3.6. Ответственным за организацию и осуществление хранения персональных данных обучающихся в Организации является руководитель Организации.
3.7. Персональные данные обучающегося отражаются в отчетной документации Организации, которое оформляется после издания приказа о его зачислении в Организацию
Данные по обучающимся формируются в папках учебных групп, которые хранятся в специально оборудованных шкафах.
4.Передача персональных данных
4.1. При передаче персональных данных обучающихся в другим юридическим и физическим лицам Организация должна соблюдать следующие требования:
4.1.1. Персональные данные обучающегося не могут быть сообщены третьей стороне без письменного согласия обучающегося, за исключением случаев, когда это необходимо для предупреждения угрозы жизни и здоровью обучающегося, а также в случаях, установленных федеральным законом.
4.1.2. Лица, получающие персональные данные обучающегося должны предупреждаться о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены. Организация должен требовать от этих лиц подтверждения того, что это правило соблюдено.
4.2.Передача персональных данных обучающегося его представителям может быть осуществлена в установленном действующим законодательством порядке только в том объеме, который необходим для выполнения указанными представителями их функций.
5. Права обучающихся на обеспечение защиты персональных данных
5.1.В целях обеспечения защиты персональных данных, хранящихся в Организации обучающиеся имеют право:
5.1.1. Получать полную информацию о своих персональных данных и их обработке.
5.1.2. Свободного бесплатного доступа к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные обучающегося за исключением случаев, предусмотренных федеральными законами. Получение указанной информации о своих персональных данных возможно при личном обращении обучающегося - к руководителю, ответственному за организацию и осуществление хранения персональных данных обучающихся.
5.1.3. Требовать об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований действующего законодательства. Указанное требование должно быть оформлено письменным заявлением обучающегося на имя руководителя Организации.
При отказе руководителя исключить или исправить персональные данные обучающегося, обучающийся имеет право заявить в письменном виде руководителя Организации о своем несогласии, с соответствующим обоснованием такого несогласия.
Персональные данные оценочного характера обучающийся имеет право дополнить заявлением, выражающим его собственную точку зрения.
5.1.4.Требовать об извещении Организацией всех лиц, которым ранее были сообщены неверные или неполные персональные данные обучающегося обо всех произведенных в них исключениях, исправлениях или дополнениях.
5.1.5.Обжаловать в суде любые неправомерные действия или бездействия Организации при обработке и защите его персональных данных.
6. Обязанности субъекта персональных данных по обеспечению достоверности его персональных данных
6.1. В целях обеспечения достоверности персональных данных обучающиеся обязаны:
6.2.1. При приеме в Организацию представлять уполномоченным работникам Организации достоверные сведения о себе.
6.2.2. В случае изменения сведений, составляющих персональные данные обучающегося, он обязан в течение 10 дней сообщить об этом уполномоченному работнику Организации.
7. Ответственность за нарушение настоящего Положения
7.1. За нарушение порядка обработки (сбора, хранения, использования, распространения и защиты) персональных данных должностное лицо несет административную ответственность в соответствии с действующим законодательством.
7.2. За нарушение правил хранения и использования персональных данных, повлекшее за собой материальный ущерб Организации, работник несет материальную ответственность в соответствии с действующим трудовым законодательством.
7.3. Материальный ущерб, нанесенный субъекту персональных данных за счет ненадлежащего хранения и использования персональных данных, подлежит возмещению в порядке, установленном действующим законодательством.
7.4. Организация вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных лишь обработку следующих персональных данных:
- полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных (обучающийся и др.), если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
- являющихся общедоступными персональными данными;
- включающих в себя только фамилии, имена и отчества субъектов персональных данных;
- необходимых в целях однократного пропуска субъекта персональных данных на территорию Организации или в иных аналогичных целях;
- включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных. Во всех остальных случаях оператор (директор Организации и (или) уполномоченные им лица) обязан направить в уполномоченный орган по защите прав субъектов персональных данных соответствующее уведомление.
8. Заключительные положения
8.1. Настоящее положение вступает в силу с даты принятия, согласования и утверждения руководителем Организации.