Положение о порядке хранения и защиты персональных данных пользователей

ПОЛИТИКА
муниципального учреждения дополнительного образования
«Центр внешкольной работы»
в отношении обработки и защиты персональных данных

1. Общие положения.
1.1.В целях выполнения норм федерального законодательства в области обработки
персональных данных субъектов персональных данных муниципальное учреждение дополнительного образования «Центр внешкольной работы» (далее – Оператор, ЦВР) считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.
1.2. Настоящая политика в отношении обработки и защиты персональных данных в ЦВР (далее - Политика) характеризуется следующими признаками:
1.2.1. Раскрывает основные категории персональных данных, обрабатываемых Оператором, цели, способы и принципы обработки персональных данных, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых в целях обеспечения безопасности персональных данных при их обработке.
1.2.2. Политика декларирующая концептуальные основы деятельности Оператора при обработке персональных данных является общедоступным документом, размещается на официальном сайте учреждения - http://cvrol.edu-region.ru.
1.3. Политика разработана с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных, включая требования Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
1.4. Политика действует бессрочно после утверждения и до ее замены новой версией.
2. Понятия.
2.1. Основные понятия, используемые в Политике:
персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
оператор персональных данных (оператор) - муниципальное учреждение дополнительного образования «Центр внешкольной работы» (далее – ЦВР), самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных - любое действие (операция) или совокупность
действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
3. Информация об Операторе.
Полное официальное наименование: муниципальное учреждение дополнительного образования «Центр внешкольной работы».
Официальное сокращенное наименование: ЦВР.
ИНН: 5190187040
Фактический адрес: Российская Федерация, 184536, Мурманская обл., г. Оленегорск, ул. Бардина, д.52, ул. Ферсмана, д.15
Телефон, факс: 8 (815 52) 57440
4. Цели обработки персональных данных.
4.1. Оператор обрабатывает персональные данные исключительно в следующих целях: обработка персональных данных субъектов, с которыми связывают оператора трудовые отношения; обработка персональных данных субъектов-участников образовательного процесса; обработка персональных данных субъектов, оказывающих услуги Оператору по договорам.
5. Правовые основания обработки персональных данных.
5.1. Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами Российской Федерации: Конституция Российской Федерации, Трудовой кодекс Российской Федерации, Федеральным законом от 24.07.2009 № 212-ФЗ «О страховых взносах в Пенсионный фонд Российской федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования», Федеральным законом от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации», Законом Российской федерации от 07.02.1992 № 2300-1 «О защите прав потребителей»; Федеральный закон 152-ФЗ «О персональных данных»; Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информатизации и защите информации», Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Законом Мурманской области от 28.06.2013 года № 1649-01-ЗМО «Об образовании в Мурманской области»; Приказом Министерства образования и науки Российской Федерации от 29.08.2013 № 1008 «Об утверждении порядка организации и осуществления образовательной деятельности по дополнительным общеобразовательным программам»; Положением о персональных данных работников, учащихся, их родителей (законных представителей) и иных категорий субъектов персональных данных муниципального учреждения дополнительного образования «Центр внешкольной работы», утвержденным приказом директора от 10.01.2018 №9.
5.2. Политика Оператора в области обработки персональных данных также определяется в соответствии: должностными обязанностями, договорами на обучение за счет физических лиц, согласием на обработку персональных данных.
6. Объем и категории обрабатываемых персональных данных,
категории субъектов персональных данных.
6.1. Категории субъектов персональных данных, обрабатываемых в ЦВР работники, состоящие в трудовых отношениях с Оператором, учащиеся и их родители (законные представители), физические лица, являющиеся участниками олимпиад, конкурсов и иных мероприятий, которые организует ЦВР; физические лица, ранее состоявшие в трудовых отношениях с Оператором, граждане, подавшие запрос через официальный сайт ЦВР, муниципальное автономное учреждение «Многофункциональный центр предоставления государственных и муниципальных услуг» (далее - МФЦ).
6.2. Категории персональных данных, обрабатываемых Оператором: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, данные документа удостоверяющего личность гражданина (паспорт/свидетельство о рождении), адрес фактического или временного проживания, место учебы (ОО, класс/группа), семейное положение, социальное положение, образование, профессия, состояние здоровья, гражданство, фотография, контактный телефон, должность, сведения о составе семьи, пол, сведения о дипломе, данные свидетельства о заключении/расторжении брака, свидетельства о рождении детей, данные содержащиеся в трудовой книжке, сведения о льготах, сведения о воинском учете, сведения о временной нетрудоспособности работника, сведения о лицевом счете банковской карты, сведения о судимости, сведения о наградах и почетных званиях, сведения о повышении квалификации и прохождении аттестации, место работы, номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС) индивидуальный номер налогоплательщика (ИНН).
6.3. Оператор осуществляет обработку персональных данных, касающиеся состояния здоровья работника на основании приказа Минздравсоцразвития от 12.04.2011 года № 302н. Эти данные относятся к специальным категориям персональных данных и обрабатываются в соответствии с установленным законодательством и иными нормативными правовыми актами требованиями.
6.4. Содержание и объем обрабатываемых Оператором персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6.5. В случаях, предусмотренных действующим законодательством, субъект персональных данных принимает решение о предоставлении его персональных данных Оператору и дает согласие на их обработку свободно, своей волей и в своем интересе.
7. Порядок и условия обработки персональных данных.
7.1. При обработке персональных данных Оператор осуществляет следующие действия с персональными данными: сбор, хранение, уточнение (обновление, изменение), систематизация, накопление, использование, распространение (в том числе передача), блокирование, уничтожение.
7.2. Обработка персональных данных в ЦВР осуществляется следующими способами: неавтоматизированная обработка персональных данных (на бумажных носителях); автоматизированная обработка персональных данных в т.ч. с передачей и без передачи по сети Интернет; смешанная обработка персональных данных.
8. Конфиденциальность персональных данных.
8.1. Оператор, руководствуясь ст.7 закона № 152 ФЗ «О персональных данных» соблюдает требования конфиденциальности персональных данных (Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом).
9.Основные принципы обработки, передачи и хранения
персональных данных.
9.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона 152-ФЗ «О персональных данных».
9.2. Оператор не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
9.3. Оператор не выполняет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
9.4. Оператор не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.
9.5. Оператором созданы общедоступные источники персональных данных (официальный сайт учреждения). Персональные данные, сообщаемые субъектом (фамилия, имя, отчество, год и место рождения, адрес, номер телефона, сведения о профессии и др.), включаются в такие источники только с письменного согласия субъекта персональных данных.
9.6. Обработка персональных данных Оператором осуществляется на основе следующих принципов: обработка персональных данных осуществляется на законной и справедливой основе; обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных; обработке подлежат только те персональные данные, которые отвечают целям их обработки; содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки; при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки.
9.7. Сроки хранения персональных данных субъектов персональных данных в ЦВР установлены на основании Приказа Министерства культуры РФ от 25 августа 2010 года № 558 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения» а также на основании Правил приема граждан в ЦВР утвержденных приказом от 10.01.2018 года № 9. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
9.8. Условием прекращения обработки персональных данных может являться: достижение целей обработки персональных данных, отзыв согласия субъекта персональных данных на обработку его персональных данных, выявление неправомерной обработки персональных данных.
10. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.
10.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных с момента такого обращения или получения указанного запроса на период проверки.
10.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
10.3. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
10.4. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных уничтожает такие персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
10.5. В случае достижения цели обработки персональных данных Оператор прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных.
10.6. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор прекращает их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва.
10.7. В случае отсутствия возможности уничтожения персональных данных в течение установленного срока Оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
10.8. В учреждении ведется журнал Учета обращений субъектов персональных данных о выполнении их законных прав в области защиты персональных данных. Субъект персональных данных вправе по письменному запросу, направленному Оператору получить информацию об обработке его персональных данных.
11.Сведения о третьих лицах, участвующих в обработке
персональных данных.
11.1. В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Оператор в ходе своей деятельности предоставляет персональные данные следующим организациям: Федеральной налоговой службе Российской Федерации; Пенсионному фонду Российской Федерации; ПАО «Сбербанк России»; Фонду социального страхования Российской Федерации.
12. Меры по обеспечению безопасности персональных данных
при их обработке.
12.1. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
12.1.1. Назначением ответственных за организацию обработки персональных данных.
12.1.2. Осуществлением внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам.
12.1.3. Ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных.
12.1.5. Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных.
12.1.6. Выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер.
12.1.7. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
12.1.8. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
12.2. Должностные лица, осуществляющие обработку и защиту персональных данных определены в приказах учреждения.

13.Права субъектов персональных данных.
13.1. В соответствии с №152-ФЗ «О персональных данных» субъект персональных данных имеет право:
13.1.1. Получить сведения, касающиеся обработки персональных данных Оператором, а именно: подтверждение факта обработки персональных данных Оператором; правовые основания и цели обработки персональных данных; цели и применяемые Оператором способы обработки персональных данных; наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные; обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения; сроки обработки персональных данных, в том числе сроки их хранения; порядок осуществления субъектом персональных данных прав, предусмотренных №152-ФЗ «О персональных данных»; фамилию, имя, отчество лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу; иные сведения, предусмотренные №152-ФЗ «О персональных данных» или другими федеральными законами.
13.1.2. Потребовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
13.1.3. Заявить возражение против принятия в отношении себя решений, порождающих юридические последствия на основе исключительно автоматизированной обработки персональных данных.
13.1.4. Отозвать согласие на обработку его персональных данных, направив Оператору письменное уведомление об отзыве согласия на обработку его персональных данных. В таком случае Оператор прекращает обработку персональных данных субъекта персональных данных и в срок, не превышающий 30 дней с даты поступления вышеуказанного отзыва, уничтожает персональные данные субъекта персональных данных, за исключением тех персональных данных, сохранение которых, требуется для целей обработки персональных данных в соответствии с законодательством Российской Федерации.
13.2. Субъект персональных данных вправе требовать исключения его персональных данных из общедоступных источников (официальный сайт учреждения). Оператор обязан незамедлительно исключить данные субъекта из общедоступных источников с даты получения соответствующего запроса.
13.3. Субъект персональных данных может в любой момент изменить (обновить, дополнить) предоставленные им персональные данные или их часть путем направления запроса Оператору.
13.4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами РФ.
13.5. Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору. Тот рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
13.6. Субъект персональных данных вправе обжаловать действия или бездействие
Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.
13.7. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

14. Заключительные положения.
14.1. Настоящая Политика обязательна для соблюдения и подлежит доведению до всех сотрудников ЦВР.
14.2. Оператор имеет право вносить изменения в настоящую Политику.
14.3. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее утверждения и размещения на сайте Оператора, если иное не предусмотрено новой редакцией Политики.