1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Целью настоящего Положения является обеспечение защиты персональных данных работников и обучающихся АНО ДПО «СИИМЕД» от несанкционированного доступа, неправомерного их использования или утраты.
1.2. Настоящее положение устанавливает порядок сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, распространения (в том числе передачи), обезличивания, блокирования, уничтожения документов, содержащих сведения, отнесенные к персональным данным работников и обучающихся в АНО ДПО «СИИМЕД» с использованием средств автоматизации и/или без использования таких средств.
1.3. Основанием для разработки настоящего Положения являются Конституция РФ, Трудовой кодекс РФ, Федеральный закон РФ «О персональных данных» № 152-ФЗ от 27.07.2006 г., Федеральный закон РФ «Об информации, информационных технологиях и о защите информации» № 149-ФЗ от 27.07.2006 г., Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановление Правительства РФ от 16.04.2003 № 225 «О трудовых книжках», Постановление Минтруда РФ от 10.10.2003 № 69 «Об утверждении инструкции по заполнению трудовых книжек», Устав АНО ДО «СИИМЕД».
1.4. Настоящее Положение утверждается и вводится в действие приказом ректора и является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным работников и обучающихся в АНО ДПО «СИИМЕД». Все работники АНО ДПО «СИИМЕД» должны быть ознакомлены под подпись с настоящим положением и изменениями к нему.
1.5. В целях настоящего Положения используются следующие термины:
Субъект персональных данных – физическое лицо, к которому относятся соответствующие персональные данные. Основными категориями субъектов персональных данных в АНО ДО «СИИМЕД » являются работники организации и физические лица, осваивающие дополнительные образовательные программы АНО ДО «СИИМЕД» на основании договоров на платное предоставление образовательных услуг (обучающиеся).
Персональные данные работников и обучающихся у Оператора – любая информация, относящаяся прямо или косвенно к определенному или определяемому работнику, состоящему в трудовых (договорных) отношениях с АНО ДПО «СИИМЕД», близким родственникам работника организации, лицам, участвующим в конкурсах на замещение вакантных должностей; обучающимся, отношения с которыми основаны на реализации их права на получение дополнительного профессионального и (или) дополнительного образования на платной договорной основе с АНО ДПО «СИИМЕД».
Оператор – АВТОНОМНАЯ НЕКОММЕРЧЕСКАЯ ОРГАНИЗАЦИЯ ДОПОЛНИТЕЛЬНОГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ «СИБИРСКИЙ ИНСТИТУТ ИНТЕГРАТИВНОЙ МЕДИЦИНЫ «ЛИ ВЕСТ» (АНО ДО «СИИМЕД»), ОГРН 1135476178936, адрес: 630091, г. Новосибирск, ул. Ермак, д. 3, офис 5, осуществляющее согласно уставу образовательную деятельность в области традиционных систем оздоровления по программам дополнительного образования, а также кадровое и иное обеспечение своей деятельности, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации и/или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Конфиденциальность персональных данных - нормативно установленные правила, определяющие ограничения доступа, передачи и условия хранения персональных данных.
2. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Субъект персональных данных имеет право на:
- - дачу согласия на обработку своих персональных данных и/или отзыв такого согласия;
- - доступ к его персональным данным, то есть на полную информацию о своих персональных данных и об обработке этих данных;
- - требование об уточнении, блокировании или уничтожении неполных, устаревших, неточных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки;
- - принятие предусмотренных законом мер по защите своих прав, в том числе право обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
- - осуществление иных прав, предусмотренных федеральным законодательством в сфере защиты персональных данных.
2.2. Субъект персональных данных имеет право получать от Оператора информацию, касающуюся обработки его персональных данных, в том числе содержащую:
- 2.2.1. подтверждение факта обработки персональных данных оператором;
- 2.2.2. правовые основания и цели обработки персональных данных;
- 2.2.3. цели и применяемые оператором способы обработки персональных данных;
- 2.2.4. наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
- 2.2.5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- 2.2.6. сроки обработки персональных данных, в том числе сроки их хранения;
- 2.2.7. порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
- 2.2.8. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- 2.2.9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
- 2.2.10. иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
- 2.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
- 2.3.1. обработка персональных данных, включая персональные данные, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
- 2.3.2. обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
- 2.3.3. обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
- 2.3.4. доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
- 2.3.5. обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
2.4. Субъект персональных данных обязуется:
- предоставлять Оператору персональные данные, соответствующие действительности.
2.5. Обязанности Оператора:
- 2.5.1. При сборе персональных данных предоставить субъекту персональных данных по его просьбе информацию, предусмотренную п.2.2 настоящего Положения, частью 7 статьи 14 Федерального закона «О защите персональных данных»;
- 2.5.2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные;
- 2.5.3. Если персональные данные получены не от субъекта персональных данных, за исключением случаев, предусмотренных законодательством, до начала обработки таких персональных данных предоставить субъекту персональных данных следующую информацию:
- - наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
- - цель обработки персональных данных и ее правовое основание;
- - предполагаемые пользователи персональных данных;
- - установленные настоящим Федеральным законом права субъекта персональных данных;
- - источник получения персональных данных.
- Оператор освобождается от обязанности предоставить субъекту персональных данных такие сведения в случаях, если:
- - субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
- - персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
- - персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
- - оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
- - предоставление субъекту персональных данных сведений, предусмотренных п.2.5.3, нарушает права и законные интересы третьих лиц.
- 2.5.4. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных федеральным законодательством.
- 2.5.5. В установленном порядке сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными.
- 2.5.6. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
- 2.5.7. Оператор обязан устранять нарушения законодательства, допущенные при обработке персональных данных, выполнять обязанности по уточнению, блокированию и уничтожению персональных данных в установленных законом случаях.
3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Обработка персональных данных осуществляется АНО ДПО «СИИМЕД» в целях:
- - осуществления образовательной деятельности в области различных традиционных систем оздоровления по программам дополнительного образования взрослых, в том числе дополнительного профессионального образования для специалистов со среднеспециальным и высшим медицинским образованием;
- - проведения научно-методической, консультационной работ;
- - оформления трудовых и иных договорных отношений;
- - ведения кадрового, бухгалтерского, налогового учета;
- - организации и проведения маркетинговых и/или рекламных акций, исследований, опросов и иных мероприятий для продвижения услуг АНО ДО «СИИМЕД» на рынке путем осуществления прямых контактов с клиентами с помощью различных средств связи, в т.ч., но не ограничиваясь: по телефону, электронной почте, почтовой рассылке, в сети Интернет.
4. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью АНО ДО «СИИМЕД»:
- - Конституция Российской Федерации
- - Трудовой кодекс Российской Федерации
- - Гражданский кодекс Российской Федерации
- - Налоговый кодекс Российской Федерации
- - Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
- - Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
- - Постановление Правительства РФ от 27.11.2006 № 719 «Об утверждении Положения о воинском учете»
- - Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
- - Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
- - Постановление Правительства РФ от 16.04.2003 № 225 «О трудовых книжках»
- - Постановление Минтруда РФ от 10.10.2003 № 69 «Об утверждении инструкции по заполнению трудовых книжек»
- - Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»,
- - Приказ Минобрнауки России от 29.08.2013 № 1008 «Об утверждении Порядка организации и осуществления образовательной деятельности по дополнительным общеобразовательным программам»
- - Приказ Минобрнауки России от 01.07.2013 N 499 "Об утверждении Порядка организации и осуществления образовательной деятельности по дополнительным профессиональным программам"
4.2. Устав АНО ДПО "СИИМЕД", утвержденный Протоколом заседания членов Правления от «10» февраля 2015г.
4.3. Лицензия на осуществление образовательной деятельности от «16» апреля 2014 г. № 8470, выданная Министерством образования, науки и инновационной политики Новосибирской области;
4.4. Договоры, заключаемые между оператором и субъектами персональных данных;
4.5. Согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством, но соответствующих полномочиям оператора).
5. КАТЕГОРИИ СУБЪЕКТОВ ПЕРОСНАЛЬНЫХ ДАННЫХ, ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. В соответствии с целями обработки персональных данных, указанных в разделе 3 настоящего Положения, осуществляется обработка персональных данных следующих категорий субъектов:
- - Сотрудники организации, состоящие в трудовых (договорных) отношениях с АНО ДПО "СИИМЕД".
- - Обучающиеся, физические лица, состоящие в договорных и иных гражданско-правовых отношениях с АНО ДПО "СИИМЕД"
5.2. При поступлении на работу кандидат на замещение вакантной должности заполняет анкету, в которой указывает следующие сведения о себе:
- - Ф.И.О.;
- - пол;
- - дата рождения;
- - семейное положение;
- - наличие детей, их даты рождения;
- - воинская обязанность;
- - место жительства и контактный телефон;
- - образование, специальность;
- - стаж работы по специальности;
- - предыдущее(ие) место(а) работы;
- - сведения о трудовом, страховом, специальном (научно-педагогическом, медицинском) и общем стаже;
- - факт прохождения курсов повышения квалификации;
- - наличие грамот, благодарностей.
5.3. При заключении трудового договора лицо, поступающее на работу, предъявляет документы, предусмотренные статьей 65 Трудового кодекса РФ.
5.4. Работник обязан предоставлять Оператору достоверные сведения о себе и в срок, не превышающий 5 рабочих дней с момента получения документа с новыми персональными данными, сообщать ему об изменении своих персональных данных. Оператор имеет право проверять достоверность сведений, предоставленных работником, сверяя данные, предоставленные работником, с имеющимися у работника документами.
5.5. В состав персональных данных обучающегося входят:
- - фамилия, имя, отчество;
- - паспортные данные;
- - сведения об образовании;
- - адрес места жительства;
- - контактный телефон;
- - адрес электронной почты;
- - содержание договора на обучение;
- - сведения об успеваемости;
- - данные об инвалидности;
- - сведения о денежных средствах, внесенных за обучение;
- - сведения о результатах обучения.
5.6. При заключении договора на оказание платных образовательных услуг обучающийся представляет Оператору достоверные сведения. Оператор вправе проверять достоверность представленных сведений.
5.7. Бумажные носители, являющиеся источником персональных данных:
- - паспорт или иной документ, удостоверяющий личность;
- - трудовая книжка;
- - страховое свидетельство государственного пенсионного страхования;
- - свидетельство о постановке на учет в налоговый орган и присвоении ИНН;
- - документы воинского учета;
- - документы об образовании, о квалификации или наличии специальных знаний или специальной подготовки;
- - личная карточка формы Т-2;
- - личные дела работников;
- - личные дела обучающихся;
- - листки нетрудоспособности;
- - журнал учета листков нетрудоспособности;
- - другие бухгалтерские документы.
6. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Обработка персональных данных должна осуществляться на основе принципов:
- - законности целей и способов обработки персональных данных и добросовестности;
- - соответствия целей обработки персональных конкретным, заранее определенным и заявленным, законным целям, а также полномочиям АНО ДО «СИИМЕД»;
- - соответствия объема и содержания обрабатываемых персональных данных, способов обработки персональных данных заявленным целям обработки персональных данных;
- - достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- - недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в несовместимых между собой целях;
- - обеспечения точности и достаточности, актуальности персональных данных к целям их обработки, удаления или уточнения неполных или неточных данных;
- - хранения персональных данных в течение срока, установленного законом или договором либо не дольше, чем этого требуют цели обработки.
6.2. Оператор вправе обрабатывать персональные данные субъектов персональных данных только с их письменного согласия (Приложение № 1 и Приложение № 2), кроме случаев указанных в п. 6.3. Положения.
6.3. Обработка персональных данных субъектов персональных данных возможна без их согласия в случаях, предусмотренных федеральным законодательством, в частности:
- - обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия работодателя;
- - обработка персональных данных в целях исполнения трудового договора или иного договора, стороной либо выгодоприобретателем по которому является субъект персональных данных;
- - обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
- - обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов сотрудника или обучающегося, если получение его согласия невозможно;
- - обработка персональных данных необходима в связи с участием лица в гражданском, административном, уголовном, арбитражном судопроизводстве или для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством об исполнительном производстве;
- - осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
6.4. Персональные данные относятся к категории конфиденциальной информации. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
6.5. Доступ к персональным данным работников без специального разрешения имеют работники, занимающие в АНО ДО «СИИМЕД» следующие должности:
- - ректор;
- - главный бухгалтер;
- - кадровые работники;
- - руководители структурных подразделений (заместители руководителей структурных подразделений) – в отношении персональных данных работников возглавляемых ими структурных подразделений.
- Доступ к персональным данным обучающихся без специального разрешения имеют работники, занимающие в организации следующие должности:
- - ректор;
- - главный бухгалтер, работники бухгалтерии;
- - деканы факультетов/директора институтов (заместители деканов/директоров институтов) – в отношении персональных данных обучающихся на соответствующих факультетах/институтах;
- - юристы.
6.6. Перечень действий, осуществляемых с персональными данными субъектов персональных данных АНО ДО «СИИМЕД»: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Трансграничная передача персональных данных АНО ДПО «СИИМЕД» не осуществляется.
6.7. АНО ДПО «СИИМЕД» осуществляет обработку персональных данных следующими способами: с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях и(или) без использования средств автоматизации.
6.8. При обработке персональных данных АНО ДПО «СИИМЕД» применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных».
Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения таких обязанностей.
В АНО ДПО «СИИМЕД» к таким мерам относятся:
- - Назначение ответственного за организацию обработки персональных данных;
- - Принятие локальных нормативных актов, устанавливающих порядок обработки персональных данных, процедуры, направленные на выявление и предотвращение нарушений законодательства в сфере защиты персональных данных;
- - Периодическое ознакомление работников, непосредственно осуществляющих обработку персональных данных с положениями законодательства о персональных данных, локальными актами Оператора в этой области.
- - Информация на бумажных носителях хранится в соответствии с законодательством РФ об архивном деле.
- - Наличие сейфов, пожарно-охранной сигнализации, на окнах установлены металлические решетки, кабинет, в котором находятся бумажные носители и компьютер, закрывается на ключ, доступ посторонних лиц в него ограничен.
- - Информация на компьютере защищена системой паролей.
- - Наличие антивирусной программы.
- - Обеспечен неограниченный доступ к документу, определяющему политику Оператора в отношении обработки персональных данных;
- - Осуществление внутреннего контроля и/или аудита соответствия обработки персональных данных требованиям к защите персональных данных, локальным актам АНО ДПО «СИИМЕД». Проверки осуществляются ответственным за организацию обработки персональных данных либо комиссией, образуемой руководителем АНО ДПО «СИИМЕД». О результатах проведения проверки и мерах, необходимых для устранения выявленных нарушений, ответственный за организацию обработки персональных данных докладывает руководителю АНО ДПО «СИИМЕД».
6.9. Документы, содержащие персональные данные работника (обучающегося) составляют его личное дело.
Личное дело работника в обязательном порядке включает личную карточку формы Т-2. Личное дело хранится уполномоченным лицом на бумажных носителях, и дополнительно может храниться в виде электронных документов. Личное дело пополняется на протяжении всей трудовой деятельности работника. Срок обработки персональных данных работников, в том числе срок их хранения - на период трудовых отношений с работодателем, а также после прекращения трудового договора в архивных целях на срок, предусмотренный федеральным законом от 22.10.2004г. № 125-ФЗ «Об архивном деле в Российской Федерации».
Личное дело обучающегося в обязательном порядке включает в себя все распоряжения и приказы, касающиеся обучающегося, все заявления обучающегося, иные документы, связанные с образовательными отношениями между обучающимся и АНО ДО «СИИМЕД». Личное дело пополняется на протяжении всего периода обучения. Срок обработки персональных данных обучающихся, в том числе срок их хранения - на весь период действия Договора оказания платных образовательных услуг, а также после его прекращения на срок, предусмотренный федеральным законом от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации».
Условием прекращения обработки персональных данных также может являться достижение целей обработки, истечение срока согласия на обработку персональных данных, его отзыв, выявление неправомерной обработки персональных данных.
6.10. Хранение персональных данных работников (обучающихся) осуществляется в порядке, исключающем к ним доступ третьих лиц.
6.11. Личные дела, кадровые и бухгалтерские документы, содержащие персональные сведения, должны храниться в бумажном виде в папках и находиться в сейфе или в несгораемом шкафу, которые запираются на ключ. Персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков). Не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Персональные данные работника и финансовая информация, относящаяся к персональным сведениям, может также храниться в электронном виде в отдельно стоящем компьютере. Кабинет, в котором находится компьютер, должен закрываться на ключ. Доступ к электронным базам данных, содержащим персональные данные работников, обеспечиваются системой паролей. Пароли формируются ректором и сообщаются индивидуально работникам, имеющим доступ к электронной базе персональных данных. Пароли изменяются не реже одного раза в полгода. После увольнения работника документы, содержащие его персональные данные, хранятся в организации в течение сроков, установленных архивным законодательством.
6.12. Персональные данные обучающихся хранятся по месту нахождения ректора, в бухгалтерии. Документы, содержащие персональные данные, хранятся в бумажном виде в папках и должны находиться в сейфе или в несгораемом шкафу, которые запираются на ключ. Персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков). Не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Персональные данные обучающихся могут также храниться в электронном виде в отдельно стоящем компьютере. Кабинет, в котором находится компьютер, должен закрываться на ключ. Доступ к электронным базам данных, содержащим персональные данные обучающихся, обеспечивается системой паролей. Пароли формируются ректором и сообщаются индивидуально. Пароли изменяются не реже одного раза в полгода.
6.13. Работники Оператора, имеющие доступ к персональным данным работников (обучающихся) в соответствии с п.3.3. настоящего Положения, имеют право получать только те персональные данные работника (обучающегося), которые необходимы им для выполнения конкретных трудовых функций.
6.14. Все лица, связанные с обработкой персональных данных, обязаны подписать обязательство о неразглашении персональных данных работников и обучающихся.
6.15. Оператор не вправе сообщать персональные данные работников и обучающихся третьей стороне без их письменного согласия, за исключением случаев, установленных федеральным законодательством.
6.16. Информация, относящаяся к персональным данным работников и обучающихся, может быть предоставлена государственным органам в порядке, установленном законодательством.
6.17. Не допускается отвечать на вопросы, связанные с передачей персональной информации по электронной почте, телефону или факсу.
6.18. Ректор осуществляет общий контроль соблюдения работниками мер по защите персональных данных, обеспечивает ознакомление сотрудников под роспись с локальными нормативными актами, в том числе с настоящим Положением, а также истребование с работников обязательств о неразглашении персональных данных (Приложение № 2 к Приказу №2-пд от «08» сентября 2017 г. «О защите персональных данных работников и обучающихся и назначении ответственного лица»).
7. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
7.2. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
7.3. В случае выявления неправомерной обработки персональных данных по обращению/запросу субъекта персональных данных или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных с момента такого обращения или получения указанного запроса на период проверки.
7.4. В случае выявления неточных персональных данных при обращении/по запросу субъекта персональных данных или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
7.5. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение.
7.6. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.
7.7. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.
В случае отсутствия возможности уничтожения персональных данных в течение установленного срока, Оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
7.8. Под уничтожением персональных данных, согласно п. 8 статьи 3 Федерального закона «О персональных данных», понимаются действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
7.9. Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно.
7.10. Уничтожение материальных носителей персональных данных субъекта осуществляется должностным лицом, назначенным Оператором. Отобранные к уничтожению материалы измельчаются механическим способом до степени, исключающей возможность прочтения текста или сжигаются.
7.11. Способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта об уничтожении персональных данных с отметкой в специальном журнале. Типовая форма акта является Приложением № 3 к Положению.
7.12. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
7.13. Перед уничтожением информации исполнитель сообщает ответственному за организацию обработки персональных данных. Об уничтожении файлов делаются соответствующие отметки в Журнале уничтожения носителей персональных данных.
8. РЕГЛАМЕНТ РЕАГИРОВАНИЯ НА ЗАПРОСЫ/ОБРАЩЕНИЯ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ ПО ПОВОДУ ДОСТУПА К ПЕРСОНАЛЬНЫМ ДАННЫМ, ПОРЯДОК ОТЗЫВА СОГЛАСИЯ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Сведения, указанные в п.2.2 настоящего Положения, предоставляются субъекту персональных данных или его представителю оператором при личном обращении либо при получении письменного запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.
8.2. В случае, если сведения, указанные п.2.2 настоящего Положения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения таких сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса.
8.3. Субъект персональных данных вправе повторно обратиться к оператору в целях получения сведений, а также в целях ознакомления с обрабатываемыми персональными данными до истечения 30-дневного срока, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду с общими сведениями (п.8.1 Положения) должен содержать обоснование направления повторного запроса.
8.4. Оператор вправе мотивированно отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, перечисленным в настоящем разделе.
8.5. В случае если лицо, обратившееся с запросом, не уполномочено на получение персональных данных либо отсутствует письменное согласие работника и обучающего, Оператор обязан отказать в предоставлении персональных данных.
8.6. Согласие на обработку персональных данных может быть в любое время отозвано субъектом персональных данных путем направления письменного заявления Оператору. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, установленных действующим законодательством.
9. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных участника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством.
10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
10.1. Настоящее Положение обязательно для исполнения всеми работниками Операторами, а также обучающимися.
10.2. Настоящее Положение и изменения к нему утверждаются приказом ректора АНО ДПО «СИИМЕД». Сотрудники Оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены с настоящим Положением под роспись, а само Положение должно быть размещено на официальном сайте.
10.3. Обучающиеся знакомятся с настоящим Положением на сайте https://siimed.ru/, о чем свидетельствует их личная подпись в Согласии на обработку персональных данных (Приложение № 2), которое заполняется при поступлении в АНО ДПО «СИИМЕД ».
Приложение № 1 к Положению «О защите
персональных данных работников и обучающихся»
от «12» сентября 2017 г.