Политика обработки персональных данных в Муниципальном автономном учреждении дополнительного образования Центре развития творчества «Левобережный» г. Липецка

  1. Общие положения
  • Политика обработки персональных данных в Муниципальном автономном учреждении дополнительного образования Центре развития творчества «Левобережный» (далее – Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и состав обрабатываемых в ЦРТ «Левобережный» (далее – ЦРТ «Левобережный», Оператор) персональных данных, действия и операции, совершаемые с персональными данными, права субъектов персональных данных, а также содержит сведения о реализуемых в ЦРТ «Левобережный» требованиях к защите персональных данных.
  • Настоящая Политика разработана во исполнение требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
  • Политика принята с целью защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе, защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
  • Локальные нормативные акты и иные документы, регламентирующие обработку персональных данных в ЦРТ «Левобережный», в том числе при их обработке  в информационных системах, содержащих персональные данные, разрабатываются в ЦРТ «Левобережный» с учетом положений Политики.
  • В Политике используются следующие основные термины:

   – персональные данные – любая информация, относящаяся к прямо или   косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

 – оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

 – обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:

  – сбор;

  – запись;

  – систематизацию;

  – накопление;

  – хранение;

  – уточнение (обновление, изменение);

  – извлечение;

  – использование;

  – передачу (распространение, предоставление, доступ);

  – обезличивание;

  – блокирование;

  – удаление;

  – уничтожение;

      – автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

      – распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

      – предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

      – блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

      – уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

      – обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

      – информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

      – трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

  • Субъекты персональных данных имеют право:

           – на полную информацию о персональных данных и их обработке;

            – доступ к своим персональным данным;

            – предоставление сведений о наличии персональных данных в доступной форме.

  • В соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» Оператор обязан:

– предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить мотивированный отказ, содержащий ссылку на положения Федерального закона.

– по требованию субъекта персональных данных уточнять обрабатываемые

персональные данные, блокировать или удалять, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

– уведомлять субъекта персональных данных об обработке персональных

данных в том случае, если персональные данные были получены не от субъекта персональных данных.

Исключение составляют следующие случаи:

– субъект персональных данных уведомлен об осуществлении обработки его данных соответствующим Оператором;

– персональные данные получены Оператором на основании федерального

закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

– персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

– Оператор осуществляет обработку персональных данных для статистичес-

ких или иных исследовательских целей, для осуществления образовательной и просветительской или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных.

  • В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Оператор обязуется прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий десяти дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Оператором и субъектом персональных данных. Об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных.
  • Оператор обязуется осуществлять обработку персональных данных только с согласия в письменной форме субъекта персональных данных, в случаях, предусмотренных Федеральным законом.
  • Оператор обязуется разъяснить субъекту персональных данных последствия согласия на предоставление персональных данных, а также уведомить субъект персональных данных о возможности отзыва согласия в установленном законодательством порядке.
  • Оператор обязуется разъяснять субъекту персональных данных юридические последствия отказа предоставить его персональные данные, если предоставление персональных данных является обязательным в соответствии с действующим законодательством.
  • Оператор обязуется уведомлять субъекта персональных данных или его законного представителя обо всех изменениях, касающихся соответствующего субъекта персональных данных.

2.    Цели сбора персональных данных

  • Обработка персональных данных производится в соответствии с целями

сбора персональных данных, определенными законом. ЦРТ «Левобережный» обрабатывает следующие персональные данные:

а) сотрудников с соблюдением требований закона и исключительно в целях трудоустройства, оформления трудовых отношений, получения сотрудниками образования и продвижения по службе, контроля количества и качества выполняемой работы, обеспечения безопасности сотрудников и сохранности имущества;

б) учащихся только в целях, непосредственно связанных с деятельностью ЦРТ «Левобережный», в частности для предоставления образовательных услуг, проведения конкурсов, фестивалей, концертов, направления работ учащихся на конкурсы, ведения официального сайта и официальных страниц                              ЦРТ «Левобережный» в                                 социальных сетях, проведения мониторинга деятельности организации.

  • Любые сведения личного характера – о судимости, состоянии здоровья, составе семьи, наличии несовершеннолетних детей и иждивенцев и т.д. Оператор обрабатывает только в целях заключения трудовых или образовательных отношений и предоставления работникам и учащимся гарантий, положенных по закону и определяемых локальными нормативными актами ЦРТ «Левобережный».

3.    Правовые основания обработки персональных данных 

3.1. Политика обработки персональных данных в ЦРТ «Левобережный» определяется в соответствии со следующими нормативными актами:

   – Конституцией Российской Федерации;

   – Трудовым кодексом Российской Федерации;

   – Указом Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждения перечня сведений конфиденциального характера»;

  – Постановлением Правительства Российской Федерации  от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

  – Постановлением Правительства Российской Федерации от 6 июля 2008 г.

№ 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;

   – Уставом ЦРТ «Левобережный»;

   – трудовыми договорами, договорами о материальной ответственности, которые ЦРТ «Левобережный» заключает с работниками;

  – согласием на обработку персональных данных;

  – обязательством о неразглашении конфиденциальной информации;

  – согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

 4.    Объем и категории обрабатываемых персональных данных,          категории субъектов персональных данных

  • Объем персональных данных, обрабатываемых в ЦРТ «Левобережный», определяется в соответствии с законодательством Российской Федерации и локальными актами ЦРТ «Левобережный» с учетом целей обработки персональных данных, указанных в разделе 2 Политики.
  • Обработка специальных категорий персональных данных, касающихся расовой принадлежности, политических взглядов, религиозных и философских убеждений, интимной жизни в обществе не осуществляется.
  • Оператор обрабатывает персональные данные следующих субъектов персональных данных:

             – работников, бывших работников (лиц, ранее состоявших в трудовых отношениях с ЦРТ «Левобережный»), кандидатов на замещение вакантных должностей, а также родственников работников;

            – клиентов и контрагентов – физических лиц;

            – граждан, выполняющих работу по договорам гражданско-правового характера;

            – работников и/или их представителей, клиентов и контрагентов – юридических лиц;

           – учащихся и/или их родителей (законных представителей).

  • Объем обрабатываемых персональных данных работников ЦРТ «Левобережный».
  • При приеме на работу в ЦРТ «Левобережный» методист по кадровой работе обрабатывает следующие анкетные и биографические данные работника:

           – фамилия, имя, отчество, возраст, дата рождения;

           – паспортные данные;

           – сведения об образовании, специальности, квалификации, трудовом стаже, предыдущем месте работы;

           – сведения о повышении квалификации и профессиональной переподготовке,  прохождении аттестации;

           – занимаемая должность или выполняемая работа;

           – сведения о воинском учете;

           – сведения о заработной плате и иных доходах работника;

           – сведения о социальных гарантиях и льготах и основаниях их предоставления;

           – сведения о состоянии здоровья работника, о результатах медицинского

обследования, психиатрического освидетельствования и т.п.;

           – адрес места регистрации и фактического проживания, номер телефона;

           – адрес электронной почты, страницы в социальных сетях;

           – сведения о наличии судимости;

           – сведения о дисциплинарных взысканиях и проступках;

           – сведения о поощрениях работника;

           – сведения об особом социальном статусе работника (инвалидность, донор, беременность, член профсоюза и др.);

           – сведения, содержащие биометрические персональные данные;

           – содержание трудового договора, трудовой книжки, приказов, личной карточки, характеристик и иных кадровых документов, касающихся  работника;

          – другие сведения о работнике.

  • При приеме на обучение в ЦРТ «Левобережный» учащиеся или их родители (законные представители) предоставляют следующие анкетные и биографические данные:

           – документы, удостоверяющие личность учащихся (свидетельство     о рождении или паспорт);

           – сведения о месте проживания;

           – паспортные данные родителей (законных представителей) учащихся;

           – документ, подтверждающий регистрацию в системе индивидуального персонифицированного учета ребенка (сертификат дополнительного образования);

           – документы о состоянии здоровья (сведения об инвалидности, о наличии хронических заболеваний, медицинское заключение об отсутствии противопоказаний для обучения в образовательной организации конкретного вида и типа и т.п.);

           – документы, подтверждающие права на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (многодетные семьи, ребенок-инвалид и т.п.);

            – дипломы, грамоты, сертификаты и другие наградные документы, полученные учащимся в результате участия в мероприятиях в период обучения в ЦРТ «Левобережный».

           – иные документы, содержащие персональные данные (в том числе сведения, необходимые для предоставления учащемуся гарантий и компенсаций, установленных действующим законодательством).

  • Конфиденциальная информация о семейном положении работников и членов их семей:

          – о наличии детей;

          – о состоянии здоровья членов семьи;

          – о наличии у работника иждивенцев;

          – о необходимости ухода за больным членом семьи;

         – об усыновлении (удочерении);

         – об иных фактах, дающих основание для предоставления работникам гарантий                           и компенсаций, предусмотренных законодательством.

 5.   Порядок и условия обработки персональных данных

  • В ЦРТ «Левобережный» организована система конфиденциального делопроизводства. Система обеспечивает создание, движение и хранение документов по личному составу и иных документов, содержащих персональные данные, таким образом, чтобы исключить несанкционированное использование этих сведений.
  • Доступ к персональным данным в ЦРТ «Левобережный» имеют только те специалисты, кому это необходимо для исполнения должностных обязанностей. Сотрудники, получающие доступ к персональным данным, назначаются приказом директора ЦРТ «Левобережный».

За нарушение правил обработки и хранения персональных данных, ставших им известным по работе, работники привлекаются к дисциплинарной ответственности вплоть до увольнения.

  • Все персональные данные Оператор получает только у субъекта персональных данных. В случае, когда персональные данные можно получить только у третьих лиц, это делается исключительно с письменного согласия субъекта.
  • В случаях, предусмотренных законом, Оператор обрабатывает персональные данные без специального согласия на то субъекта персональных данных. В остальных ситуациях Оператор предлагает субъекту оформить персональное и конкретное письменное согласие на обработку персональных данных. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицами и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Субъект персональных данных может в любой момент отозвать свое согласие на обработку сведений.
  • Оператор хранит персональные данные в рамках конфиденциального делопроизводства в порядке, исключающем их утрату или неправомерное использование.

При достижении целей обработки ЦРТ «Левобережный» уничтожает персональные данные. Исключение:

   – персональные данные должны храниться длительное время в силу требований

   нормативных правовых актов.

  • Оператор передает персональные данные в порядке, установленном законодательством. Персональные данные передаются только с письменного согласия субъекта, за исключением случаев, предусмотренных законом. Биометрические персональные данные, сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Оператором для установления личности субъекта персональных данных (фотографии или видеоматериалы выступлений учащихся на концертах, конкурсах, фестивалях) обрабатываются Оператором в установленном действующим законодательством порядке.
  • Принятие на основании электронных документов, оформленных без использования электронно-цифровой подписи, решений, порождающих какие- либо юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, не осуществляется.

              При обработке персональных данных ЦРТ «Левобережный» принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

              ЦРТ «Левобережный» обеспечивает взаимодействие с государственной системой обнаружения, предупреждения ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. В случае утечки персональных данных, ЦРТ «Левобережный» в течение 24 часов сообщает в Роскомнадзор об инциденте, предполагаемом вреде субъекту персональных данных. О результатах расследования утечки персональных данных сообщает через 72 часа.

  • Обеспечение безопасности персональных данных достигается, в частности:

           – применением организационных и технических мер по обеспечению безо-

пасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

           – применением прошедших в установленном порядке процедуру оценки

соответствия средств защиты информации;

           – оценкой эффективности принимаемых мер по обеспечению безопасности

персональных данных до ввода в эксплуатацию информационной системы персональных данных;

          – учетом машинных носителей персональных данных;

          – обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

          – восстановлением персональных данных, модифицированных или

уничтоженных вследствие несанкционированного доступа к ним;

          – установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

          – контролем за принимаемыми мерами по обеспечению безопасности

персональных данных и уровня защищенности информационных систем персональных данных.

        – оценкой вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации в области персональных данных.

 6.    Актуализация, исправление, удаление и уничтожение персональных данных. Ответы на запросы субъектов на доступ к персональным данным

  • Оператор при обращении или по запросу субъекта персональных данных либо его представителя, а также по запросу Роскомнадзора блокирует неправомерно обрабатываемые персональные данные этого субъекта с момента обращения или получения запроса на период проверки.
  • Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений.
  • В случае выявления неправомерной обработки персональных данных ЦРТ «Левобережный» в срок, не превышающий трех рабочих дней, прекращает неправомерную обработку персональных данных. Срок ответа Оператора по запросу Роскомнадзора необходимой информации до 10 рабочих дней.
  • В случае достижения цели обработки персональных данных а также в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор уничтожает персональные данные, если:

– иное не предусмотрено договором, стороной которого, выгодоприобрета-

телем или поручителем по которому является субъект персональных данных;

– Оператор не вправе осуществлять обработку без согласия субъекта

персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;

– иное не предусмотрено иным соглашением между Оператором и

субъектом персональных данных.

  • В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор прекращает их обработку в срок, не превышающий 10 дней с момента получения требования. Срок можно продлить в пределах 5 рабочих дней на основании мотивированного уведомления.
  • Оператор сообщает субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к субъекту. По запросу субъекта персональных данных или его представителя Оператор знакомит его с этими персональными данными в течение тридцати дней с даты получения запроса.
  • В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат актуализации Оператором, обработка в этом случае прекращается.
  • Оператор хранит персональные данные в рамках конфиденциального делопроизводства в порядке, исключающем их утрату и неправомерное использование.

7.   Использование персональных данных в общедоступных источниках 

  • В ЦРТ «Левобережный» производится обработка персональных данных работников, учащихся и их родителей (законных представителей). Для данных категорий субъектов персональных данных определены цели обработки их персональных данных.

                  7.2. Персональные данные учащихся (фамилия и имя, объединение, осваиваемая дополнительная общеобразовательная общеразвивающая программа, ФИО педагога дополнительного образования публикуются на официальных страницах ЦРТ «Левобережный» в сети Интернет с целью популяризации деятельности, ведущейся организацией, а также с целью пропаганды дополнительного образования в пределах района и города.

                 7.3. Официальным сайтом ЦРТ «Левобережный» является сайт, расположенный по адресу:  https://levber48.ru/ (далее – Сайт). Электронные адреса лиц, отправляющих электронные сообщения по адресам, указанным на Сайте, или с использованием средства обратной связи, а также иные сведения (в том числе персонального характера), сообщаемые пользователями, хранятся с использованием программных и технических средств Сайта с целью совершенствования способов и методов представления информации на Сайте, улучшения обслуживания пользователей информации, ведения статистики посещений Сайта. Сбор и обработка обезличенных данных о посетителях ведётся с помощью сервиса интернет-статистики liveinternet.ru

     7.4. В ЦРТ «Левобережный» производят обработку следующих категорий персональных данных, полученных с использованием сети Интернет:

      – регистрационные данные, указываемые посетителем в форме обратной связи

фамилия, имя, адрес электронной почты, информация, содержащаяся в сообщении;

      – адреса личных страниц в социальных сетях, с которых приходят сообщения с информацией на адреса официальных страниц ЦРТ «Левобережный»;

      – информация, поступающая на официальную почту Центра levber@list.ru

(информация об участии учащихся в конкурсах и мероприятиях различного уровня, информация о победах учащихся в конкурсах и фестивалях муниципального, федерального, всероссийского или международного уровней, информация об участии учащихся и педагогических работников в методических семинарах, мастер – классах, конференциях, информация о мероприятиях, проводимых ЦРТ «Левобережный»).

  • Информация о пользователях не может быть каким-либо образом

использована или разглашена. Доступ к таким сведениям имеют только лица, специально уполномоченные на проведение работ, связанных с публикацией информации на Сайте или официальных страницах ЦРТ «Левобережный», и предупрежденные об ответственности за случайное или умышленное разглашение либо несанкционированное использование таких сведений.