(утверждена приказом ЦРТ “Левобережный” от 01.09.2022 № 145)
1. Общие положения
1.1. Политика обработки персональных данных в Муниципальном автономном учреждении дополнительного образования Центре развития творчества «Левобережный» (далее – Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и состав обрабатываемых в ЦРТ «Левобережный» (далее – ЦРТ «Левобережный», Оператор) персональных данных, действия и операции, совершаемые с персональными данными, права субъектов персональных данных, а также содержит сведения о реализуемых в ЦРТ «Левобережный» требованиях к защите персональных данных.
1.2. Настоящая Политика разработана во исполнение требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
1.3. Политика принята с целью защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе, защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.4. Локальные нормативные акты и иные документы, регламентирующие обработку персональных данных в ЦРТ «Левобережный», в том числе при их обработке в информационных системах, содержащих персональные данные, разрабатываются в ЦРТ «Левобережный» с учетом положений Политики.
1.5. В Политике используются следующие основные термины:
– персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
– оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
– обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:
– сбор;
– запись;
– систематизацию;
– накопление;
– хранение;
– уточнение (обновление, изменение);
– извлечение;
– использование;
– передачу (распространение, предоставление, доступ);
– обезличивание;
– блокирование;
– удаление;
– уничтожение;
– автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
– распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
– предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
– блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
– уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
– обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
– информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
– трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.6. Субъекты персональных данных имеют право:
– на полную информацию о персональных данных и их обработку;
– доступ к своим персональным данным;
– предоставление сведений о наличии персональных данных в доступной форме.
1.7. В соответствии с требованиями Федерального закона от 27 июля 2006 г.
№ 152-ФЗ «О персональных данных» Оператор обязан:
– предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить мотивированный отказ, содержащий ссылку на положения Федерального закона;
– по требованию субъекта персональных данных уточнять обрабатываемые персональные данные, блокировать или удалять, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
– уведомлять субъекта персональных данных об обработке персональных
данных в том случае, если персональные данные были получены не от субъекта персональных данных.
Исключение составляют следующие случаи:
– субъект персональных данных уведомлен об осуществлении обработки его данных соответствующим Оператором;
– персональные данные получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
– персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
– Оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления образовательной и просветительской или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных.
1.8. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Оператор обязуется прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий десяти дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Оператором и субъектом персональных данных. Об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных.
1.9. Оператор обязуется осуществлять обработку персональных данных только с согласия в письменной форме субъекта персональных данных, в случаях, предусмотренных федеральным законом.
1.10. Оператор обязуется разъяснить субъекту персональных данных последствия согласия на предоставление персональных данных, а также уведомить субъект персональных данных о возможности отзыва согласия в установленном законодательством порядке.
1.11. Оператор обязуется разъяснять субъекту персональных данных юридические последствия отказа предоставить его персональные данные, если предоставление персональных данных является обязательным в соответствии с действующим законодательством.
1.12. Оператор обязуется уведомлять субъекта персональных данных или его законного представителя обо всех изменениях, касающихся соответствующего субъекта персональных данных.
2. Цели сбора персональных данных
2.1. Обработка персональных данных производится в соответствии с целями
сбора персональных данных, определенными законом. ЦРТ «Левобережный» обрабатывает следующие персональные данные:
– сотрудников с соблюдением требований закона и исключительно в целях трудоустройства, оформления трудовых отношений, получения сотрудниками образования и продвижения по службе, контроля количества и качества выполняемой работы, обеспечения безопасности сотрудников и сохранности имущества;
– учащихся только в целях, непосредственно связанных с деятельностью ЦРТ «Левобережный», в частности для предоставления образовательных услуг, проведения конкурсов, фестивалей, концертов, направления работ учащихся на конкурсы, ведения официального сайта и официальных страниц ЦРТ «Левобережный» в социальных сетях, проведения мониторинга деятельности организации.
2.2. Любые сведения личного характера – о судимости, состоянии здоровья, составе семьи, наличии несовершеннолетних детей и иждивенцев и т.д. Оператор обрабатывает только в целях заключения трудовых или образовательных отношений и предоставления работникам и учащимся гарантий, установленных законодательно и определяемых локальными нормативными актами ЦРТ «Левобережный».
3. Правовые основания обработки персональных данных
Политика обработки персональных данных в ЦРТ «Левобережный» определяется в соответствии со следующими нормативными актами:
– Конституцией Российской Федерации;
– Трудовым кодексом Российской Федерации;
– Указом Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждения перечня сведений конфиденциального характера»;
– Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
– Постановлением Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
– Уставом ЦРТ «Левобережный»;
– Трудовыми договорами, договорами о материальной ответственности, которые ЦРТ «Левобережный» заключает с работниками;
– Согласием на обработку персональных данных;
– Обязательством о неразглашении конфиденциальной информации;
– Согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
4.1. Объем персональных данных, обрабатываемых в ЦРТ «Левобережный», определяется в соответствии с законодательством Российской Федерации и локальными актами ЦРТ «Левобережный» с учетом целей обработки персональных данных, указанных в разделе 2 Политики.
4.2. Обработка специальных категорий персональных данных, касающихся расовой принадлежности, политических взглядов, религиозных и философских убеждений, интимной жизни в обществе не осуществляется.
4.3. Оператор обрабатывает персональные данные следующих субъектов персональных данных:
– работников, бывших работников (лиц, ранее состоявших в трудовых отношениях с ЦРТ «Левобережный»), кандидатов на замещение вакантных должностей, а также родственников работников;
– клиентов и контрагентов – физических лиц;
– граждан, выполняющих работу по договорам гражданско-правового характера;
– работников и/или их представителей, клиентов и контрагентов – юридических лиц;
– учащихся и/или их родителей (законных представителей).
При приеме на работу в ЦРТ «Левобережный» методист по кадровой работе обрабатывает следующие анкетные и биографические данные работника:
– фамилия, имя, отчество, возраст, дата рождения;
– паспортные данные;
– сведения об образовании, специальности, квалификации, трудовом стаже, предыдущем месте работы;
– сведения о повышении квалификации и профессиональной переподготовке, прохождении аттестации;
– занимаемая должность или выполняемая работа;
– сведения о воинском учете;
– сведения о заработной плате и иных доходах работника;
– сведения о социальных гарантиях и льготах и основаниях их предоставления;
– сведения о состоянии здоровья работника, о результатах медицинского
обследования, психиатрического освидетельствования и т.п.;
– адрес места регистрации и фактического проживания, номер телефона;
– адрес электронной почты, страницы в социальных сетях;
– сведения о наличии судимости;
– сведения о дисциплинарных взысканиях и проступках;
– сведения о поощрениях работника;
– сведения об особом социальном статусе работника (инвалидность, донор, беременность, член профсоюза и др.);
– сведения, содержащие биометрические персональные данные;
– содержание трудового договора, трудовой книжки, приказов, личной карточки, характеристик и иных кадровых документов, касающихся работника;
– другие сведения о работнике.
При приеме на обучение в ЦРТ «Левобережный» учащиеся или их родители (законные представители) предоставляют следующие анкетные и биографические данные:
– документы, удостоверяющие личность учащихся (свидетельство о рождении или паспорт);
– сведения о месте проживания;
– паспортные данные родителей (законных представителей) учащихся;
– документ, подтверждающий регистрацию в системе индивидуального персонифицированного учета ребенка (сертификат дополнительного образования);
– документы о состоянии здоровья (сведения об инвалидности, о наличии хронических заболеваний, медицинское заключение об отсутствии противопоказаний для обучения в образовательной организации конкретного вида и типа и т.п.);
– документы, подтверждающие права на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (многодетные семьи, ребенок-инвалид и т.п.);
– дипломы, грамоты, сертификаты и другие наградные документы, полученные учащимся в результате участия в мероприятиях в период обучения в ЦРТ «Левобережный»;
– иные документы, содержащие персональные данные (в том числе сведения, необходимые для предоставления учащемуся гарантий и компенсаций, установленных действующим законодательством).
Конфиденциальная информация о семейном положении работников и членов их семей:
– о наличии детей;
– о состоянии здоровья членов семьи;
– о наличии у работника иждивенцев;
– о необходимости ухода за больным членом семьи;
– об усыновлении (удочерении);
– об иных фактах, дающих основание для предоставления работникам гарантий и компенсаций, предусмотренных законодательством.
5. Порядок и условия обработки персональных данных
5.1. В ЦРТ «Левобережный» организована система конфиденциального делопроизводства. Система обеспечивает создание, движение и хранение документов по личному составу и иных документов, содержащих персональные данные, таким образом, чтобы исключить несанкционированное использование этих сведений.
5.2. Доступ к персональным данным в ЦРТ «Левобережный» имеют только те специалисты, кому это необходимо для исполнения должностных обязанностей. Сотрудники, получающие доступ к персональным данным, назначаются приказом директора ЦРТ «Левобережный».
За нарушение правил обработки и хранения персональных данных, ставших им известным по работе, работники привлекаются к дисциплинарной ответственности вплоть до увольнения.
5.3. Все персональные данные Оператор получает только у субъекта персональных данных. В случае, когда персональные данные можно получить только у третьих лиц, это делается исключительно с письменного согласия субъекта.
5.4. В случаях, предусмотренных законом, Оператор обрабатывает персональные данные без специального согласия на то субъекта персональных данных. В остальных ситуациях Оператор предлагает субъекту оформить персональное и конкретное письменное согласие на обработку персональных данных. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицами и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Субъект персональных данных может в любой момент отозвать свое согласие на обработку сведений.
5.5. Оператор хранит персональные данные в рамках конфиденциального делопроизводства в порядке, исключающем их утрату или неправомерное использование.
При достижении целей обработки ЦРТ «Левобережный» уничтожает персональные данные. Исключение (персональные данные должны храниться длительное время в силу требований нормативных правовых актов).
5.6. Оператор передает персональные данные в порядке, установленном законодательством. Персональные данные передаются только с письменного согласия субъекта, за исключением случаев, предусмотренных законом. Биометрические персональные данные, сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Оператором для установления личности субъекта персональных данных обрабатываются Оператором в установленном законодательством порядке.
5.7. Принятие на основании электронных документов, оформленных без использования электронно-цифровой подписи, решений, порождающих какие- либо юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, не осуществляется.
При обработке персональных данных ЦРТ «Левобережный» принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
ЦРТ «Левобережный» обеспечивает взаимодействие с государственной системой обнаружения, предупреждения ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. В случае утечки персональных данных, ЦРТ «Левобережный» в течение 24 часов сообщает в Роскомнадзор об инциденте, предполагаемом вреде субъекту персональных данных. О результатах расследования утечки персональных данных сообщает через 72 часа.
5.8. Обеспечение безопасности персональных данных достигается, в частности:
– применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
– применением прошедших в установленном порядке процедуру оценки
соответствия средств защиты информации;
– оценкой эффективности принимаемых мер по обеспечению безопасности
персональных данных до ввода в эксплуатацию информационной системы персональных данных;
– учетом машинных носителей персональных данных;
– обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
– восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
– установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
– контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
– оценкой вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации в области персональных данных.
6. Актуализация, исправление, удаление и уничтожение персональных данных. Ответы на запросы субъектов на доступ к персональным данным
6.1. Оператор при обращении или по запросу субъекта персональных данных либо его представителя, а также по запросу Роскомнадзора блокирует неправомерно обрабатываемые персональные данные этого субъекта с момента обращения или получения запроса на период проверки.
6.2. Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений.
6.3. В случае выявления неправомерной обработки персональных данных ЦРТ «Левобережный» в срок, не превышающий трех рабочих дней, прекращает неправомерную обработку персональных данных. Срок ответа Оператора по запросу Роскомнадзора необходимой информации до 10 рабочих дней.
6.4. В случае достижения цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор уничтожает персональные данные, если иное не предусмотрено иным соглашением между Оператором и субъектом персональных данных.
6.5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор прекращает их обработку в срок, не превышающий 10 дней с момента получения требования. Срок можно продлить в пределах 5 рабочих дней на основании мотивированного уведомления.
6.6. Оператор сообщает субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к субъекту. По запросу субъекта персональных данных или его представителя Оператор знакомит его с этими персональными данными в течение тридцати дней с даты получения запроса.
6.7. В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат актуализации Оператором, обработка в этом случае прекращается.
6.8. Оператор хранит персональные данные в рамках конфиденциального делопроизводства в порядке, исключающем их утрату и неправомерное использование.
7. Использование персональных данных в общедоступных источниках
7.1. В ЦРТ «Левобережный» производится обработка персональных данных работников, учащихся и их родителей (законных представителей). Для данных категорий субъектов персональных данных определены цели обработки их персональных данных.
7.2. Персональные данные учащихся (фамилия и имя, объединение, осваиваемая дополнительная общеобразовательная общеразвивающая программа) публикуются на официальных страницах ЦРТ «Левобережный» в сети Интернет с целью популяризации деятельности, ведущейся организацией, а также с целью пропаганды дополнительного образования.
7.3. Официальным сайтом ЦРТ «Левобережный» является сайт, расположенный по адресу: https://levber48.ru (далее – Сайт). Электронные адреса лиц, отправляющих электронные сообщения по адресам, указанным на Сайте, или с использованием средства обратной связи, а также иные сведения (в том числе персонального характера), сообщаемые пользователями, хранятся с использованием программных и технических средств Сайта с целью совершенствования способов и методов представления информации на Сайте, улучшения обслуживания пользователей информации, ведения статистики посещений Сайта.
7.4. В ЦРТ «Левобережный» производится обработка следующих категорий персональных данных, полученных с использованием сети Интернет:
– адреса личных страниц в социальных сетях, с которых приходят сообщения с информацией на адреса официальных страниц ЦРТ «Левобережный»;
– информация, поступающая на официальную почту Центра levber@list.ru (информация об участии учащихся в конкурсах и мероприятиях различного уровня, информация о победах учащихся в конкурсах и фестивалях муниципального, федерального, всероссийского и международного уровней, информация об участии учащихся и педагогических работников в методических семинарах, мастер-классах, конференциях, информация о мероприятиях, проводимых ЦРТ «Левобережный».
7.5. Информация о пользователях не может быть каким-либо образом использована или разглашена. Доступ к таким сведениям имеют только лица, специально уполномоченные на проведение работ, связанных с публикацией информации на Сайте или официальных страницах ЦРТ «Левобережный», и предупрежденные об ответственности за случайное или умышленное разглашение либо несанкционированное использование таких сведений.
