- Общие положения
- Политика обработки персональных данных в Муниципальном автономном учреждении дополнительного образования Центре развития творчества «Левобережный» (далее – Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и состав обрабатываемых в ЦРТ «Левобережный» (далее – ЦРТ «Левобережный», Оператор) персональных данных, действия и операции, совершаемые с персональными данными, права субъектов персональных данных, а также содержит сведения о реализуемых в ЦРТ «Левобережный» требованиях к защите персональных данных.
- Настоящая Политика разработана во исполнение требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
- Политика принята с целью защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе, защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
- Локальные нормативные акты и иные документы, регламентирующие обработку персональных данных в ЦРТ «Левобережный», в том числе при их обработке в информационных системах, содержащих персональные данные, разрабатываются в ЦРТ «Левобережный» с учетом положений Политики.
- В Политике используются следующие основные термины:
– персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
– оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
– обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:
– сбор;
– запись;
– систематизацию;
– накопление;
– хранение;
– уточнение (обновление, изменение);
– извлечение;
– использование;
– передачу (распространение, предоставление, доступ);
– обезличивание;
– блокирование;
– удаление;
– уничтожение;
– автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
– распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
– предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
– блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
– уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
– обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
– информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
– трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
- Субъекты персональных данных имеют право:
– на полную информацию о персональных данных и их обработке;
– доступ к своим персональным данным;
– предоставление сведений о наличии персональных данных в доступной форме.
- В соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» Оператор обязан:
– предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить мотивированный отказ, содержащий ссылку на положения Федерального закона.
– по требованию субъекта персональных данных уточнять обрабатываемые
персональные данные, блокировать или удалять, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
– уведомлять субъекта персональных данных об обработке персональных
данных в том случае, если персональные данные были получены не от субъекта персональных данных.
Исключение составляют следующие случаи:
– субъект персональных данных уведомлен об осуществлении обработки его данных соответствующим Оператором;
– персональные данные получены Оператором на основании федерального
закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
– персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
– Оператор осуществляет обработку персональных данных для статистичес-
ких или иных исследовательских целей, для осуществления образовательной и просветительской или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных.
- В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Оператор обязуется прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий десяти дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Оператором и субъектом персональных данных. Об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных.
- Оператор обязуется осуществлять обработку персональных данных только с согласия в письменной форме субъекта персональных данных, в случаях, предусмотренных Федеральным законом.
- Оператор обязуется разъяснить субъекту персональных данных последствия согласия на предоставление персональных данных, а также уведомить субъект персональных данных о возможности отзыва согласия в установленном законодательством порядке.
- Оператор обязуется разъяснять субъекту персональных данных юридические последствия отказа предоставить его персональные данные, если предоставление персональных данных является обязательным в соответствии с действующим законодательством.
- Оператор обязуется уведомлять субъекта персональных данных или его законного представителя обо всех изменениях, касающихся соответствующего субъекта персональных данных.
2. Цели сбора персональных данных
- Обработка персональных данных производится в соответствии с целями
сбора персональных данных, определенными законом. ЦРТ «Левобережный» обрабатывает следующие персональные данные:
а) сотрудников с соблюдением требований закона и исключительно в целях трудоустройства, оформления трудовых отношений, получения сотрудниками образования и продвижения по службе, контроля количества и качества выполняемой работы, обеспечения безопасности сотрудников и сохранности имущества;
б) учащихся только в целях, непосредственно связанных с деятельностью ЦРТ «Левобережный», в частности для предоставления образовательных услуг, проведения конкурсов, фестивалей, концертов, направления работ учащихся на конкурсы, ведения официального сайта и официальных страниц ЦРТ «Левобережный» в социальных сетях, проведения мониторинга деятельности организации.
- Любые сведения личного характера – о судимости, состоянии здоровья, составе семьи, наличии несовершеннолетних детей и иждивенцев и т.д. Оператор обрабатывает только в целях заключения трудовых или образовательных отношений и предоставления работникам и учащимся гарантий, положенных по закону и определяемых локальными нормативными актами ЦРТ «Левобережный».
3. Правовые основания обработки персональных данных
3.1. Политика обработки персональных данных в ЦРТ «Левобережный» определяется в соответствии со следующими нормативными актами:
– Конституцией Российской Федерации;
– Трудовым кодексом Российской Федерации;
– Указом Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждения перечня сведений конфиденциального характера»;
– Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
– Постановлением Правительства Российской Федерации от 6 июля 2008 г.
№ 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
– Уставом ЦРТ «Левобережный»;
– трудовыми договорами, договорами о материальной ответственности, которые ЦРТ «Левобережный» заключает с работниками;
– согласием на обработку персональных данных;
– обязательством о неразглашении конфиденциальной информации;
– согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
- Объем персональных данных, обрабатываемых в ЦРТ «Левобережный», определяется в соответствии с законодательством Российской Федерации и локальными актами ЦРТ «Левобережный» с учетом целей обработки персональных данных, указанных в разделе 2 Политики.
- Обработка специальных категорий персональных данных, касающихся расовой принадлежности, политических взглядов, религиозных и философских убеждений, интимной жизни в обществе не осуществляется.
- Оператор обрабатывает персональные данные следующих субъектов персональных данных:
– работников, бывших работников (лиц, ранее состоявших в трудовых отношениях с ЦРТ «Левобережный»), кандидатов на замещение вакантных должностей, а также родственников работников;
– клиентов и контрагентов – физических лиц;
– граждан, выполняющих работу по договорам гражданско-правового характера;
– работников и/или их представителей, клиентов и контрагентов – юридических лиц;
– учащихся и/или их родителей (законных представителей).
- Объем обрабатываемых персональных данных работников ЦРТ «Левобережный».
- При приеме на работу в ЦРТ «Левобережный» методист по кадровой работе обрабатывает следующие анкетные и биографические данные работника:
– фамилия, имя, отчество, возраст, дата рождения;
– паспортные данные;
– сведения об образовании, специальности, квалификации, трудовом стаже, предыдущем месте работы;
– сведения о повышении квалификации и профессиональной переподготовке, прохождении аттестации;
– занимаемая должность или выполняемая работа;
– сведения о воинском учете;
– сведения о заработной плате и иных доходах работника;
– сведения о социальных гарантиях и льготах и основаниях их предоставления;
– сведения о состоянии здоровья работника, о результатах медицинского
обследования, психиатрического освидетельствования и т.п.;
– адрес места регистрации и фактического проживания, номер телефона;
– адрес электронной почты, страницы в социальных сетях;
– сведения о наличии судимости;
– сведения о дисциплинарных взысканиях и проступках;
– сведения о поощрениях работника;
– сведения об особом социальном статусе работника (инвалидность, донор, беременность, член профсоюза и др.);
– сведения, содержащие биометрические персональные данные;
– содержание трудового договора, трудовой книжки, приказов, личной карточки, характеристик и иных кадровых документов, касающихся работника;
– другие сведения о работнике.
- При приеме на обучение в ЦРТ «Левобережный» учащиеся или их родители (законные представители) предоставляют следующие анкетные и биографические данные:
– документы, удостоверяющие личность учащихся (свидетельство о рождении или паспорт);
– сведения о месте проживания;
– паспортные данные родителей (законных представителей) учащихся;
– документ, подтверждающий регистрацию в системе индивидуального персонифицированного учета ребенка (сертификат дополнительного образования);
– документы о состоянии здоровья (сведения об инвалидности, о наличии хронических заболеваний, медицинское заключение об отсутствии противопоказаний для обучения в образовательной организации конкретного вида и типа и т.п.);
– документы, подтверждающие права на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (многодетные семьи, ребенок-инвалид и т.п.);
– дипломы, грамоты, сертификаты и другие наградные документы, полученные учащимся в результате участия в мероприятиях в период обучения в ЦРТ «Левобережный».
– иные документы, содержащие персональные данные (в том числе сведения, необходимые для предоставления учащемуся гарантий и компенсаций, установленных действующим законодательством).
- Конфиденциальная информация о семейном положении работников и членов их семей:
– о наличии детей;
– о состоянии здоровья членов семьи;
– о наличии у работника иждивенцев;
– о необходимости ухода за больным членом семьи;
– об усыновлении (удочерении);
– об иных фактах, дающих основание для предоставления работникам гарантий и компенсаций, предусмотренных законодательством.
5. Порядок и условия обработки персональных данных
- В ЦРТ «Левобережный» организована система конфиденциального делопроизводства. Система обеспечивает создание, движение и хранение документов по личному составу и иных документов, содержащих персональные данные, таким образом, чтобы исключить несанкционированное использование этих сведений.
- Доступ к персональным данным в ЦРТ «Левобережный» имеют только те специалисты, кому это необходимо для исполнения должностных обязанностей. Сотрудники, получающие доступ к персональным данным, назначаются приказом директора ЦРТ «Левобережный».
За нарушение правил обработки и хранения персональных данных, ставших им известным по работе, работники привлекаются к дисциплинарной ответственности вплоть до увольнения.
- Все персональные данные Оператор получает только у субъекта персональных данных. В случае, когда персональные данные можно получить только у третьих лиц, это делается исключительно с письменного согласия субъекта.
- В случаях, предусмотренных законом, Оператор обрабатывает персональные данные без специального согласия на то субъекта персональных данных. В остальных ситуациях Оператор предлагает субъекту оформить персональное и конкретное письменное согласие на обработку персональных данных. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицами и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Субъект персональных данных может в любой момент отозвать свое согласие на обработку сведений.
- Оператор хранит персональные данные в рамках конфиденциального делопроизводства в порядке, исключающем их утрату или неправомерное использование.
При достижении целей обработки ЦРТ «Левобережный» уничтожает персональные данные. Исключение:
– персональные данные должны храниться длительное время в силу требований
нормативных правовых актов.
- Оператор передает персональные данные в порядке, установленном законодательством. Персональные данные передаются только с письменного согласия субъекта, за исключением случаев, предусмотренных законом. Биометрические персональные данные, сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Оператором для установления личности субъекта персональных данных (фотографии или видеоматериалы выступлений учащихся на концертах, конкурсах, фестивалях) обрабатываются Оператором в установленном действующим законодательством порядке.
- Принятие на основании электронных документов, оформленных без использования электронно-цифровой подписи, решений, порождающих какие- либо юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, не осуществляется.
При обработке персональных данных ЦРТ «Левобережный» принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
ЦРТ «Левобережный» обеспечивает взаимодействие с государственной системой обнаружения, предупреждения ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. В случае утечки персональных данных, ЦРТ «Левобережный» в течение 24 часов сообщает в Роскомнадзор об инциденте, предполагаемом вреде субъекту персональных данных. О результатах расследования утечки персональных данных сообщает через 72 часа.
- Обеспечение безопасности персональных данных достигается, в частности:
– применением организационных и технических мер по обеспечению безо-
пасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
– применением прошедших в установленном порядке процедуру оценки
соответствия средств защиты информации;
– оценкой эффективности принимаемых мер по обеспечению безопасности
персональных данных до ввода в эксплуатацию информационной системы персональных данных;
– учетом машинных носителей персональных данных;
– обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
– восстановлением персональных данных, модифицированных или
уничтоженных вследствие несанкционированного доступа к ним;
– установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
– контролем за принимаемыми мерами по обеспечению безопасности
персональных данных и уровня защищенности информационных систем персональных данных.
– оценкой вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации в области персональных данных.
6. Актуализация, исправление, удаление и уничтожение персональных данных. Ответы на запросы субъектов на доступ к персональным данным
- Оператор при обращении или по запросу субъекта персональных данных либо его представителя, а также по запросу Роскомнадзора блокирует неправомерно обрабатываемые персональные данные этого субъекта с момента обращения или получения запроса на период проверки.
- Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений.
- В случае выявления неправомерной обработки персональных данных ЦРТ «Левобережный» в срок, не превышающий трех рабочих дней, прекращает неправомерную обработку персональных данных. Срок ответа Оператора по запросу Роскомнадзора необходимой информации до 10 рабочих дней.
- В случае достижения цели обработки персональных данных а также в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор уничтожает персональные данные, если:
– иное не предусмотрено договором, стороной которого, выгодоприобрета-
телем или поручителем по которому является субъект персональных данных;
– Оператор не вправе осуществлять обработку без согласия субъекта
персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
– иное не предусмотрено иным соглашением между Оператором и
субъектом персональных данных.
- В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор прекращает их обработку в срок, не превышающий 10 дней с момента получения требования. Срок можно продлить в пределах 5 рабочих дней на основании мотивированного уведомления.
- Оператор сообщает субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к субъекту. По запросу субъекта персональных данных или его представителя Оператор знакомит его с этими персональными данными в течение тридцати дней с даты получения запроса.
- В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат актуализации Оператором, обработка в этом случае прекращается.
- Оператор хранит персональные данные в рамках конфиденциального делопроизводства в порядке, исключающем их утрату и неправомерное использование.
7. Использование персональных данных в общедоступных источниках
- В ЦРТ «Левобережный» производится обработка персональных данных работников, учащихся и их родителей (законных представителей). Для данных категорий субъектов персональных данных определены цели обработки их персональных данных.
7.2. Персональные данные учащихся (фамилия и имя, объединение, осваиваемая дополнительная общеобразовательная общеразвивающая программа, ФИО педагога дополнительного образования публикуются на официальных страницах ЦРТ «Левобережный» в сети Интернет с целью популяризации деятельности, ведущейся организацией, а также с целью пропаганды дополнительного образования в пределах района и города.
7.3. Официальным сайтом ЦРТ «Левобережный» является сайт, расположенный по адресу: https://levber48.ru/ (далее – Сайт). Электронные адреса лиц, отправляющих электронные сообщения по адресам, указанным на Сайте, или с использованием средства обратной связи, а также иные сведения (в том числе персонального характера), сообщаемые пользователями, хранятся с использованием программных и технических средств Сайта с целью совершенствования способов и методов представления информации на Сайте, улучшения обслуживания пользователей информации, ведения статистики посещений Сайта. Сбор и обработка обезличенных данных о посетителях ведётся с помощью сервиса интернет-статистики liveinternet.ru
7.4. В ЦРТ «Левобережный» производят обработку следующих категорий персональных данных, полученных с использованием сети Интернет:
– регистрационные данные, указываемые посетителем в форме обратной связи
фамилия, имя, адрес электронной почты, информация, содержащаяся в сообщении;
– адреса личных страниц в социальных сетях, с которых приходят сообщения с информацией на адреса официальных страниц ЦРТ «Левобережный»;
– информация, поступающая на официальную почту Центра levber@list.ru
(информация об участии учащихся в конкурсах и мероприятиях различного уровня, информация о победах учащихся в конкурсах и фестивалях муниципального, федерального, всероссийского или международного уровней, информация об участии учащихся и педагогических работников в методических семинарах, мастер – классах, конференциях, информация о мероприятиях, проводимых ЦРТ «Левобережный»).
- Информация о пользователях не может быть каким-либо образом
использована или разглашена. Доступ к таким сведениям имеют только лица, специально уполномоченные на проведение работ, связанных с публикацией информации на Сайте или официальных страницах ЦРТ «Левобережный», и предупрежденные об ответственности за случайное или умышленное разглашение либо несанкционированное использование таких сведений.