Политика по обработке персональных данных
- Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) в государственном бюджетном профессиональном образовательном учреждении Ставропольского края «Ставропольское краевое училище дизайна» (техникум) (далее – училище) является официальным документом, в котором определены общие принципы, цели и порядок обработки персональных данных, а также сведения о реализуемых мерах защиты персональных данных.
1.2. Обработка персональных данных в училище осуществляется в соответствии с Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных» (далее — Федеральный закон № 152-ФЗ), другими нормативными правовыми актами, касающимися обработки персональных данных, локальными нормативными актами училища.
1.3. Основные понятия и термины, используемые в настоящей Политике, применяются в том же значении, что и Федеральном законе № 152-ФЗ.
1.4. Настоящая Политика распространяется на всех сотрудников училища, включая привлекаемых по гражданско-правовым договорам, а также на сотрудников сторонних организаций, взаимодействующих с Училищем на основании соответствующих нормативных, правовых и организационно-распорядительных документов, имеющих отношение к обработке персональных данных.
1.5. Настоящая Политика вступает в силу с момента ее утверждения и действует бессрочно, до замены ее новой Политикой.
1.6. Целью настоящей Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, обеспечение защиты персональных данных граждан от несанкционированного доступа, неправомерного их использования или утраты.
1.7. Настоящая Политика определяет цели, принципы, порядок и условия обработки персональных данных работников, обучающихся и иных лиц, чьи персональные данные обрабатываются училищем, а также включает перечень мер, применяемых в целях обеспечения безопасности персональных данных при их обработке.
1.8. Настоящая Политика распространяется на всех субъектов персональных данных, указанных в п. 5.1 Политики. Настоящая Политика действует в отношении любой информации, относящейся прямо или косвенно определенному или определяемому физическому лицу
(субъекту персональных данных), которую училище может получить о субъекте персональных данных.
- Правовые основания обработки персональных данных
2.1. Правовой основой настоящей Политики в области обработки персональных данных является Трудовой кодекс РФ, Гражданский кодекс РФ, Федеральный закон №152-ФЗ «О персональных данных» от 27 июля 2006 года, Федеральный закон № 273-ФЗ «Об образовании в Российской Федерации» от 29 декабря 2012 г., иные нормативно-правовые акты.
2.2. Во исполнение настоящей Политики в ГБПОУ СК «СКУД» разрабатываются и утверждаются локальные нормативные акты, регламентирующие порядок организации обработки и обеспечения
безопасности персональных данных.
- Цели и принципы обработки персональных данных
3.1. Училище осуществляет обработку персональных данных в следующих целях:
исполнение требований законодательства РФ при осуществлении деятельности в области образования и иной деятельности, предусмотренной Уставом училища, лицензиями и локальными нормативными актами училища;
кадрового обеспечения деятельности училища;
сбор и сохранение персональных данных, которые необходимы училищу в рамках исполнения соглашений, договоров, ведения бухгалтерского учета в соответствии с законодательством РФ, проведения расчетов с контрагентами;
связи с субъектом персональных данных в случае необходимости, в том числе направление уведомлений, запросов и информации, оказанием услуг, а также обработка запросов, обращений, заявлений и заявок от субъекта персональных данных;
улучшение качества услуг и сервисов, удобства их использования, разработка новых сервисов и услуг;
работа с жалобами, обращениями, заявлениями граждан;
обеспечения физической безопасности и антитеррористической защищенности объектов училища и установления личности гражданина;
обеспечения предоставления социальных гарантий, предусмотренных действующим законодательством РФ;
проведение статистических и иных исследований на основе обезличенных данных;
осуществление иных функций, возложенных на училище федеральным законодательством, законодательством Ставропольского края и Уставом училища.
3.2. Училище в своей деятельности обеспечивает соблюдение принципов и условий обработки персональных данных, указанных в статьях 5 и 6 Федерального закона 152-ФЗ.
3.3. Обработка персональных данных в Училище осуществляется на основе принципов:
- законности и справедливости целей и способов обработки персональных данных;
- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям училища;
- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
- уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.
- Порядок, условия обработки персональных данных
4.1. Училище обрабатывает персональные данные, принадлежащие физическим лицам, состоящим в трудовых, договорных и иных гражданско-правовых отношениях с ГБПОУ СК «СКУД» и (или) их законным представителям: работникам; кандидатам на замещение вакантной должности; обучающимся и их родителям; заявителям с обращениями (жалобами), а также иных лиц, давших согласие на обработку персональных данных, во исполнение заключенных договоров или с целью их заключения, во исполнение обязательств, предусмотренных федеральным законодательством и иными нормативными правовыми актами, а также в иных целях в соответствии с требованиями Федерального закона № 152-ФЗ.
4.2. Обработка персональных данных прекращается по истечении срока, предусмотренного законом, иным нормативным правовым актом Российской Федерации, договором, или согласием субъекта персональных данных на обработку его персональных данных. При отзыве субъектом персональных данных согласия на обработку его персональных данных такая обработка осуществляется только в пределах, необходимых для исполнения заключенных с ним договоров и в целях, предусмотренных законодательством Российской Федерации.
4.3. В училище обеспечивается защита персональных данных в рамках единого комплекса организационно-технических и правовых мероприятий по охране информации, составляющей персональные данные. Обеспечение защиты персональных данных осуществляется в соответствии с требованиями Федерального закона № 152-ФЗ, принятых в
соответствии с ним нормативных правовых актов и Трудового кодекса Российской Федерации.
4.4. Сроки обработки и архивного хранения персональных данных определяются в соответствии с требованиями действующего законодательством РФ, нормативными актами и локальными актами училища.
4.5. Училище прекращает обработку персональных данных в следующих случаях:
при достижении цели обработки персональных данных;
при изменении, признании утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;
при выявлении неправомерной обработки персональных данных, осуществляемой училищем;
при отзыве субъектом персональных данных согласия на обработку его персональных данных, если в соответствии с Федеральным законом обработка персональных данных допускается только с согласия субъекта персональных данных.
4.6. Уничтожение персональных данных осуществляется в порядке и сроки, предусмотренные законодательством Российской Федерации.
- Категории субъектов персональных данных
5.1. К субъектам, персональные данные которых обрабатываются, относятся: лица, носители персональных данных, передавшие свои персональные данные училищу (как на добровольной основе, так и в рамках выполнения требований нормативно-правовых актов) для получения, учета, обработки, накопления, хранения, передачи и любого другого использования, в том числе:
работники – физические лица, состоящие в трудовых отношениях с училищем, в том числе работающие в училище по совместительству и на условиях почасовой оплаты труда;
все категории обучающихся – студенты, слушатели курсов и учащиеся дополнительных образовательных программ и их законные представители;
выпускники и отчисленные из училища;
абитуриенты, подавшие заявления о поступлении в училище;
прочие физические лица, состоящие с состоящие с училищем в договорных отношениях, предоставляющие персональные данные в училище;
граждане, обратившиеся в училище с жалобами, заявлениями и по другим вопросам, касающимся установленной сферы деятельности;
5.2. Права субъектов персональных данных определены Федеральным Законом № 152-ФЗ.
- Передача персональных данных
6.1. Училище не предоставляет и не раскрывает сведения, содержащие персональные данные субъектов персональных данных, третьей стороне без согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.
6.2. Училище передает обрабатываемые персональные данные в уполномоченные организации, государственные органы, государственные внебюджетные фонды только на основаниях и в случаях, предусмотренных законодательством Российской Федерации.
По мотивированному запросу, исключительно для выполнения возложенных законодательством функций и полномочий, персональные данные субъекта персональных данных без его согласия могут быть переданы в судебные органы, в органы государственной безопасности, прокуратуры, полиции, следственные органы — в случаях, установленных нормативными правовыми актами, обязательными для исполнения.
- Обеспечение безопасности персональных данных
7.1. Училище при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
7.2. Училище принимает следующие организационно-технические меры:
назначение ответственного за организацию обработки персональных данных в училище;
применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с частями 1 и 2 статьи 19 Федерального закона №152-ФЗ;
осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону №152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
оценка вреда, который может быть причинён субъектам персональным данных в случае нарушения законодательства Российской Федерации и настоящих Правил;
ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных и настоящими Правилами;
запрет на обработку персональных данных лицами, не допущенными к
их обработке;
запрет на обработку персональных данных под диктовку.
обеспечение учета и хранения материальных носителей информации и их обращения, направленных на исключение хищения, подмены, несанкционированного копирования и уничтожения;
определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных; разработка на основе модели угроз системы защиты персональных данных для соответствующего класса информационных систем;
проверка готовности и эффективности использования средств защиты информации;
реализация разрешительной системы доступа пользователей к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации;
парольная защита доступа пользователей к информационной системе персональных данных;
осуществление антивирусного контроля, предотвращение внедрения в сеть вредоносных программ;
учет машинных носителей персональных данных;
резервное копирование информации;
обучение работников, использующих средства защиты информации;
учет применяемых средств защиты, эксплуатационной и технической документации к ним;
проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных;
организация пропускного режима.
- Обязанности училища и конфиденциальность
персональных данных
8.1. Училище обязано обеспечить конфиденциальность, блокирование, уточнение, прекращение обработки, уничтожение персональных данных субъекта персональных данных в соответствии с требованиями Федерального закона № 152-ФЗ.
8.2. Работники училища, имеющим доступ к персональным данным, необходимый им для выполнения служебных (трудовых) обязанностей, обязаны соблюдать конфиденциальность обрабатываемых персональных данных и требования законодательства о персональных данных. Указанные лица информируются об ответственности за нарушения требований законодательства в сфере обработки и защиты персональных данных.
8.4. Работники училища, осуществляющие обработку персональных данных, подписывают обязательство о неразглашении персональных данных.
- ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
9.1. Контроль за исполнением требований настоящей Политики осуществляется ответственным лицом училища, назначаемым в установленном порядке, локальным актом училища.
9.2. Ответственность должностных лиц училища, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с действующим законодательством Российской Федерации в области
персональных данных и локальными нормативными актами училища.