Политика конфиденциальности
УТВЕРЖДЕНО
приказом генерального директора
ООО «Академия искусств театра Фантасмагории»
от «13» февраля 2024 г. № 15-Д
ПОЛОЖЕНИЕ
об организации работы с персональными данными
в Обществе с ограниченной ответственностью
«Академия искусств театра Фантасмагории»
Общие положения
- Настоящее Положение определяет порядок организации работы (получения, хранения, обработки, передачи и любого другого использования) в Обществе с ограниченной ответственностью «Академия искусств театра Фантасмагории» (далее – учреждение, оператор персональных данных, оператор) с персональными данными.
- Помимо настоящего Положения оператор руководствуется Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»), нормативными правовыми актами Российской Федерации, внутренними документами учреждения.
- Понятия, используемые в настоящем Положении, указаны в соответствии: со статьей 3 Федерального закона «О персональных данных»; со статьей 2 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
- В соответствии с пунктом 1 статьи 3 Федерального закона «О персональных данных» под персональными данными понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (далее – субъекту персональных данных), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, сведения о фактах, событиях и обстоятельствах жизни и другая информация, позволяющая идентифицировать субъекта персональных данных.
- К персональным данным также относятся: изображение субъекта персональных данных; аудиозаписи и видеозаписи с участие субъекта персональных данных.
- Субъектами персональных данных являются: работники учреждения; лица, оказывающие услуги по гражданско-правовым договорам; кандидаты на вакантные должности; дети работников, в отношении которых выплачиваются алименты, бывшие супруги работников; индивидуальные предприниматели – контрагенты оператора; совершеннолетние потребители услуг (занимающиеся, посетители); несовершеннолетние потребители услуг, от имени которых действуют родители (законные представители); родители (законные представители) несовершеннолетних потребителей услуг; граждане, направившие обращение в учреждение в соответствии с Федеральным законом от 2 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»; обучающиеся; иные лица, деятельность которых связана с учреждением (к ним относятся кооптированные члены попечительского совета; члены наблюдательного совета, не являющиеся работниками учреждения и др.).
- Обработка персональных данных включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
- Обработка персональных данных в учреждении осуществляется в целях: осуществления основных и иных видов деятельности учреждения, предусмотренных его уставом; оказания образовательных услуг; осуществления деятельности вспомогательной, связанной с исполнительскими искусствами и в области исполнительских услуг; исполнения постановления Правительства Москвы от 20.11.2024 № 2638-ПП «О проведении пилотного проекта, предусматривающего особенности посещения культурно-зрелищных мероприятий, проводимых в государственных учреждениях культуры города Москвы»; осуществления деятельности по организации отдыха и развлечений; осуществления деятельности рекламных агентств и в сфере связей с общественностью; обеспечения кадровой работы, в том числе налогового учета, подбора персонала; рассмотрения обращений граждан; информирования неограниченного круга лиц о деятельности (включая достижения) учреждения и потребителей услуг.
- Директор учреждения осуществляет общий контроль соблюдения мер по защите персональных данных, обеспечивает ознакомление работников под роспись с локальными нормативными актами, в том числе с настоящим Положением, а также истребование с работников обязательств о неразглашении персональных данных.
- В случае реорганизации учреждения все материальные носители персональных данных передаются его правопреемнику. При ликвидации учреждения бумажные версии документов, содержащих персональные данные, и другие материальные носители персональных данных уничтожаются в порядке, предусмотренном настоящим Положением.
11.В целях оказания образовательных услуг обрабатываются следующие категории персональных данных потребителей услуг и родителей (законных представителей) несовершеннолетних потребителей услуг:
1) фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
2) число, месяц, год рождения;
3) место рождения;
4) сведения о гражданстве (в том числе предыдущие гражданства, иные гражданства);
5) национальность;
6) вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование органа, выдавшего его;
7) адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
8) номер контактного телефона, адрес электронной почты или сведения о других способах связи;
9) реквизиты страхового свидетельства обязательного пенсионного страхования;
10) идентификационный номер налогоплательщика;
11) реквизиты свидетельства государственной регистрации актов гражданского состояния;
12) сведения о состоянии здоровья;
13) сведения о заболеваниях;
14) сведения о пенсионном обеспечении, инвалидности;
15) заключения психолого-медико-педагогической комиссии;
16) сведения о праве на льготы;
17) сведения, содержащиеся в договоре об оказании платных услуг;
18) аудиозаписи с участием субъекта персональных данных;
19) видеозаписи с участием субъекта персональных данных;
20) фотоизображения с участием субъекта персональных данных;
21) заявление о приеме на обучение;
22) копии документов, удостоверяющих личность обучающихся;
23) копии свидетельств о браке, о расторжении брака;
24) копии документов об образовании и о квалификации;
25) заявления об изменении образовательных отношений;
26) приказы о зачислении и отчислении;
27) приказы о вынесении мер дисциплинарного взыскания;
28) иные персональные данные, необходимые для достижения цели обработки персональных данных.
12. Действия оператора по обработке персональных данных в целях оказания образовательных услуг вытекают из необходимости обеспечения выполнения требований Федерального закона «Об образовании в Российской Федерации» от 29 декабря 2012 г. N 273-ФЗ и иных нормативных правовых актов в этой сфере
Обработка персональных данных в целях осуществления деятельности вспомогательной, связанной с исполнительскими искусствами и в области исполнительских услуг
13. В целях осуществления деятельности вспомогательной, связанной с исполнительскими искусствами и в области исполнительских услуг, обрабатываются следующие категории персональных данных потребителей услуг и родителей (законных представителей) несовершеннолетних потребителей услуг:1)фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
2) число, месяц, год рождения;
3) место рождения;
4) сведения о гражданстве (в том числе предыдущие гражданства, иные гражданства);
5) национальность;
6) вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование органа, выдавшего его;
7) адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
8) номер контактного телефона, адрес электронной почты или сведения о других способах связи;
9) реквизиты страхового свидетельства обязательного пенсионного страхования;
10) идентификационный номер налогоплательщика;
11) реквизиты свидетельства государственной регистрации актов гражданского состояния;
12) сведения о состоянии здоровья;
13) сведения о заболеваниях;
14) сведения о пенсионном обеспечении, инвалидности;
15) заключения психолого-медико-педагогической комиссии;
16) сведения о праве на льготы;
17) сведения, содержащиеся в договоре об оказании платных услуг;
18) аудиозаписи с участием субъекта персональных данных;
19) видеозаписи с участием субъекта персональных данных;
20) фотоизображения с участием субъекта персональных данных;
21) иные персональные данные, необходимые для достижения цели обработки персональных данных.
14. Действия оператора по обработке персональных данных в целях осуществления деятельности вспомогательной, связанной с исполнительскими искусствами и в области исполнительских услуг, вытекают из необходимости обеспечения выполнения требований Федерального закона «Основы законодательства Российской Федерации о культуре» от 9 октября 1992г № 3612-1 и иных нормативных правовых актов в этой сфере.
Обработка персональных данных в целях исполнения постановления Правительства Москвы от 20.11.2024 № 2638-ПП «О проведении пилотного проекта, предусматривающего особенности посещения культурно-зрелищных мероприятий, проводимых в государственных учреждениях культуры города Москвы»
15. В целях исполнения постановления Правительства Москвы от 20.11.2024 № 2638-ПП «О проведении пилотного проекта, предусматривающего особенности посещения культурно-зрелищных мероприятий, проводимых в государственных учреждениях культуры города Москвы» обрабатываются персональные данные посетителей Мероприятий (субъектов персональных данных) в соответствии с применимым законодательством Российской Федерации в области обработки и защиты персональных данных.
16. Обработка персональных данных посетителей Мероприятий осуществляется в целях:
а) обеспечения исполнения постановления Правительства Москвы от 20.11.2024 № 2638-ПП «О проведении пилотного проекта, предусматривающего особенности посещения культурно-зрелищных мероприятий, проводимых в государственных учреждениях культуры города Москвы»;
б) обеспечения исполнения приказа Департамента культуры города Москвы от 21.11.2024 № 926/ОД «О реализации пилотного проекта, предусматривающего особенности посещения культурно-зрелищных мероприятий, проводимых в государственных учреждениях города Москвы»;
в) исполнения обязательств Сторон перед субъектами персональных данных в связи с приобретением последними билетов и абонементов на Мероприятия учреждения;
г) обеспечения соблюдения иных требований Применимого законодательства.
17. Перечень персональных данных субъектов персональных данных:
а) Фамилия, имя, отчество;
б) Наименование и номер (серия и номер) документа, удостоверяющего личность и входящего в перечень, установленный приказом Департамента культуры города Москвы от 21.11.2024 № 926/ОД «О реализации пилотного проекта, предусматривающего особенности посещения культурно-зрелищных мероприятий, проводимых в государственных учреждениях города Москвы», а именно:
1. Паспорт гражданина Российской Федерации, удостоверяющий личность гражданина Российской Федерации на территории Российской Федерации.
2. Паспорт гражданина Российской Федерации, удостоверяющий личность гражданина Российской Федерации за пределами территории Российской Федерации.
3. Свидетельство о рождении (для лиц, не достигших 14-летнего возраста).
4. Водительское удостоверение.
5. Удостоверение личности военнослужащего или военный билет гражданина Российской Федерации (временное удостоверение, выдаваемое взамен военного билета).
6. Социальная карта (карта москвича).
7. Свидетельство пенсионера.
8. Банковская карта (именная), в том числе "Пушкинская карта".
9. Студенческий билет.
10. Паспорт иностранного гражданина либо иной документ, признаваемый в соответствии с международным договором Российской Федерации в качестве документа, удостоверяющего личность иностранного гражданина.
11. Вид на жительство лица без гражданства в Российской Федерации.
12. Разрешение на временное проживание лица без гражданства в Российской Федерации.
13. Удостоверение беженца.
14. Свидетельство о предоставлении временного убежища на территории Российской Федерации
в) Номер телефона, в т.ч. мобильный;
г) Адрес электронной почты.
Обработка персональных данных в целях осуществления деятельности
по организации отдыха и развлечений
18. В целях осуществления деятельности по организации отдыха и развлечений обрабатываются следующие категории персональных данных потребителей услуг и родителей (законных представителей) несовершеннолетних потребителей услуг:
1)фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
2) число, месяц, год рождения;
3) место рождения;
4) сведения о гражданстве (в том числе предыдущие гражданства, иные гражданства);
5) национальность;
6) вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование органа, выдавшего его;
7) адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
8) номер контактного телефона, адрес электронной почты или сведения о других способах связи;
9) реквизиты страхового свидетельства обязательного пенсионного страхования;
10) идентификационный номер налогоплательщика;
11) реквизиты свидетельства государственной регистрации актов гражданского состояния;
12) сведения о состоянии здоровья;
13) сведения о заболеваниях;
14) сведения о пенсионном обеспечении, инвалидности;
15) заключения психолого-медико-педагогической комиссии;
16) сведения о праве на льготы;
17) сведения, содержащиеся в договоре об оказании платных услуг;
18) аудиозаписи с участием субъекта персональных данных;
19) видеозаписи с участием субъекта персональных данных;
20) фотоизображения с участием субъекта персональных данных;
21) иные персональные данные, необходимые для достижения цели обработки персональных данных.
19. Действия оператора по обработке персональных данных в целях осуществления деятельности по организации отдыха и развлечений, вытекают из необходимости обеспечения выполнения требований Федерального закона «Основы законодательства Российской Федерации о культуре» от 9 октября 1992г № 3612-1 и иных нормативных правовых актов в этой сфере.
Обработка персональных данных в целях осуществления деятельности рекламных агентств и в сфере связей с общественностью
20. В целях осуществления деятельности рекламных агентств и в сфере связей с общественностью обрабатываются следующие категории персональных данных потребителей услуг и родителей (законных представителей) несовершеннолетних потребителей услуг:
1)фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
2) число, месяц, год рождения;
3) место рождения;
4) сведения о гражданстве (в том числе предыдущие гражданства, иные гражданства);
5) национальность;
6) вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование органа, выдавшего его;
7) адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
8) номер контактного телефона, адрес электронной почты или сведения о других способах связи;
9) реквизиты страхового свидетельства обязательного пенсионного страхования;
10) идентификационный номер налогоплательщика;
11) реквизиты свидетельства государственной регистрации актов гражданского состояния;
12) сведения о состоянии здоровья;
13) сведения о заболеваниях;
14) сведения о пенсионном обеспечении, инвалидности;
15) заключения психолого-медико-педагогической комиссии;
16) сведения о праве на льготы;
17) сведения, содержащиеся в договоре об оказании платных услуг;
18) аудиозаписи с участием субъекта персональных данных;
19) видеозаписи с участием субъекта персональных данных;
20) фотоизображения с участием субъекта персональных данных;
21) иные персональные данные, необходимые для достижения цели обработки персональных данных.
21. Действия оператора по обработке персональных данных в целях осуществления деятельности рекламных агентств и в сфере связей с общественностью, вытекают из необходимости обеспечения выполнения требований Федерального закона "О рекламе" от 13 марта 2006 г. N 38-ФЗ, Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г N 149-ФЗ, Федеральный закон "О средствах массовой информации" от 27 декабря 1991 г № 2124-1 и иных нормативных правовых актов в этой сфере.
Обработка персональных данных в целях осуществления кадровой работы
22. В целях обеспечения кадровой работы, в том числе налогового учета, подбора персонала обрабатываются следующие категории персональных данных:
1) фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
2) число, месяц, год рождения;
3) место рождения;
4) сведения о гражданстве (в том числе предыдущие гражданства, иные гражданства);
5) национальность;
6) вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование органа, выдавшего его;
7) адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
8) номер контактного телефона, адрес электронной почты или сведения о других способах связи;
9) реквизиты страхового свидетельства обязательного пенсионного страхования;
10) идентификационный номер налогоплательщика;
11) реквизиты страхового медицинского полиса обязательного медицинского страхования;
12) реквизиты свидетельства государственной регистрации актов гражданского состояния;
13) сведения о семейном положении, составе семьи и о близких родственниках (в том числе бывших);
14) сведения о беременности женщины;
15) сведения о пенсионном обеспечении, инвалидности;
16) сведения о государственных и ведомственных наградах;
17) сведения о наличии или отсутствии судимости;
18) сведения о воинском учете и реквизиты документов воинского учета;
19) сведения о владении иностранными языками, уровень владения;
20) сведения об образовании (когда и какие образовательные, научные и иные организации окончил(а), номера документов об образовании и (или) о квалификации, направление подготовки или специальность по документу об образовании и о квалификации, квалификация);
21) сведения о дополнительном профессиональном образовании;
22) сведения об ученой степени, ученом звании;
23) сведения о состоянии здоровья;
24) сведения о заболеваниях;
25) сведения о трудовой деятельности, сведения о прежнем месте работы, в том числе суммы заработка, рекомендации прежнего работодателя;
26) сведения, содержащиеся в трудовом договоре, дополнительных соглашениях к трудовому договору;
27) ученический договор;
28) сведения об аттестации;
29) сведения о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;
30) сведения о доходах, расходах, об имуществе и обязательствах имущественного характера;
31) сведения о поощрениях и дисциплинарных взысканиях;
32) сведения о служебных расследованиях;
33) реквизиты текущего счета в кредитной организации;
34) сведения о праве на льготы;
35) сведения о донорстве;
36) сведения о необходимости ухода за больным членом семьи;
37) аудиозаписи с участием субъекта персональных данных;
38) видеозаписи с участием субъекта персональных данных;
39) фотоизображения с участием субъекта персональных данных;
40) документы, предъявляемые работником при поступлении на работу, в соответствии со статьями 65, 69 Трудового кодекса Российской Федерации;
41) анкета, автобиография, личный листок по учету кадров;
42) реквизиты банковской карты для перечисления заработной платы;
43) документы, сопровождающие процесс оформления трудовых отношений (трудовой договор, приказы о приеме на работу, переводе, увольнении и др.);
44) личная карточка по форме Т-2;
45) документы о квалификации;
46) копии свидетельств о заключении брака, о расторжении брака, о рождении детей;
47) пенсионное удостоверение, справки об инвалидности;
48) характеристики;
49) материалы служебных расследований (акты, докладные, протоколы и др., копии решений комиссии по трудовым спорам, комиссии по урегулированию споров между участниками образовательных отношений);
50) иные персональные данные, необходимые для достижения цели обработки персональных данных.
23. Категории субъектов, персональные данные которых обрабатываются:
работники учреждения;
лица, оказывающие услуги по гражданско-правовым договорам;
кандидаты на вакантные должности;
дети работников, в отношении которых выплачиваются алименты, бывшие супруги работников.
24. Действия оператора по обработке персональных данных в целях осуществления кадровой работы вытекают из необходимости обеспечения выполнения требований Трудового кодекса Российской Федерации, Федерального закона «Об образовании в Российской Федерации» и иных нормативных правовых актов, Гражданского кодекса РФ.
Обработка персональных данных в целях рассмотрения обращений граждан
25. При рассмотрении обращений граждан Российской Федерации обрабатываются следующие персональные данные:
1) фамилия, имя, отчество (наличии);
2) почтовый адрес;
3) адрес электронной почты;
4) указанный в обращении контактный телефон;
5) иные персональные данные, указанные в обращении, а также ставшие известными в ходе личного приема граждан или в процессе рассмотрения обращения.
26. Действия оператора по обработке персональных данных в целях осуществления кадровой работы вытекают из необходимости обеспечения выполнения Федерального закона «О порядке рассмотрения обращений граждан Российской Федерации», Федерального закона «Об образовании в Российской Федерации» от 29 декабря 2012 г. N 273-ФЗ, Федерального закона «Основы законодательства Российской Федерации о культуре» от 9 октября 1992г № 3612-1 и иных нормативных правовых актов.
Обработка персональных данных в целях информирования неограниченного круга лиц о деятельности (включая достижения) учреждения и потребителей услуг
27. В целях информирования неограниченного круга лиц о деятельности (включая достижения) учреждения и потребителей услуг на информационных ресурсах оператора обрабатываются следующие персональные данные:
a. Персональные данные работников учреждения:
1) фамилия, имя, отчество (наличии);
2) занимаемая должность (должности);
3) наименование направления подготовки и (или) специальности;
4) данные о повышении квалификации и (или) профессиональной переподготовке (при наличии);
5) общий стаж работы;
6) стаж работы по специальности;
7) номер контактного телефона, адрес электронной почты;
8) фотоизображение с участием субъекта персональных данных;
9) видеозаписи с участием субъекта персональных данных;
10) иные персональные данные, необходимые для достижения цели обработки персональных данных;
b. Персональные данные потребителей услуг:
1) фамилия, имя, отчество;
2) дата рождения, возраст;
3) кружок, секция, объединение;
4) информация о достижениях (победах, призовых местах и участиях в конкурсах, состязаниях, соревнованиях);
5) фотоизображение с участием субъекта персональных данных;
6) электронные образы (сканированные копии) грамот, благодарностей, дипломов;
7) видеозаписи с участием субъекта персональных данных;
8) иные персональные данные, необходимые для достижения цели обработки персональных данных.
Дача согласия на обработку персональных данных
для осуществления целей обработки персональных данных
в соответствии с Положением
28. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем:
1) непосредственного получения оригиналов необходимых документов (заявление, трудовая книжка, медицинская книжка, анкета, иные документы, предоставляемые при поступлении на работу, при оказании услуг);
2) копирования оригиналов документов;
3) внесения сведений в учетные формы (на бумажных и электронных носителях);
4) формирования персональных данных в ходе кадровой работы;
5) внесения персональных данных в информационные системы учреждения, используемые кадровой службой и сектором учета потребителей.
29. Источником информации обо всех персональных данных является непосредственно субъект персональных данных (его законный представитель). Если персональные данные можно получить только у третьей стороны, то субъект персональных данных должен быть заранее в письменной форме уведомлен об этом и от него должно быть получено письменное согласие. Учреждение обязано сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа субъекта персональных данных дать письменное согласие на их получение.
30. Согласие субъекта персональных данных на обработку учреждением персональных данных дается:
лицом, поступающим на работу, – при заключении трудового договора;
лицом при заключении договора гражданско-правового характера (ГПХ);
лицом, оказывающим учреждению услуги по обучению, – при заключении гражданско-правового договора;
лицом, поступающим на обучение, – при возникновении образовательных отношений;
кандидатом на вакантную должность – при направлении резюме или непосредственно до начала собеседования;
потребителем услуг, родителем (законным представителем) несовершеннолетнего гражданина – до начала получения услуг;
посетителем Мероприятий (Субъектом персональных данных);
иным лицом – перед подачей обращения в учреждение или перед началом заседания гражданско-правового сообщества, на которое впервые приглашено лицо, участвующее в деятельности учреждения.
31. Потребители, являющиеся постоянными пользователями услуг учреждения, родители (законные представители) несовершеннолетних потребителей услуг и работники учреждения обязаны сообщать об изменении своих персональных данных (при наличии таких изменений) в течение 10 дней со дня изменения персональных данных.
32. При заключении трудового договора лицо, поступающее на работу, дает согласие на обработку персональных данных по форме, указанной в приложении № 4 к приказу ООО «Академия искусств театра Фантасмагории» от «13» февраля 2024 г. № 15-Д.
При получении услуг за счет средств физических и (или) юридических лиц согласие на обработку персональных данных фиксируется в договоре об оказании платных услуг.
33. При подаче обращения в учреждение посредством официального сайта учреждения в информационно-телекоммуникационной сети «Интернет» согласие субъекта персональных данных дается в электронном виде.
34. При направлении в учреждение документов, содержащих персональные данные, посредством информационно-телекоммуникационной сети «Интернет» субъект персональных данных также направляет согласие на обработку персональных данных в форме электронного документа, подписанного усиленной квалифицированной электронной подписью в соответствии с Федеральным законом от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи».
35. При отказе субъекта персональных данных дать согласие на обработку персональных данных лицо, ответственное за сбор (получение) персональных данных, разъясняет гражданину юридические последствия отказа предоставить их персональные данные, о чем составляется заявление по форме согласно приложению № 6 к приказу ООО «Академия искусств театра Фантасмагории» от «13» февраля 2024 г. № 15-Д.
36. В любой момент согласие на обработку персональных данных может быть отозвано. Также может быть отозвано согласие на осуществление отдельных действий (операций) с персональными данными.
Способы обработки и хранения персональных данных
для осуществления целей обработки персональных данных в соответствии с Положением
37. Персональные данные хранятся в учреждении в бумажном и электронном виде.
38. К документам, содержащим персональные данные на бумажных носителях, относятся:
личные дела работников;
личные дела потребителей услуг;
организационно-распорядительная документация;
объявления.
39. Личные дела работников и потребителей услуг располагаются в алфавитном порядке, хранятся в бумажном виде в папках с описью документов, пронумерованные по страницам, хранятся в специально отведенных металлических шкафах, обеспечивающих защиту от несанкционированного доступа (личные дела потребителей услуг и личные дела работников располагаются в помещении учреждения в сейфах).
40. Личные дела регистрируются в журнале учета личных дел, который ведется в электронном виде и на бумажном носителе.
41. После увольнения работника в личное дело вносятся соответствующие документы (заявление работника, копия приказа о расторжении трудового договора и др.), составляется окончательная опись и личное дело передается в архив учреждения на хранение.
42. При получении персональных данных работником оператора, который в соответствии с должностными обязанностями получает персональные данные от субъекта персональных данных в обязательном порядке проводится проверка достоверности персональных данных. Ввод персональных данных, полученных оператором, в информационную систему осуществляется работниками, имеющими доступ к соответствующим персональным данным. Работники, осуществляющие ввод информации, несут ответственность за достоверность и полноту введенной информации.
43. Не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы.
44. Запрещается сканирование бумажных версий документов, в случае если создание электронных образов документов и хранение этих образов на электронных носителях не требуется законодательством Российской Федерации.
45. Запрещается распечатывание на бумажные носители персональных данных из информационных систем, если это не соответствует целям обработки персональных данных.
46. Документы, находящиеся в работе, могут находиться на рабочих столах или в специальных папках только в течение рабочего дня. По окончании рабочего дня данные документы должны убираться в запирающиеся металлические шкафы.
47. При работе с программными средствами информационной системы оператора, реализующей функции просмотра и редактирования персональных данных, запрещается демонстрация экранных форм, содержащих такие данные, лицам, не имеющим соответствующего допуска.
48. Документы, содержащие персональные данные, хранятся также в виде электронных образов (сканированных копий) на материальных носителях.
49. Перечень мест хранения материальных носителей персональных данных определен приложением № 7 к приказу учреждения от «13» февраля 2024 г. № 15-Д.
Информационные системы персональных данных
50. Оператор в своей деятельности использует следующие информационные системы персональных данных (согласно классификации, установленной пунктом 5 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. №1119):
информационные системы, обрабатывающие персональные данные субъектов персональных данных, не являющихся сотрудниками оператора;
информационные системы, обрабатывающие биометрические персональные данные.
51. Перечень информационных систем персональных данных утверждается приказом учреждения.
52. Учреждение осуществляет проверку и классификацию информационных систем персональных данных, в ходе которой определяются:
состав и структура объектов защиты;
конфигурация и структура информационной системы персональных данных;
информация о разграничении прав доступа к обрабатываемым персональным данным;
режим обработки персональных данных;
выявленные угрозы безопасности персональных данных;
перечень мероприятий обеспечивающих защиту персональных данных;
перечень применяемых средств защиты информации, эксплуатационной и технической документации к ним.
53. Указанная проверка осуществляется при вводе в эксплуатацию информационной системы персональных данных, впоследствии – не реже одного раза в три года, если иной срок не устанавливается производителем информационной системы или нормативным правовым актом.
Сроки обработки и хранения персональных данных, а также порядок уничтожения персональных данных при достижении целей обработки персональных данных, предусмотренных Положением
54. Бумажные и электронные документы, содержащие персональные данные, уничтожаются в следующих случаях:
а) по достижению цели обработки персональных данных;
б) по окончании сроков хранения, установленных приказом Федерального архивного агентства от 20 декабря 2019 г. № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения».
55. В случае отказа в приеме на работу предоставленные на собеседовании кандидатом документы уничтожаются.
56. Персональные данные, содержащиеся в приказах по личному составу (о приеме, о переводе, об увольнении, о надбавках), подлежат хранению в учреждении в течение двух лет с последующим формированием и передачей указанных документов в архив учреждения для хранения в установленном законодательством Российской Федерации порядке.
57. Персональные данные, содержащиеся в личных делах и личных карточках работников учреждения, хранятся в учреждении в течение десяти лет с последующим формированием и передачей указанных документов в архив учреждения для хранения в установленном Российской Федерацией порядке.
58. Персональные данные, содержащиеся в приказах о поощрениях, материальной помощи работников учреждения, подлежат хранению в течение двух лет в учреждении с последующим формированием и передачей указанных документов в архив учреждения для хранения в установленном Российской Федерацией порядке.
59. Персональные данные, содержащиеся в приказах о предоставлении отпусков, о краткосрочных внутрироссийских и зарубежных командировках, о дисциплинарных взысканиях работников учреждения, подлежат хранению в учреждении в течение пяти лет с последующим уничтожением.
60. При увольнении персональные данные работника удаляются с официального сайта учреждения в информационно-телекоммуникационной сети «Интернет» в течение десяти рабочих дней. Сохраняются на сайте персональные данные уволенного работника, размещенные в новостных сюжетах, а также с информацией о достижениях потребителей услуг.
61. Сроки обработки и хранения персональных данных, предоставляемых в связи с получением государственных и муниципальных услуг, определяются нормативными правовыми актами, регламентирующими порядок их сбора и обработки.
62. Персональные данные граждан, обратившихся в учреждение лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, хранятся в течение пяти лет.
63. Срок хранения персональных данных, внесенных в автоматизированные информационные системы, должен соответствовать сроку хранения бумажных оригиналов.
64. Бумажные носители персональных данных уничтожаются посредством измельчения в бумагорезательной (бумагоуничтожительной) машине (шредерах).
65. Персональные данные, содержащиеся на электронных носителях, уничтожаются одним из следующих способов:
тщательное вымарывание (с проверкой тщательности вымарывания) – для сохранения возможности обработки иных данных, зафиксированных на материальном носителе, содержавшем персональные данные;
физическое уничтожение частей носителей информации (внутренних дисков и микросхем) –на жестком магнитном диске (HDD);
уничтожение модулей и микросхем долговременной памяти – для USB- и Flash-носителей;
механическое нарушение целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, – для CD (DVD)-дисков;
стирание с помощью сертифицированных средств уничтожения информации – для записей в базах данных и отдельных документов на машинном носителе.
66. Об уничтожении бумажных и электронных носителей персональных данных составляется акт.
Доступ к персональным данным
67. Персональные данные, которые обрабатываются в информационных системах, подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации.
68. К организационным мерам относятся:
принятие локальных нормативных актов в области защиты персональных данных, ознакомление с указанными документами работников учреждения;
хранение материальных носителей персональных данных в сейфах, металлических запираемых шкафах;
введение пропускной системы в помещения, где хранятся и обрабатываются персональные данные;
дополнительное профессиональное образование работников учреждения, ответственных за обработку персональных данных;
осуществление периодического аудита или внутреннего контроля обработки персональных данных на соответствие принятым в учреждении мерам, локальным нормативным актам;
расследование инцидентов, связанных с нарушением правил обработки персональных данных;
организация процедуры уничтожения информации с персональными данными.
Средства защиты информации:
программная и программно-техническая защита от несанкционированного доступа к персональным данным;
организация безопасного доступа в информационно-телекоммуникационную сеть «Интернет», использование средств межсетевого экранирования;
защита от вредоносного программного обеспечения, вирусов, троянов.
69. Доступ работников учреждения к электронным базам данных, содержащим персональные данные, обеспечивается паролем. Пароль устанавливается и меняется пользователем не реже одного раза в два месяца.
70. Допуск уполномоченных должностных лиц к персональным данным в информационных системах персональных данных учреждения разрешается после обязательного прохождения процедуры идентификации и аутентификации.
71. Уполномоченные должностные лица допускаются к информации, содержащей персональные данные, в соответствии с занимаемой должностью и в объеме, необходимом для выполнения ими должностных обязанностей в соответствии с приложением 8 к приказу учреждения от «13» февраля 2024 г. № 15-Д или должностным регламентом.
72. В целях обеспечения защиты персональных данных субъекты персональных данных вправе:
а) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, за исключением случаев, предусмотренных Федеральным законом «О персональных данных»;
б) требовать внесения необходимых изменений, уничтожения или блокирования персональных данных, которые являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
в) обжаловать в порядке, установленном законодательством Российской Федерации, действия (бездействие) уполномоченных должностных лиц.
Передача персональных данных
73. Запрещается передача электронных копий баз данных, содержащих персональные данные, любым сторонним организациям, за исключением случаев, предусмотренных законодательством Российской Федерации.
74. Запрещается передача персональных данных с персональных компьютеров (планшетов, иных электронных устройств и материальных носителей) оператора на личные электронные устройства работников учреждения.
75. Запрещается выносить из учреждения носители персональных данных без согласования с директором учреждения.
76. Учреждение не вправе сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением следующих случаев: предусмотренных статьями 6, 10 Федерального закона «О персональных данных»;
при осуществлении индивидуального (персонифицированного) учета, связанного с уплатой налогов и сборов в Фонд пенсионного и социального страхования Российской Федерации, Федеральную налоговую службу;
в рамках бухгалтерского и налогового учета уволенных работников;
при получении информации о состоянии здоровья работника, препятствующего дальнейшему выполнению трудовой функции работника;
в целях предупреждения угрозы жизни и здоровью работника;
по требованию правоохранительных органов;
в суды;
адвокатам;
судебным приставам-исполнителям;
по требованию профсоюзов – информацию по социально-трудовым вопросам;
при заседании органов управления учреждением;
оператору связи, оказывающему телематические услуги связи, – в отношении работников, использующих пользовательское (оконечное) оборудование оператора связи;
по запросам средств массовой информации, когда необходимо для защиты общественных интересов;
в военные комиссариаты;
при направлении работника в служебную командировку;
при направлении потребителя услуг на мероприятия, предусмотренные планом работы учреждения;
при осуществлении государственных (муниципальных) функций государственными и (или) муниципальными органами;
а также при размещении на официальном сайте учреждения в информационно-телекоммуникационной сети «Интернет» информации в объеме, предусмотренном Постановлением Правительства Российской Федерации от 10.07.2013 № 582 «Об утверждении Правил размещения на официальном сайте образовательной организации в информационно-телекоммуникационной сети «Интернет» и обновления информации об образовательной организации»;
в иных случаях, предусмотренных законодательством.
77. Передача персональных данных запрещена без согласия субъекта в коммерческих целях, в целях получения приносящей доход деятельности.
78. Передача персональных данных работников в пределах учреждения осуществляется в соответствии с настоящим Положением.
Ответственность за нарушение норм в области персональных данных
79. За нарушение норм в области персональных данных (разглашение персональных данных работников и потребителей услуг, то есть передача посторонним лицам, не имеющим к ним доступа; публичное раскрытие; утрата документов и иных носителей, содержащих персональные данные; иные нарушения обязанностей по их защите, обработке и хранению, установленным настоящим Положением, а также иными локальными нормативными актами учреждения) учреждение в пределах своей компетенции привлекает работника к дисциплинарной ответственности вплоть до увольнения по основанию, предусмотренному подпунктом «в» пункта 6 части первой статьи 81 Трудового кодекса Российской Федерации.
80. В случае причинения ущерба учреждению работник, имеющий доступ к персональным данным и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность в соответствии с пунктом 7 части первой статьи 243 Трудового кодекса Российской Федерации.
81. Работник, совершивший правонарушение в области персональных данных, может быть также подвергнут административной или уголовной ответственности.
67. Персональные данные, которые обрабатываются в информационных системах, подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации.
68. К организационным мерам относятся:
принятие локальных нормативных актов в области защиты персональных данных, ознакомление с указанными документами работников учреждения;
хранение материальных носителей персональных данных в сейфах, металлических запираемых шкафах;
введение пропускной системы в помещения, где хранятся и обрабатываются персональные данные;
дополнительное профессиональное образование работников учреждения, ответственных за обработку персональных данных;
осуществление периодического аудита или внутреннего контроля обработки персональных данных на соответствие принятым в учреждении мерам, локальным нормативным актам;
расследование инцидентов, связанных с нарушением правил обработки персональных данных;
организация процедуры уничтожения информации с персональными данными.
Средства защиты информации:
программная и программно-техническая защита от несанкционированного доступа к персональным данным;
организация безопасного доступа в информационно-телекоммуникационную сеть «Интернет», использование средств межсетевого экранирования;
защита от вредоносного программного обеспечения, вирусов, троянов.
69. Доступ работников учреждения к электронным базам данных, содержащим персональные данные, обеспечивается паролем. Пароль устанавливается и меняется пользователем не реже одного раза в два месяца.
70. Допуск уполномоченных должностных лиц к персональным данным в информационных системах персональных данных учреждения разрешается после обязательного прохождения процедуры идентификации и аутентификации.
71. Уполномоченные должностные лица допускаются к информации, содержащей персональные данные, в соответствии с занимаемой должностью и в объеме, необходимом для выполнения ими должностных обязанностей в соответствии с приложением 8 к приказу учреждения от «13» февраля 2024 г. № 15-Д или должностным регламентом.
72. В целях обеспечения защиты персональных данных субъекты персональных данных вправе:
а) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, за исключением случаев, предусмотренных Федеральным законом «О персональных данных»;
б) требовать внесения необходимых изменений, уничтожения или блокирования персональных данных, которые являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
в) обжаловать в порядке, установленном законодательством Российской Федерации, действия (бездействие) уполномоченных должностных лиц.
Передача персональных данных
73. Запрещается передача электронных копий баз данных, содержащих персональные данные, любым сторонним организациям, за исключением случаев, предусмотренных законодательством Российской Федерации.
74. Запрещается передача персональных данных с персональных компьютеров (планшетов, иных электронных устройств и материальных носителей) оператора на личные электронные устройства работников учреждения.
75. Запрещается выносить из учреждения носители персональных данных без согласования с директором учреждения.
76. Учреждение не вправе сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением следующих случаев: предусмотренных статьями 6, 10 Федерального закона «О персональных данных»;
при осуществлении индивидуального (персонифицированного) учета, связанного с уплатой налогов и сборов в Фонд пенсионного и социального страхования Российской Федерации, Федеральную налоговую службу;
в рамках бухгалтерского и налогового учета уволенных работников;
при получении информации о состоянии здоровья работника, препятствующего дальнейшему выполнению трудовой функции работника;
в целях предупреждения угрозы жизни и здоровью работника;
по требованию правоохранительных органов;
в суды;
адвокатам;
судебным приставам-исполнителям;
по требованию профсоюзов – информацию по социально-трудовым вопросам;
при заседании органов управления учреждением;
оператору связи, оказывающему телематические услуги связи, – в отношении работников, использующих пользовательское (оконечное) оборудование оператора связи;
по запросам средств массовой информации, когда необходимо для защиты общественных интересов;
в военные комиссариаты;
при направлении работника в служебную командировку;
при направлении потребителя услуг на мероприятия, предусмотренные планом работы учреждения;
при осуществлении государственных (муниципальных) функций государственными и (или) муниципальными органами;
а также при размещении на официальном сайте учреждения в информационно-телекоммуникационной сети «Интернет» информации в объеме, предусмотренном Постановлением Правительства Российской Федерации от 10.07.2013 № 582 «Об утверждении Правил размещения на официальном сайте образовательной организации в информационно-телекоммуникационной сети «Интернет» и обновления информации об образовательной организации»;
в иных случаях, предусмотренных законодательством.
77. Передача персональных данных запрещена без согласия субъекта в коммерческих целях, в целях получения приносящей доход деятельности.
78. Передача персональных данных работников в пределах учреждения осуществляется в соответствии с настоящим Положением.
Ответственность за нарушение норм в области персональных данных
79. За нарушение норм в области персональных данных (разглашение персональных данных работников и потребителей услуг, то есть передача посторонним лицам, не имеющим к ним доступа; публичное раскрытие; утрата документов и иных носителей, содержащих персональные данные; иные нарушения обязанностей по их защите, обработке и хранению, установленным настоящим Положением, а также иными локальными нормативными актами учреждения) учреждение в пределах своей компетенции привлекает работника к дисциплинарной ответственности вплоть до увольнения по основанию, предусмотренному подпунктом «в» пункта 6 части первой статьи 81 Трудового кодекса Российской Федерации.
80. В случае причинения ущерба учреждению работник, имеющий доступ к персональным данным и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность в соответствии с пунктом 7 части первой статьи 243 Трудового кодекса Российской Федерации.
81. Работник, совершивший правонарушение в области персональных данных, может быть также подвергнут административной или уголовной ответственности.
