ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПД

2.2. В целях, указанных в пункте 2.1 настоящего Положения, обрабатываются следующие категории персональных данных участников образовательного процесса, кандидатов на работу, работников Учреждения, иных граждан:

• Фамилия, имя, отчество (в том числе прежние фамилии, имена и (или) отчества в случае их изменения, причина изменения).
• Число, месяц, год рождения.
• Место рождения, данные свидетельства о рождении.
• Информация о гражданстве (в том числе предыдущие гражданства, иные гражданства).
• Вид, серия, номер, документа, удостоверяющего личность на территории Российской Федерации, наименование органа, выдавшего документ, дата выдачи.
• Серия, номер документа, удостоверяющего личность гражданина Российской Федерации за пределами Российской Федерации, наименование органа, выдавшего документ, дата выдачи.
• Адрес места жительства (адрес регистрации и фактического проживания, дата регистрации по месту жительства).
• Номер контактного телефона или сведения о других способах связи.
• Семейное положение, реквизиты свидетельств государственной регистрации актов гражданского состояния.
• Состав семьи, данные свидетельств о рождении детей (при наличии).
• Сведения о близких родственниках (в том числе бывших).
• Сведения о владении иностранными языками, степень владения.
• Реквизиты страхового свидетельства государственного пенсионного страхования.
• Идентификационный номер налогоплательщика.
• Реквизиты страхового медицинского полиса обязательного медицинского страхования.
• Сведения о трудовой деятельности.
• Сведения о трудовой деятельности, в том числе: дата, основания поступления на работу и назначения на должность, дата, основания назначения, перевода, перемещения на иную должность, наименование замещаемых должностей с указанием структурных подразделений, а также сведения о прежнем месте работы).
• Отношение к воинской обязанности, сведения по воинскому учету.
• Сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании).
• Сведения об ученой степени, ученом звании.
• Сведения из поручительства при приеме на работу.
• Информация, содержащаяся в контракте (трудовом договоре), дополнительных соглашениях к контракту (трудовому договору).
• Сведения о государственных и ведомственных наградах, почетных званиях, поощрениях, иных наградах и знаках отличия (кем награжден, когда).
• Сведения об исполнении служебных обязанностей в условиях чрезвычайного положения, в особых условиях, участии в боевых действиях.
• Сведения о ранениях (травмах), полученных в ходе исполнения служебных обязанностей или вследствие пожаров и стихийных бедствий (характер ранений (травм) и обстоятельства их получения, год получения).
• Информация о наличии или отсутствии судимости.
• Информация об оформленных допусках к государственной тайне.
• Сведения о пребывании за границей.
• Сведения о результатах аттестаций на соответствие замещаемой должности.
• Сведения, указанные в оригиналах и копиях приказов по личному составу.
• Сведения о служебных проверках.
• Фотография.
• Сведения, содержащиеся в материалах по расследованию и учету несчастных случаев на производстве и профессиональным заболеваниям.
• Результаты психофизиологического исследования с применением полиграфа.
• Сведения о состоянии здоровья.
• Наличие (отсутствие) медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну, подтвержденное заключением медицинского учреждения.
• Табельный номер работника.
• Сведения о заработной плате (номера расчетного счета и банковской карты, данные договоров, размер денежного содержания).
• Сведения о доходах, расходах, имуществе и обязательствах имущественного характера, а также о доходах, расходах, об имуществе и обязательствах имущественного характера членов семьи.
• Сведения о социальных льготах и о социальном статусе (серия, номер, дата выдачи, наименование органа, выдавшего документ, являющийся основанием для предоставления льгот и статуса).
• Сведения, содержащиеся в копиях решений судов.
• Сведения, подаваемые в налоговую инспекцию, пенсионный фонд, фонд социального страхования и другие учреждения.
• Сведения, содержащиеся в регистрах бухгалтерского учета и внутренней бухгалтерской отчетности.
• Иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 2.1 настоящего Положения.

2.3. Обработка персональных данных осуществляется с согласия граждан, данные которых обрабатываются, за исключением случаев, предусмотренных Федеральным законом «О персональных данных».

2.4. Обработка специальных категорий персональных данных осуществляется с письменного согласия граждан, за исключением случаев, предусмотренных действующим законодательством.

2.5. Обработка персональных данных осуществляется при условии получения согласия граждан в следующих случаях:

• При передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных действующим законодательством Российской Федерации.
• При трансграничной передаче персональных данных.
• При принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.

2.6. В случаях, предусмотренных пунктом 2.5 настоящего Положения, согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом «О персональных данных».

2.7. Обработка персональных данных участников образовательного процесса, кандидатов на работу, работников Учреждения включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, представление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.8. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем:

• Получения оригиналов необходимых документов (паспорт, медицинский полис, заявление, трудовая книжка, автобиография, иные документы, представляемые в кадровое подразделение Учреждения).
• Копирования оригиналов документов.
• Внесения сведений в учетные формы (на бумажных и электронных носителях).
• Формирования персональных данных в ходе кадровой работы. Внесения персональных данных в информационные системы Учреждения.

2.9. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от кандидатов на работу, работников Учреждения, иных законных источников.

2.10. В случае возникновения необходимости получения персональных данных кандидатов на работу, работников Учреждения, у третьей стороны, следует известить об этом кандидата на работу, работника Учреждения, либо заранее, получить их письменное согласие и сообщить им о целях, предполагаемых источниках и способах получения персональных данных.

2.11. Запрещается получать, обрабатывать и приобщать к личному делу персональные данные, не предусмотренные пунктом 2.2 настоящего Положения, и действующим законодательством, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

2.12. При сборе персональных данных работник, осуществляющий сбор (получение) персональных данных непосредственно от участников образовательного процесса, кандидатов на работу, работников Учреждения, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа представить их персональные данные.

2.13. Передача (распространение, представление) и использование персональных данных пациентов, кандидатов на работу, работников Учреждения, осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.

III. ПОРЯДОК ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ

3.1. Обработка персональных данных в Учреждении осуществляется на законной и справедливой основе.

3.2. Определение уровня защищенности персональных данных при их обработке в информационных систем персональных данных Учреждения, осуществляется в порядке, установленном законодательством Российской Федерации.

3.3. Работникам Учреждения, имеющим право осуществлять обработку персональных данных в информационных системах Учреждения, предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе Учреждения. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными обязанностями работников.

Информация вносится в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

3.4. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных Учреждения, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:

• Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
• Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных.
• Применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации.
• Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
• Учет машинных носителей персональных данных.
• Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.
• Восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним.
• Установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных Учреждения, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных.
• Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных.

3.5.Инженер-электроник Учреждения, ответственный за обеспечение информационной безопасности, организует и контролирует ведение учета материальных носителей персональных данных и обеспечивает:

• Своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до ответственного за организацию обработки персональных данных в Учреждении.
• Недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование.
• Возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
• Постоянный контроль за обеспечением уровня защищенности персональных данных.
• Знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией.
• Учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных.
• При обнаружении нарушений порядка представления персональных данных незамедлительное приостановление представления персональных данных пользователям информационной системы персональных данных до выявления причин нарушений и устранения этих причин.
• Разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

3.6. Ответственными за выполнение требований по защите персональных данных при их обработке в информационных системах персональных данных являются руководители структурных подразделений Учреждения (иные лица, назначенные приказом), эксплуатирующих, а также использующих информационные системы, пользователи информационных систем, администратор безопасности.

Администратор безопасности принимает все необходимые меры по восстановлению персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним.

3.7. Обмен персональными данными при их обработке в информационных системах персональных данных Учреждения осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения сертифицированных программных и технических средств.

3.8. Доступ работников, допущенных к обработке персональных данных, предусматривает обязательное прохождение процедуры идентификации и аутентификации пользователя.

3.9. В случае выявления нарушений порядка обработки персональных данных в информационных системах персональных данных Учреждения уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.

IV. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Сроки обработки и хранения персональных данных определяются в соответствии с законодательством Российской Федерации.

4.2. Сроки обработки и хранения персональных данных, представляемых субъектами персональных данных, определяются нормативными правовыми актами, регламентирующими порядок их сбора и обработки.

4.3. Персональные данные граждан, обратившихся в Учреждение лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, хранятся в течение пяти лет.

4.4. Персональные данные, представляемые субъектами на бумажном носителе хранятся на бумажных носителях в соответствующих структурных подразделениях, к полномочиям которых относится обработка персональных данных в соответствии с действующими нормативными актами.

4.5. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

4.6. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящим Положением.

4.7. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений.

4.8. Срок хранения персональных данных, внесенных в информационные системы персональных данных Учреждения, должен соответствовать сроку хранения бумажных оригиналов.

V. КОНТРОЛЬ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Целью контроля является соблюдение структурными подразделениями Учреждения, эксплуатирующими информационные системы и обрабатывающими персональные данные без средств автоматизации, требований по обеспечению безопасности персональных данных.

5.2. Задачами контроля являются:

• Установление фактического положения дел по обеспечению безопасности персональных данных при их обработке.
• Выявление проблемных вопросов в организации обеспечения безопасности персональных данных.
• Обеспечение соблюдения законодательства Российской Федерации в области персональных данных.
• Выработка мер по оказанию методической и практической помощи структурным подразделениям Учреждения, эксплуатирующим информационные системы и обрабатывающими персональные данные без средств автоматизации.

VI. ОЦЕНКА ВРЕДА, КОТОРЫЙ МОЖЕТ БЫТЬ ПРИЧИНЕН СУБЪЕКТАМ ПЕРСОНАЛЬНЫХ ДАННЫХ В СЛУЧАЕ НАРУШЕНИЯ ТРЕБОВАНИЙ ПО ОБРАБОТКЕ И ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Оценкой вреда, который может быть причинен субъектам персональных данных, в случае нарушения требований по обработке и обеспечению безопасности персональных данных является определение юридических или иным образом затрагивающих права и законные интересы последствий в отношении субъекта персональных данных, которые могут возникнуть в случае нарушения требований по обработке и обеспечению безопасности персональных данных.

6.2. К юридическим последствиям относятся случаи возникновения, изменения или прекращения личных либо имущественных прав субъектов персональных данных или иным образом затрагивающие их права, свободы и законные интересы.

6.3. В целях недопущения нарушения и обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также определения соотношения вреда, который может быть причинен субъектам персональных данных при обработке персональных данных должны определяться и документально оформляться все возможные юридические или иным образом затрагивающие права и законные интересы последствия, которые могут возникнуть в случае нарушения требований по обработке и обеспечению безопасности персональных данных.

VII. ОТВЕТСТВЕННОСТЬ

7.1. Работники, допущенные к обработке персональных данных, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут персональную ответственность за несоблюдение требований по обеспечению безопасности персональных данных, установленных в соответствии с законодательством Российской Федерации и настоящим Положением.

7.2. В случаях нарушения порядка обеспечения безопасности персональных данных и нанесения Учреждением материального или иного ущерба, виновные лица несут дисциплинарную, административную, гражданско-правовую, уголовную и иную ответственность, предусмотренную законодательством Российской Федерации.