Политика конфиденциальности
УТВЕРЖДЕНО Директором Профессионального
образовательного учреждения
«КОЛЛЕДЖ СОВРЕМЕННОГО
УПРАВЛЕНИЯ» И.Ю.Чаевым 28.02.2023г.
ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Москва, 2023г
1. Введение
1.1.Настоящее Положение разработано в соответствии с законодательством Российской Федерации о персональных данных и нормативно-методическими документами исполнительных органов государственной власти по вопросам безопасности персональных данных, в том числе при их обработке в информационных системах персональных данных.
1.2.Основными нормативно-правовыми документами, на которых базируется настоящее Положение, являются:
-Федеральный закон Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее Закон о персональных данных), устанавливающий основные принципы и условия обработки персональных данных, права, обязанности и ответственность участников отношений, связанных с обработкой персональных данных;
-Федеральный закон от 14 июля 2022 г. № 266-ФЗ “О внесении изменений в Федеральный закон «О персональных данных»;
-Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных»;
-Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
-Приложение к приказу Роскомнадзора от 30.05.2017 № 94 Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения;
-Приказ Роскомнадзора от 30.10.2018 № 159 «О внесении изменений в Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утвержденные приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30 мая 2017 года № 94.
1.3.Для осуществления мероприятий по обеспечению и контролю безопасности персональных данных, обработки обращений субъектов персональных данных и взаимодействия с уполномоченным органом по защите прав субъектов персональных данных (Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, Роскомнадзор) приказом директора Профессионального образовательного учреждения «КОЛЛЕДЖ СОВРЕМЕННОГО УПРАВЛЕНИЯ (далее колледж) назначается работник, ответственный за организацию обработки персональных данных, и работник, ответственный за обеспечение безопасности персональных данных.
1.4.Настоящее Положение подлежит пересмотру и при необходимости актуализации в случае изменений в законодательстве Российской Федерации о персональных данных, при изменении организационной структуры колледжа.
1.5.Для целей настоящего Положения используются следующие основные понятия:
-персональные данные работника любая информация, относящаяся к определенному или определяемому на основании такой информации работнику, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая работодателю в связи с трудовыми отношениями;
-обработка персональных данных — сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных работников образовательной организации;
-конфиденциальность персональных данных — обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным работников, требование не допускать их распространения без согласия работника или иного законного основания;
-распространение персональных данных — действия, направленные на передачу персональных данных работников определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных работников в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным работников каким-либо иным способом;
-использование персональных данных — действия (операции) с персональными данными, совершаемые должностным лицом Учреждения в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работников либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
-блокирование персональных данных— временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных работников, в том числе их передачи;
-уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных работников или в результате которых уничтожаются материальные носители персональных данных работников;
-обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному работнику;
-общедоступные персональные данные— персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
-информация сведения (сообщения, данные) независимо от формы их представления;
-документированная информация — зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
2.Назначение и область действия
2.1.Настоящее Положение предназначено для организации в колледже процесса обработки персональных данных согласно нормам и принципам действующего федерального законодательства.
2.2.Действие настоящего Положения распространяется на все процессы по сбору, систематизации, накоплению, хранению, уточнению, использованию, распространению (в том числе передаче), обезличиванию, блокированию, уничтожению персональных данных, осуществляемые с использованием средств автоматизации и без их использования.
2.3.Положение обязательно для ознакомления и исполнения всеми работниками, допущенными к обработке персональных данных, Ответственным за организацию обработки персональных данных, Ответственным за обеспечение безопасности персональных данных, инженерами по телекоммуникации (техниками).
3. Принципы обработки персональных данных
Обработка персональных данных осуществляется на основе следующих принципов:
1)обработка персональных данных осуществляется на законной и справедливой основе;
2)обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
З)обработка персональных данных, несовместимая с целями сбора персональных данных, не допускается;
4)не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
5)содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки;
6)при обработке персональных данных обеспечивается точность персональных данных и их достаточность (в случаях необходимости) и актуальность персональных данных по отношению к заявленным целям их обработки;
7)хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
8)обрабатываемые персональные данные подлежат уничтожению или обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4. Условия обработки персональных данных
4.1.Обработка персональных данных осуществляется с соблюдением принципов и правил, установленных Законом о персональных данных. Обработка персональных данных осуществляется в следующих случаях:
1)обработка персональных данных осуществляется с согласия субъекта персональных данных или его законного представителя на обработку его персональных данных;
2)обработка персональных данных необходима для достижения целей, предусмотренных законодательством Российской Федерации, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
З)обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
4)обработка персональных данных необходима для исполнения полномочий исполнительных органов государственной власти г. Москвы, органов местного самоуправления и функций организаций, участвующих в предоставлении государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»;
5)обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
6)обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
7)обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
8)обработка персональных данных осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных (за исключением обработки в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи);
9)осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);
10)осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом, в частности, с нормами информационной открытости образовательной организации согласно Федеральному закону от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации».
4.2.Колледж может включать персональные данные субъектов в общедоступные источники персональных данных, при этом колледж берет письменное согласие субъекта на обработку его персональных данных.
4.3.Колледж может осуществлять обработку данных о состоянии здоровья субъекта персональных данных в следующих случаях:
1)в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;
2)при наличии в штате колледжа лица, профессионально занимающегося медицинской деятельностью и обязанного в соответствии с законодательством Российской Федерации сохранять врачебную тайну, в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг;
3)для защиты жизни, здоровья или иных жизненно важных интересов работника либо для защиты жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
4)для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
5)в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
4.4.В колледже не обрабатываются биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных).
4.5.Колледж не осуществляет трансграничную передачу персональных данных.
4.6.Принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, не осуществляется.
4.7.При отсутствии необходимости письменного согласия субъекта на обработку его персональных данных согласие субъекта может быть дано субъектом персональных данных или его законным представителем в любой позволяющей подтвердить факт его получения форме.
4.8.Колледж вправе получить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Законом о персональных данных, на основании заключаемого с этим лицом договора (далее — поручение оператора). При этом колледж в поручении оператора обязует лицо, осуществляющее обработку персональных данных по поручению колледжа, соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных.
4.9.В случае если колледж поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет колледж. Лицо, осуществляющее обработку персональных данных по поручению колледжа, несет ответственность перед образовательной организацией.
4.10.Колледж обязуется и обязует иные лица, получившие доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
5. Требования к обработке персональных данных
5.1.Обязанности колледжа:
на основании Федерального закона от 14 июля 2022 г. № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» меняется порядок работы с персональными данными»», и колледж должен:
• скорректировать политику конфиденциальности;
• оптимизировать порядок получения согласия на обработку персональных данных (нельзя собирать ПД несовершеннолетних, кроме случаев, установленных законодательством РФ; запрещено ограничивать права и свободы субъектов персональных данных; нельзя получать согласия путем бездействия субъекта. То есть согласие не может даваться путем молчания, не предоставление ответа в течение какого-то времени и т.д.). Согласие может быть дано в форме отдельного документа, путем подписания его электронной цифровой подписью, активация субъектом специального флажка «чекбокса» напротив пользовательского соглашения или политики конфиденциальности;
• изменить внутреннюю документацию, так как усилились правила безопасности данных;
• настроить взаимодействие с ГосСОПКой (подразделение ФСБ).
ГосСОПКА — это Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак, созданная в 2013 году.
ГосСОПКА расследует инциденты кибератак, выявляет уязвимости информационных систем безопасности.
После принятия ФСБ подзаконного акта, который будет конкретизировать как именно нужно взаимодействовать с ГосСОПКой, колледжу необходимо принять регламент взаимодействия с ГосСОПКой;
• если колледж передает персональные данные за границу, необходимо уведомить об этом Роскомнадзор (Трансграничная передача ПД — это передача ПД через границу иностранному лицу. Правила применяются в том числе, если колледж до вступления в силу изменений осуществляла трансграничную передачу данных. Если колледж передает ПД за границу, необходимо направить Роскомнадзору отдельное уведомление до 1 марта 2023 года. Правила уведомления о трансграничной передаче отличаются в зависимости от того, в какую страну направляются данные).
5.1.1.В соответствии с требованиями Закона о персональных данных колледж обязан:
1)оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта в информационно-телекоммуникационной сети «Интернет», с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
2)предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ в течение 10 дней (с возможностью продления до 15 рабочих дней) с даты получения запроса субъекта персональных данных или его представителя;
3)по требованию субъекта персональных данных уточнять, блокировать или удалять обрабатываемые персональные данные, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, в срок, не превышающий сроков, указанных в федеральном законе, со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих эти факты;
4)вести журнал учета обращений субъектов персональных данных, в котором должны фиксироваться запросы субъектов персональных данных на получение персональных данных, а также факты предоставления персональных данных по этим запросам;
5)уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных. Исключение составляют следующие случаи:
-субъект персональных данных уведомлен об осуществлении обработки колледжем его персональных данных;
-персональные данные получены колледжем в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, или на основании федерального закона;
-персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
-колледж осуществляет обработку персональных данных для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта персональных данных;
-предоставление субъекту персональных данных сведений, содержащихся в уведомлении об обработке персональных данных, нарушает права и законные интересы третьих лиц;
6)в случае достижения цели обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий даты, указанной в федеральном законе, с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между колледжем и субъектом персональных данных либо, если колледж не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или другими федеральными законами;
7)в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекратить обработку персональных данных и уничтожить персональные данные в срок, указанный в федеральном законе, с даты поступления указанного отзыва, если иное не предусмотрено соглашением между колледжем и субъектом персональных данных. Об уничтожении персональных данных колледж обязан уведомить субъекта персональных данных;
8)в случае поступления требования субъекта персональных данных о прекращении обработки персональных данных, полученных в целях продвижения товаров, работ, услуг на рынке, немедленно прекратить обработку персональных данных.
5.1.2.В случае если колледж является уполномоченным лицом по обработке персональных данных, субъект имеет право написать обращение оператору, а оператор со своей стороны должен перенаправить обращение в колледж.
5.1.3.Комплекс документов, сопровождающий процесс оформления трудовых отношений работника в колледже при его приеме, переводе и увольнении.
Информация, представляемая работником при поступлении на работу в колледж, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:
-паспорт или иной документ, удостоверяющий личность, а также копии свидетельств о государственной регистрации актов гражданского состояния;
-трудовую книжку или сведения о трудовой деятельности сведения, статья 66.1 настоящего Кодекса (в редакции Федерального закона от 16.12.2019 N 439-ФЗ),за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
-страховое свидетельство государственного пенсионного страхования, страховой медицинский полис обязательного медицинского страхования граждан;
-справку о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям, выданную в порядке и по форме, которые устанавливаются федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере внутренних дел, — при поступлении на работу, связанную с деятельностью, к осуществлению которой в соответствии с настоящим Кодексом, иным федеральным законом не допускаются лица, имеющие или имевшие судимость, подвергающиеся или подвергавшиеся уголовному преследованию;
-справку о том, является или не является лицо подвергнутым административному наказанию за потребление наркотических средств или психотропных веществ без назначения врача либо новых потенциально опасных психоактивных веществ, которая выдана в порядке и по форме, которые устанавливаются федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере внутренних дел, — при поступлении на работу, связанную с деятельностью, к осуществлению которой в соответствии с федеральными законами не допускаются лица, подвергнутые административному наказанию за потребление наркотических средств или психотропных веществ без назначения врача либо новых потенциально опасных психоактивных веществ, до окончания срока, в течение которого лицо считается подвергнутым административному наказанию;
-документы воинского учета — для военнообязанных и лиц, подлежащих воинскому учету; -документы об образовании, профессиональной переподготовке, повышении квалификации, стажировке, присвоении ученой степени, ученого звания (если таковые имеются);
-свидетельство о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации;
-в отдельных случаях с учетом специфики работы настоящим Кодексом, иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации может предусматриваться необходимость предъявления при заключении трудового договора дополнительных документов.
При оформлении работника в колледже работником отдела кадров заполняются унифицированные формы Т-1 и Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:
-общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);
-сведения о воинском учете;
-данные о приеме на работу;
В дальнейшем в личную карточку вносятся:
-сведения о переводах на другую работу;
-сведения об аттестации;
-сведения о повышении квалификации;
-сведения о профессиональной переподготовке;
-сведения о наградах (поощрениях), почетных званиях;
-сведения об отпусках;
-сведения о социальных гарантиях;
-сведения о месте жительства и контактных телефонах.
В отделе кадров колледжа создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде.
Документы, содержащие персональные данные работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию; проведению собеседований с кандидатом на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству образовательного учреждения, руководителям структурных подразделений; копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения).
Документация по организации работы структурных подразделений (положения о структурных подразделениях, должностные инструкции работников, приказы, распоряжения, указания руководства образовательного учреждения); документы по планированию, учету, анализу и отчетности в части работы с персоналом образовательной организации.
5.2.Процессы обработки персональных данных
Обработка персональных данных в информационных системах персональных данных включает в себя следующие основные процессы:
-сбор персональных данных;
-использование персональных данных;
-хранение персональных данных в информационных системах персональных данных;
-передача персональных данных;
-уточнение персональных данных;
-блокирование персональных данных;
-уничтожение персональных данных.
5.2.1.Сбор персональных данных
5.2.1.1.Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть корректным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не предусмотрено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если предоставление персональных данных нарушает права и законные интересы других лиц.
Персональные данные получаются лично у субъектов персональных данных (законных представителей субъектов) либо от другого оператора, за исключением случаев получения персональных данных из общедоступных источников (в том числе справочников, адресных книг).
5.2.1.2.При сборе персональных данных образовательная организация обязана использовать базы данных, находящиеся на территории Российской Федерации.
5.2.1.3.В случаях, когда персональные данные получены не от субъекта персональных данных, то до начала обработки таких персональных данных субъекту персональных данных предоставляется следующая информация:
-наименование и адрес колледжа;
-цель обработки персональных данных и ее правовое основание;
-предполагаемые пользователи персональных данных;
-установленные Законом о персональных данных права субъекта персональных данных;
-источник получения персональных данных.
5.2.1.4.Уведомление субъекта об обработке персональных данных, полученных не от него самого, не осуществляется в следующих случаях:
-субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
-персональные данные получены на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
-персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
-колледж осуществляет обработку персональных данных для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта персональных данных.
5.2.1.5.Колледж может получать, обрабатывать и приобщать к личному делу работников и обучающихся данные о состоянии их здоровья без письменного согласия, когда обработка персональных данных осуществляется или необходима:
-в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;
-для защиты жизни, здоровья или иных жизненно важных интересов работника колледжа либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
-для установления или осуществления прав персональных данных работника колледжа или третьих лиц, а равно и в связи с осуществлением правосудия;
-в соответствии с законодательством об обязательных видах страхования и со страховым законодательством.
5.2.1.6.Во всех остальных случаях образовательная организация может получать, обрабатывать и приобщать к личному делу работников и обучающихся данные о состоянии их здоровья только с их письменного согласия (согласия законных представителей).
5.2.2.Использование персональных Данных
Использование персональных данных, собранных в соответствии с подразделом 5.2.1. выше, в информационных системах персональных данных осуществляется работниками, занимающими должности, допущенные приказом директора колледжа к работе с персональными данными, в целях принятия решений или совершения иных действий в отношении субъекта персональных данных и обеспечения функционирования процессов колледжда.
5.2.3.Хранение персональных Данных
5.2.3.1.Хранение персональных данных в колледже осуществляется в соответствии со следующими требованиями:
-хранение персональных данных осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места их хранения;
-хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
-не осуществляется несанкционированное копирование персональных данных на отчуждаемые носители информации;
-при хранении персональных данных в информационных системах персональных данных соблюдаются условия, обеспечивающие конфиденциальность и сохранность персональных данных;
-исключен несанкционированный доступ к персональных данных (доступ разрешен только работникам колледжа, включенным в перечень должностей работников колледжа, допущенных к работе с персональными данными).
5.2.3.2.Работники колледжа, обладающие правом доступа к персональным данным, несут ответственность за хранение персональных данных на своих автоматизированных рабочих местах.
5.2.3.3.Копирование персональных данных на внешние электронные носители, такие как флеш-накопители, внешние жесткие диски, CD, DVD и т. д.осуществляется только для выполнения трудовых обязанностей и требований нормативных правовых актов.
5.2.4.Передача персональных Данных
5.2.4.1.Передача персональных данных другим работникам колледжа или третьим лицам осуществляется в следующих случаях:
-исполнение работником трудовых обязанностей, связанных с обработкой персональных данных;
-передача персональных данных организациям, с которыми заключены договоры, предполагающие передачу и обработку персональных данных, в целях обеспечения процессов колледжа;
-передача персональных данных в рамках исполнения федерального законодательства.
5.2.4.2.Работники колледжа, допущенные к работе с персональных данных, не сообщают устно или письменно персональные данные другим работникам или сторонним лицам, которые не участвуют в процессах обработки персональных данных.
5.2.4.3.Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме и в том объеме, который позволяет не разглашать излишний объем персональных данных.
5.2.4.4.При передаче персональных данных работники колледжа не сообщают персональные данные субъекта персональных данных третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, предусмотренных Трудовым кодексом Российской Федерации и иными федеральными законами.
5.2.4.5.Передача персональных данных возможна только в том случае, если исключен несанкционированный доступ к персональных данных в процессе передачи и обеспечивается конфиденциальность передаваемой информации. Если колледж на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности и безопасности персональных данных при их передаче.
5.2.4.6.Согласие субъекта на передачу его персональных данных не требуется, если сообщение информации или предоставление документов, содержащих персональные данные, предусмотрено законодательством Российской Федерации.
5.2.4.7.Работники колледжа осуществляют передачу персональных данных субъекта персональных данных представителю субъекта персональных данных, проверив его полномочия в порядке, установленном законодательством Российской Федерации, и ограничиваются только теми персональными данными, которые необходимы для выполнения указанными представителями функций.
5.2.4.8.В случаях поручения обработки персональных данных другому лицу колледж заключает поручение оператора с этим лицом, существенным условием которого является обязанность обеспечения указанным лицом конфиденциальности и безопасности персональных данных при их обработке.
5.2.4.9.Если колледж передает персональные данные за границу, необходимо уведомить об этом Роскомнадзор (Трансграничная передача ПД — это передача ПД через границу иностранному лицу. Правила применяются в том числе, если колледж до вступления в силу изменений осуществляла трансграничную передачу данных. Если колледж передает ПД за границу, необходимо направить Роскомнадзору отдельное уведомление до 1 марта 2023 года. Правила уведомления о трансграничной передаче отличаются в зависимости от того, в какую страну направляются данные).
До начала осуществления трансграничной передачи персональных данных колледж обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.
5.2.4.10.Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
-наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
-предусмотренных международными договорами Российской Федерации.
5.2.4.11.Документы, содержащие персональные данные, передаются через организации, специализирующиеся на почтовых рассылках, организацию федеральной почтовой связи, а также лично работникам сторонних организаций под подпись.
5.2.4.12.Электронные документы, содержащие персональные данные, передаются на учтенных носителях информации и (или) по телекоммуникационным каналам связи при использовании средств криптографической защиты информации.
5.2.5.Уточнение персональных Данных
5.2.5.1.В случае выявления работником колледжа недостоверных персональных данных или неправомерных действий с ними работник информирует о данном факте Ответственного за организацию обработки персональных данных. Ответственный за организацию обработки персональных данных в срок, указанный в федеральном законе, с даты этого выявления, инициирует выполнение действий, описанных в документе «Порядок обработки обращений субъектов персональных данных».
5.2.5.2.В случае уточнения (изменения) персональных данных необходимо известить третьих лиц, которым ранее были сообщены или переданы неверные или неполные персональные данные, обо всех исключениях, исправлениях и дополнениях в них.
5.2.5.3.Об устранении допущенных нарушений или об уничтожении персональных данных требуется уведомить субъекта персональных данных или его законного представителя либо уполномоченный орган по защите прав субъектов персональных данных в случае, если соответствующую проверку инициировал указанный орган.
5.2.6.Блокирование персональных Данных
5.2.6.1.В случае выявления работником колледжа неправомерной обработки персональных данных или выявления неточных персональных данных при обращении субъекта или его представителя либо по запросу уполномоченного органа по защите прав субъектов персональных данных Ответственный за организацию обработки персональных данных инициирует блокирование персональных данных, относящихся к этому субъекту персональных данных, и выполнение действий, описанных в документе «Порядок обработки обращений субъектов персональных данных».
5.2.6.2.В случаях, если отсутствует возможность уничтожения персональных данных, колледж осуществляет блокирование таких персональных данных и обеспечивает их уничтожение в срок, не превышающий шести месяцев.
5.2.7.Уничтожение персональных данных
5.2.7.1.Персональные данные подлежат уничтожению (или обезличиванию) в следующих случаях в указанные сроки:
-по достижении целей обработки персональных данных — в срок, указанный в федеральном законе;
-в случае утраты необходимости в достижении целей обработки персональных данных — в в срок, указанный в федеральном законе;
-в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных — в срок, указанный в федеральном законе, если иной срок не предусмотрен договором или соглашением между колледжем и субъектом персональных данных либо, если колледж не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или другими федеральными законами.
5.2.7.2.Персональные данные подлежат уничтожению (или обезличиванию) в срок, указанный в федеральном законе, с даты выявления неправомерной обработки персональных данных, в следующих случаях:
-в случае если персональные данные являются неполными, устаревшими, неточными (при условии, что уточнение персональных данных невозможно);
-в случае если персональные данные являются незаконно полученными;
-в случае если персональные данные не являются необходимыми для заявленной цели обработки.
5.2.7.3.Процесс уничтожения персональных данных при достижении целей их обработки либо в случае утраты необходимости в достижении этих целей инициирует владелец процесса, в котором эти персональные данные обрабатываются.
5.2.7.4.Процесс уничтожения персональных данных инициирует Ответственный за организацию обработки персональных данных.
5.2.7.5.Владелец процесса, в котором обрабатываются персональные данные, согласовывает уничтожение персональных данных с Ответственным за организацию обработки персональных данных в служебной записке.
5.2.7.6.Ответственный за организацию обработки персональных данных на основании информации, указанной в Перечне персональных данных, обрабатываемых в колледже, определяет, в каких еще бизнес-процессах и в каких информационных системах персональных данных осуществляется обработка персональных данных.
5.2.7.7.Ответственный за организацию обработки персональных данных назначает лицо, ответственное за уничтожение персональных данных. В случае с бумажными носителями персональных данных в качестве лица, ответственного за уничтожение персональных данных, назначается владелец процесса. В случае с другими носителями персональных данных или если обработка персональных данных осуществляется в информационных системах персональных данных, в качестве лица, ответственного за уничтожение персональных данных, назначается инженер по телекоммуникациям (техник) или работник, ответственный за эксплуатацию информационной системы персональных данных.
5.2.7.8.Лицо, ответственное за уничтожение персональных данных, производит уничтожение персональных данных, оформляет и подписывает акт об уничтожении персональных данных. После этого он направляет акт об уничтожении персональных данных Ответственному за организацию обработки персональных данных.
5.2.7.9.Ответственный за организацию обработки персональных данных утверждает акт об уничтожении персональных данных и уведомляет субъекта персональных данных или его представителя.
5.2.7.10.В случае уничтожения персональных данных по результатам проверки или запроса уполномоченного органа по защите прав субъектов персональных данных Ответственный за организацию обработки персональных данных уведомляет об уничтожении персональных данных субъекта персональных данных или его представителя, а также указанный орган.
5.2.7.11.В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных в пунктах 5.2.7.1. и 5.2.7.2. выше, персональные данные должны быть заблокированы, после чего персональные данные должны быть уничтожены в срок, не превышающий шести месяцев.
5.2.7.12.При уничтожении обеспечивается гарантированное уничтожение персональных данных, исключающее возможность их восстановления программными или физическими методами.
5.2.7.13.Уничтожение бумажных носителей персональных данных производится собственными силами образовательной организации или с привлечением специализированной организации путем измельчения, сжигания или преобразования в целлюлозную массу таким образом, чтобы гарантировать невозможность их восстановления.
5.2.7.14.Уничтожение персональных данных в ручном режиме должно оформляться актом об уничтожении персональных данных.
5.3.Обеспечение конфиденциальности персональных данных
5.3.1.Колледж и иные лица, обладающие правом доступа к персональных данных (в рамках выполнения должностных обязанностей или в рамках договора), исполняют обязательство не раскрывать третьим лицам и не распространять персональных данных без согласия субъекта персональных данных, если иное не предусмотрено Законом о персональных данных.
5.3.2.Для обеспечения безопасности персональных данных от неправомочных действий выполняются следующие организационные меры:
-повышение осведомленности работников колледжа по вопросам обеспечения безопасности персональных данных при их обработке;
-своевременное выявление нарушений работниками требований к режиму конфиденциальности;
-все работники, имеющие действующие трудовые отношения, деятельность которых связана с получением и обработкой персональных данных, подписывают обязательство о неразглашении персональных данных либо заключают дополнительное соглашение к трудовым договорам, а также ознакомляются под подпись с настоящим Положением;
-со всеми принимаемыми на работу работниками, деятельность которых будет связана с обработкой персональных данных, заключаются трудовые договоры, и с этими работниками подписываются соответствующие должностные инструкции, в которых должны быть отражены вопросы обязанности обеспечения конфиденциальности персональных данных;
-разделение полномочий пользователей в информационных системах персональных данных в зависимости от их должностных обязанностей;
-наличие формализованной процедуры по предоставлению доступа к информационным системам персональных данных, а также по регулярному пересмотру (ревизии) прав доступа работников колледжа в зависимости от занимаемой ими должности.
5.3.3.Колледж передает персональные данные на обработку третьим лицам (принимающей стороне), только если это необходимо для достижения целей обработки персональных данных, причем существенным условием договора является обязанность обеспечения третьей стороной конфиденциальности и безопасности персональных данных при их обработке.
5.3.4.Передача персональных данных третьим лицам без заключенного договора и без применения мер защиты персональных данных не осуществляется.
5.4.Работа с персональных данных на автоматизированных рабочих местах
При работе с персональными данными на автоматизированных рабочих местах работники колледжа соблюдают следующие правила:
-принятые в колледже правила парольной политики;
-исключение возможности подсматривания информации на мониторе посторонними лицами, в том числе и с помощью технических средств (стационарных и встроенных в мобильные телефоны фото- и видеокамер и т. п.);
-блокирование компьютера при покидании рабочего места в течение рабочего дня даже на небольшой период времени.
5.5. Работа с персональными данными, осуществляемая без
использования средств автоматизации
5.5.1.Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях персональных данных (далее — материальные носители), в специальных разделах или на полях форм (бланков).
5.5.2.При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
5.5.3.Работники, осуществляющие обработку персональных данных без использования средств автоматизации, до начала обработки информируются Ответственным за организацию обработки персональных данных о факте обработки ими персональных данных, о категориях персональных данных, об особенностях и правилах обработки персональных данных.
5.5.4.В типовую форму, в которую происходит внесение персональных данных, включается следующая информация:
-цель обработки персональных данных, наименование и адрес образовательной организации, источник получения персональных данных, срок обработки персональных данных, перечень действий с персональных данных, которые будут совершаться в процессе их обработки;
-поле для проставления субъектом персональных данных отметки о согласии на обработку персональных данных без использования средств автоматизации.
5.5.5.Типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных.
5.5.6.Копирование информации, содержащейся в журнале учета посетителей, не допускается.
5.5.7.Персональные данные каждого субъекта персональных данных заносятся в журнал учета посетителей не более одного раза в каждом случае пропуска субъекта персональных данных на территорию образовательной организации.
5.5.8.При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, принимаются меры по обеспечению раздельной обработки персональных данных, в частности:
-при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
-при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
5.5.9.Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
5.5.10.Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
5.5.11.Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
5.5.12.В колледже осуществляется раздельное хранение персональных данных (материальных носителей), обработка которых совершается в различных целях.
5.5.13.Материальные носители с персональными данными не оставляются без присмотра. Лица, ответственные за носители персональных данных, при покидании рабочего места убирают носители персональных данных в сейф или шкаф, закрывающийся на ключ. Кабинеты, в которых хранятся документы, содержащие персональные данные, при покидании их работниками образовательной организации запираются.
5.6.Работа с обезличенными персональными данными
5.6.1.Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
5.6.2.Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки, Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных.
5.6.3.К свойствам обезличенных данных относятся:
-полнота (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);
-структурированность (сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);
-релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);
-семантическая целостность (сохранение семантики персональных данных при их обезличивании);
-применимость (возможность решения задач обработки персональных данных, стоящих перед образовательной организацией, осуществляющей обезличивание персональных данных);
-анонимность (невозможность однозначной идентификации субъектов персональных данных, полученных в результате обезличивания, без применения дополнительной информации).
5.6.4.К характеристикам (свойствам) методов обезличивания персональных данных, определяющим возможность обеспечения заданных свойств обезличенных данных, относятся:
-обратимость (возможность преобразования, обратного обезличиванию (деобезличивание), которое позволит привести обезличенные данные к исходному виду, позволяющему определить принадлежность персональных данных конкретному субъекту, устранить анонимность);
-вариативность (возможность внесения изменений в параметры метода и его дальнейшего применения без предварительного деобезличивания массива данных);
-изменяемость (возможность внесения изменений (дополнений) в массив обезличенных данных без предварительного деобезличивания);
-стойкость (стойкость метода к атакам на идентификацию субъекта персональных данных);
-возможность косвенного деобезличивания (возможность проведения деобезличивания с использованием информации других операторов);
-совместимость (возможность интеграции персональных данных, обезличенных различными методами);
-параметрический объем (объем дополнительной (служебной) информации, необходимой для реализации метода обезличивания и деобезличивания);
-возможность оценки качества данных (возможность проведения контроля качества обезличенных данных и соответствия применяемых процедур обезличивания установленным для них требованиям).
5.6.5.Требования к методам обезличивания подразделяются:
на требования к свойствам обезличенных данных, получаемых при применении метода обезличивания;
-требования к свойствам, которыми должен обладать метод обезличивания.
5.6.6.К требованиям к свойствам получаемых обезличенных данных относятся:
-сохранение полноты (состав обезличенных данных должен полностью соответствовать составу обезличиваемых персональных данных);
-сохранение структурированности обезличиваемых персональных данных; сохранение семантической целостности обезличиваемых персональных данных;
-анонимность отдельных данных не ниже заданного уровня (количества возможных сопоставлений обезличенных данных между собой для деобезличивания).
5.6.7.К требованиям к свойствам метода обезличивания относятся:
-обратимость (возможность проведения деобезличивания);
-возможность обеспечения заданного уровня анонимности;
-увеличение стойкости при увеличении объема обезличиваемых персональных данных.
5.6.8.Методы обезличивания должны обеспечивать требуемые свойства обезличенных данных, соответствовать предъявляемым требованиям к их характеристикам (свойствам), быть практически реализуемыми в различных программных средах и позволять решать поставленные задачи обработки персональных данных.
5.6.9.Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.
5.6.10.При обработке обезличенных персональных данных соблюдаются требования внутренних нормативных документов, регламентирующих обработку и защиту необезличенных персональных данных.
5.6.11.Используемые процедуры обезличивания и деобезличивания персональных данных должны соответствовать условиям и целям обработки персональных данных.
5.6.12.Обезличивание, деобезличивание и обработка обезличенных данных не должны нарушать права субъекта персональных данных.
5.6.13.Обезличивание персональных данных субъектов осуществляется перед внесением их в информационную систему.
5.6.14.Метод обезличивания персональных данных, обезличенные персональные данные и сопутствующие им сведения, позволяющие провести деобезличивание персональных данных, не подлежат разглашению и нарушению конфиденциальности.
5.6.15.Не допускается совместное хранение обезличенных данных и служебной информации о реализованном методе обезличивания и параметрах процедуры.
5.6.16.Совместная передача обезличенных данных и служебной информации о реализованном методе обезличивания и параметрах процедуры допускается только при обеспечении конфиденциальности канала связи.
5.6.17.Деобезличенные данные, полученные в процессе обработки обезличенных данных, подлежат уничтожению.
6. Взаимодействие с государственными органами
6.1.Колледж обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, указанных в Порядке взаимодействия с уполномоченным органом по защите прав субъектов персональных данных.
6.2.Колледж сообщает в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в сроки, указанные в федеральном законе, с даты получения запроса.
6.3.В случае получения запроса или обращения уполномоченного органа по защите прав субъектов персональных данных о недостоверности персональных данных или неправомерных действиях с ними выявленные нарушения подлежат исправлению. Колледж сообщает в указанный орган об устранении нарушений либо об уничтожении персональных данных в случае невозможности устранения нарушений в срок, указанный в федеральном законе.
6.4.В установленных федеральным законодательством случаях колледж предоставляет информацию, содержащую обрабатываемые персональные данные, по мотивированному запросу уполномоченных органов государственной власти по вопросам их компетенции.
6.5.Запросы на предоставление доступа к обрабатываемым персональным данным могут быть обжалованы в судебном порядке в соответствии с законодательством Российской Федерации.
6.6.Порядок взаимодействия с уполномоченным органом по защите прав субъектов персональных данных описан в Порядке взаимодействия с уполномоченным органом по защите прав субъектов персональных данных.
7. Правила доступа к персональным данным
7.1.В колледже Ответственным за обработку персональных данных на основании предоставленных руководителями подразделений списков должностей, допущенных к обработке персональных данных, разрабатывается Перечень должностей работников, допущенных к работе с персональными данными, определяющий связь между должностями работников и персональными данными, к которым предоставляется доступ. Этот перечень подлежит пересмотру и при необходимости актуализации не реже одного раза в год.
7.2.Работникам колледжа предоставляется доступ к работе с персональными данными исключительно в пределах и объеме, необходимых для выполнения ими своих должностных обязанностей.
7.3.Работники колледжа, которые в силу выполняемых должностных обязанностей постоянно работают с персональными данными, получают допуск к необходимым категориям персональных данных с установленными правами доступа на срок выполнения ими соответствующих должностных обязанностей на основании Перечня должностей работников, допущенных к работе с персональными данными, который утверждается директором колледжа по представлению Ответственного за обеспечение безопасности персональных данных.
7.4.Перечень должностей работников, допущенных к работе с персональными данными, поддерживается в актуальном состоянии. С этой целью проводятся следующие мероприятия:
-на основании согласованных заявок на предоставление доступа Ответственным за организацию обработки персональных данных формируется Перечень должностей работников, допущенных к работе с персональными данными для выполнения своих должностных обязанностей;
-каждые полгода Перечень должностей работников, допущенных к работе с персональными данными, актуализируется Ответственным за организацию обработки персональных данных путем анализа категорий работников, которым необходим доступ к персональным данным.
7.5.Временный или разовый допуск к работе с персональными данными в связи со служебной необходимостью может быть получен работником колледжа по согласованию с Ответственным за обеспечение безопасности персональных данных путем подачи заявки на доступ с указанием цели и срока доступа и категорий персональных данных, к которым запрашивается доступ.
7.6.Доступ к персональным данным может быть прекращен или ограничен в случае нарушения требований настоящего Положения либо в случае изменения должностных обязанностей или увольнения работника колледжа.
7.7.Предоставление и прекращение доступа пользователей к персональным данным осуществляется ответственными за эксплуатацию соответствующих информационных систем персональных данных.
8. Требования к работникам, допущенным к обработке персональных данных
8.1.Все работники колледжа, которым стали известны персональные данные, обрабатывающиеся в информационных системах персональных данных колледжа, должны обеспечивать их конфиденциальность.
8.2.Все работники колледжа, допущенные к работе с персональными данными, ознакомлены под подпись с требованиями настоящего Положения.
8.3.Работники, ответственные за организацию работы подразделений, работниками которых производится обработка персональных данных, а также Ответственный за обеспечение безопасности персональных данных должны быть под подпись ознакомлены с требованиями настоящего документа.
8.4.В колледже организован процесс обучения работников, допущенных к работе с персональными данными, по направлению обеспечения безопасности персональных данных. Ответственность за процесс обучения возлагается на Ответственного за организацию обработки персональных данных.
8.5.Трудовые договоры (или должностные инструкции) работников колледжа, допущенных к работе с персональными данными, содержат раздел, описывающий персональную ответственность за нарушение требований по обеспечению безопасности персональных данных, включая нарушение свойств целостности, конфиденциальности, доступности и установленного порядка обработки персональных данных,
8.6.В случае нарушения установленного порядка обработки персональных данных работники колледжа несут ответственность в соответствии с разделом 9. настоящего Положения.
9. Ответственность за нарушения при обработке персональных данных
9.1.Работники колледжа несут персональную ответственность за соблюдение требований по обработке и обеспечению безопасности персональных данных, установленных настоящим Положением, в соответствии с законодательством Российской Федерации.
9.2.Работник колледжа может быть привлечен к ответственности в случаях:
-умышленного или неосторожного раскрытия персональных данных;
-утраты материальных носителей, содержащих персональные данные
(материальные носители персональных данных);
-нарушения требований настоящего Положения и других локальных нормативных актов в части вопросов обработки персональных данных.
9.3.В случае нарушения установленного порядка обработки и обеспечения безопасности персональных данных, несанкционированного доступа к персональных данных, раскрытия персональных данных и нанесения колледжу, его работникам, клиентам, посетителям и другим субъектам персональных данных материального или иного ущерба виновные лица несут предусмотренную законодательством Российской Федерации ответственность.