Приложение № __
к приказу № 341 от 23.11.2023
Политика обработки
и защиты персональных данных
муниципального автономного учреждения
дополнительного образования
«Дворец детского (юношеского) творчества
имени Лени Голикова»
Великий Новгород
2023 год
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика в отношении обработки персональных данных ДДЮТ им. Лени Голикова (далее – Политика) определяет правовые основания для обработки муниципальным автономным учреждением дополнительного образования «Дворец детского (юношеского) творчества имени Лени Голикова» (далее – ДДЮТ им. Лени Голикова) персональных данных, необходимых для выполнения ДДЮТ им. Лени Голикова уставных целей и задач, основные права и обязанности ДДЮТ им. Лени Голикова и субъектов персональных данных, порядок и условия обработки, взаимодействия с субъектами персональных данных, а также принимаемые ДДЮТ им. Лени Голикова меры защиты данных.
1.2. Действие Политики распространяется на персональные данные субъектов, обрабатываемых ДДЮТ им. Лени Голикова с применением средств автоматизации и без них.
1.3. В соответствии с п. 1 ст. 3 Закона о персональных данных под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
1.4. Категории персональных данных:
1. фамилия, имя, отчество;
2. год, месяц, дата рождения;
3. место рождения;
4. адрес;
5. телефон;
6. семейное положение;
7. социальное положение;
8. имущественное положение;
9. образование;
10. профессия;
11. занимаемая должность;
12. стаж работы;
13. доходы <1>;
14. иная информация.
--------------------------------
<1> В соответствии с письмом Роскомнадзора от 07.02.2014 N 08КМ-3681 "О передаче работодателем третьим лицам сведений о заработной плате работников" сведения о заработной плате лица являются информацией, содержащей персональные данные субъекта персональных данных.
1.5. К персональным данным несовершеннолетнего воспитанника можно отнести сведения, содержащиеся в свидетельстве о рождении, паспорте или ином документе, удостоверяющем личность, и информацию, содержащуюся в медицинской справке формы 079У (приложениях о медицинских обследованиях к медицинской справке формы 079У), иных документах.
2. ПОНЯТИЯ, ИСПОЛЬЗУЕМЫЕ В ПОЛИТИКЕ
2.1. Персональные данные – любая информация, относящаяся к прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).
2.2. Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:
сбор; |
использование; |
запись; |
передачу (распространение, предоставление, доступ); |
систематизацию; |
обезличивание; |
накопление; |
блокирование; |
хранение (до передачи в архив); |
удаление; |
уточнение (обновление, изменение); |
уничтожение. |
извлечение; |
|
2.3. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
2.4. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределённому кругу лиц.
2.5. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц.
2.6. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.7. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе и (или) в результате которых уничтожаются материальные носители персональных данных.
2.8. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.9. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
3. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Обеспечение прав детей дополнительное образование, предусмотренных уставом ДДЮТ им. Лени Голикова, в том числе реализация прав участников образовательных отношений.
3.2. Трудоустройство и выполнение функций работодателя.
3.3. Реализация гражданско-правовых договоров, стороной, выгодоприобретателем или получателем которых является субъект персональных данных.
3.4. Обработка обращений граждан путём заполнения соответствующей формы обратной связи на сайте ДДЮТ им. Лени Голикова.
4. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. В настоящее время в Российской Федерации вопросы, связанные с защитой прав и свобод граждан при обработке персональных данных несовершеннолетних, родителей (законных представителей) детей и работников образовательных организаций, в том числе и защиты прав на неприкосновенность частной жизни, личную и семейную тайну, регулируются:
- Конституцией Российской Федерации от 12 декабря 1993 г.;
- Гражданским кодексом Российской Федерации от 30 ноября 1994 года N 51-ФЗ;
- Трудовым кодексом Российской Федерации от 30 декабря 2001 г. N 197-ФЗ;
- Федеральным законом от 19 декабря 2005 г. N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных";
- Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных";
- Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации".
Во исполнение отдельных положений Федерального закона "О персональных данных" был принят ряд подзаконных нормативных правовых актов:
- Постановление Правительства Российской Федерации от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных";
- Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
- Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";
- Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
- Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
4.2. В соответствии с указом Президента РФ от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера" персональные данные относятся к категории конфиденциальной информации как сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность.
4.3. Деятельность образовательных организаций регулируется положениями Федерального закона от 29.12.2012 N 273-ФЗ "Об образовании в Российской Федерации" и иными нормативными правовыми актами, принятыми в реализацию данного Федерального закона, в том числе касающиеся регламентации оборота личных данных обучающегося, в том числе в части приема граждан на обучение, ведения личных дел обучающихся, электронных форм успеваемости, договорных отношений и иных аспектов организации образовательного процесса в общеобразовательных организациях.
4.4. Основанием для обработки персональных данных также являются договоры с физическими лицами, заявления (согласия, доверенности и т.д.) обучающихся и родителей (законных представителей) несовершеннолетних обучающихся, согласия на обработку персональных данных.
5. ОБЪЁМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. ДДЮТ им. Лени Голикова обрабатывает персональные данные:
работников, в том числе бывших;
кандидатов на замещение вакантных должностей;
родственников работников, в том числе бывших;
обучающихся;
родителей (законных представителей) воспитанников;
физических лиц по гражданско-правовым договорам;
физических лиц, указанных в заявлениях (согласиях, доверенностях и т.п.) воспитанников и родителей (законных представителей) несовершеннолетних воспитанников;
физических лиц – посетителей ДДЮТ им. Лени Голикова;
физических лиц – посетителей официального сайта ДДЮТ им. Лени Голикова, размещённого в информационно-телекоммуникационной сети «Интернет», отправляющих свои данные через:
1) форму обратной связи Обращения граждан;
5.3. ДДЮТ им. Лени Голикова обрабатывает специальные категории персональных данных только в соответствии и на основании требований федеральных законов.
5.4. ДДЮТ им. Лени Голикова обрабатывает персональные данные в объёме, необходимом:
для осуществления образовательной деятельности по реализации дополнительных общеобразовательных общеразвивающих программ, создания благоприятных условий для разностороннего развития личности;
выполнения функций и полномочий работодателя в трудовых отношениях;
выполнения функций и полномочий экономического субъекта при осуществлении бухгалтерского и налогового учёта, бюджетного учёта;
исполнения сделок и договоров гражданско-правового характера, в которых ДДЮТ им. Лени Голикова является стороной, получателем (выгодоприобретателем).
5.5. Обработка персональных данных работников
5.5.1. Под персональными данными работника понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного гражданина.
5.5.2. Статьей 65 Трудового кодекса Российской Федерации установлен перечень документов, предъявляемых при заключении трудового договора:
- паспорт или иной документ, удостоверяющий личность;
- трудовая книжка (при наличии);
- СНИЛС;
- ИНН;
- документы воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);
- документ об образовании и (или) о квалификации или наличии специальных знаний (если работа требует специальных знаний или специальной подготовки);
- справку о наличии (отсутствии) судимости и (или) факта уголовного преследования (при поступлении на работу, связанную с деятельностью, к осуществлению которой не допускаются лица, имеющие или имевшие судимость, подвергающиеся или подвергавшиеся уголовному преследованию).
5.5.3. Согласно п. 8 ст. 86 ТК РФ работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
5.5.4. В соответствии со ст. 89 ТК РФ в целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют следующие права:
- право на полную информацию о своих персональных данных и обработке этих данных;
- право на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника;
В соответствии со ст. 62 ТК РФ такие документы работодатель обязан выдать работнику по его письменному заявлению не позднее трех рабочих дней со дня подачи этого заявления, а копии документов должны быть заверены надлежащим образом и предоставляться работнику безвозмездно.
- право на определение своих представителей для защиты своих персональных данных, в частности представителями работников могут быть профсоюз либо иные лица, которые должны быть наделены соответствующими полномочиями;
- право на доступ к медицинской документации, отражающей состояние своего здоровья, с помощью медицинского работника по своему выбору;
- право на требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ или иного федерального закона;
- право на требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- право на обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите персональных данных работника.
5.5.5. Обработка персональных данных работников организации не требует получения соответствующего согласия указанных лиц, при условии, что объем обрабатываемых работодателем персональных данных не превышает установленные перечни, а также соответствует целям обработки, предусмотренным трудовым законодательством или специальным (отраслевым) законодательством, например, работодателю, осуществляющему деятельность в сфере отдыха и оздоровления детей, сотрудник, помимо прочих обязан предоставить сведения о состоянии здоровья.
5.5.6. Получение работодателем согласия на обработку персональных данных не требуется в следующих случаях:
1. Обязанность по обработке, в том числе опубликованию и размещению персональных данных работников в сети Интернет или при передаче персональных данных работника третьим лицам, предусмотрена законодательством Российской Федерации.
Примерами прямого указания в законодательстве Российской Федерации норм, связанных с обработкой персональных данных, могут стать следующие случаи:
- Согласно статье 9 и пункту 2 статьи 11 Федерального закона от 01.04.1996 N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования" в обязанности работодателя вменяется представление в Пенсионный фонд РФ в определенных случаях и в установленные сроки информации о работниках, содержащей персональные данные;
- Согласно статье 357 ТК РФ работодатель обязан предоставить персональные данные работников государственным инспекторам труда при выполнении ими надзорных и контрольных функций.
Другим примером может служить обязанность в соответствии с пунктом 2 статьи 10 Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" владельцев сайтов в сети "Интернет" разместить на принадлежащем ему сайте информацию о своих наименовании, месте нахождения и адресе, а также адресе электронной почты.
2. Согласие работника не требуется при получении, в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством Российской Федерации. Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации. В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, работодатель обязан получить согласие работника на предоставление его персональных данных и предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.
3. Образовательные организации в соответствии с постановлением Правительства Российской Федерации от 10.07.2013 N 582 публикуют на своем официальном сайте в сети "Интернет" без согласия на обработку персональных данных следующие данные о работниках организации: информация о руководителе образовательной организации, его заместителях, руководителях филиалов образовательной организации (при их наличии), в том числе: фамилия, имя, отчество (при наличии) руководителя, его заместителей; должность руководителя, его заместителей; контактные телефоны; адрес электронной почты; персональный состав педагогических работников с указанием уровня образования, квалификации и опыта работы, в том числе: фамилия, имя, отчество (при наличии) работника; занимаемая должность (должности); преподаваемые дисциплины; ученая степень (при наличии); ученое звание (при наличии); наименование направления подготовки и (или) специальности; данные о повышении квалификации и (или) профессиональной переподготовке (при наличии); общий стаж работы; стаж работы по специальности. В иных случаях согласно ст. 88 ТК РФ при передаче персональных данных работника работодатель должен не сообщать персональные данные работника третьей стороне без письменного согласия работника, а письменная форма согласия должна соответствовать ч. 4 ст. 9 Закона о персональных данных.
4. Обработка персональных данных близких родственников работника в объеме, предусмотренной законодательством Российской Федерации предусмотренном унифицированной формой N Т-2, утвержденной постановлением Госкомстата Российской Федерации от 05.01.2004 N 1 "Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты", либо в случаях, установленных законодательством Российской Федерации (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат). Согласно пункту 1 статьи 20 Федерального закона от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации" гражданине, претендующие на замещение должности гражданской службы и замещающие должность гражданской службы, включенную в перечень, установленный нормативными правовыми актами Российской Федерации, обязаны предоставлять сведения о своих доходах, об имуществе и обязательствах имущественного характера, а также о доходах, об имуществе и обязательствах имущественного характера членов своей семьи.
В иных случаях, получение согласия близких родственников работника является обязательным условием обработки их персональных данных.
5. Обработка специальных категорий персональных данных работника, в том числе, сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения работником трудовой функции на основании положений п. 2.3 ч. 2 ст. 10 Закона о персональных данных в рамках трудового законодательства, в частности согласно ст. 228 ТК РФ о несчастном случае с работником работодатель обязан проинформировать соответствующие органы.
6. Работодатель вправе обрабатывать персональные данные уволенного работника в случаях и в сроки, предусмотренные федеральным законодательством. К таким случаям, в том числе, относится обработка персональных данных в рамках бухгалтерского и налогового учета. С учетом положений п. 2 ч. 1 ст. 6 Закона о персональных данных, согласие уволенных работников на обработку их персональных данных в вышеуказанных случаях не требуется.
По истечении сроков, определенных законодательством Российской Федерации, личные дела работников и иные документы передаются на архивное хранение на срок 75 лет. При этом, на организацию архивного хранения, комплектования, учет и использование архивных документов, содержащих персональные данные работников, действие Закона о персональных данных не распространяется, и соответственно, обработка указанных сведений не требует соблюдения условий, связанных с получением согласия на обработку персональных данных.
5.5.7. Получение согласия также является обязательным условием при направлении работодателем запросов в иные организации, в том числе, по прежним местам работы, для уточнения или получения дополнительной информации о соискателе. Исключение составляют случаи заключения трудового договора с бывшим государственным или муниципальным служащим. В соответствии со ст. 64.1 Трудового кодекса Российской Федерации работодатель при заключении трудового договора с гражданами, замещавшими должности государственной или муниципальной службы, перечень которых устанавливается нормативными правовыми актами Российской Федерации, в течение двух лет после их увольнения с государственной или муниципальной службы обязан в десятидневный срок сообщать о заключении такого договора представителю нанимателя (работодателю) государственного или муниципального служащего по последнему месту его службы в порядке, устанавливаемом нормативными правовыми актами Российской Федерации.
5.5.8. Вышеуказанные требования распространяются на не только штатных сотрудников, но и граждан, с которыми у юридического или физического лица заключены гражданско-правовые договоры, а в соответствии с п. 8 ст. 86 ТК РФ работники должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также с их правами и обязанностями в этой области.
5.6. Биометрические персональные данные ДДЮТ им. Лени Голикова не обрабатывает.
6. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. ДДЮТ им. Лени Голикова осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
6.2. Получение персональных данных:
6.2.1. Все персональные данные ДДЮТ им. Лени Голикова получает от самого субъекта персональных данных. В случаях, когда субъект персональных данных несовершеннолетний – от его родителей (законных представителей) либо с их согласия, если субъект персональных данных достиг возраста 14 лет; В случаях, когда субъект персональных данных – физическое лицо, указанное в заявлениях (согласиях, доверенностях и т.п.) воспитанников и родителей (законных представителей) несовершеннолетних воспитанников, ДДЮТ им. Лени Голикова может получить персональные данные такого физического лица от воспитанников, родителей (законных представителей) воспитанников;
6.2.2. ДДЮТ им. Лени Голикова сообщает субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных, перечне действий с персональными данными, сроке, в течение которого действует согласие и порядке его отзыва, а также о последствиях отказа субъекта персональных данных дать письменное согласие на их получение.
6.2.3. Документы, содержащие персональные данные, создаются путём:
копирования оригиналов документов;
внесения сведений в учётные формы;
получения оригиналов необходимых документов.
6.3. Обработка персональных данных:
6.3.1. ДДЮТ им. Лени Голикова обрабатывает персональные данные в случаях:
согласия субъекта персональных данных на обработку его персональных данных;
когда обработка персональных данных необходима для осуществления и выполнения ДДЮТ им. Лени Голикова возложенных законодательством РФ функций, полномочий и обязанностей;
когда осуществляется обработка общедоступных персональных данных, доступ к которым субъект персональных данных предоставил неограниченному кругу лиц.
6.3.2. ДДЮТ им. Лени Голикова обрабатывает персональные данные:
без использования средств автоматизации;
с использованием средств автоматизации в программах и информационных системах: «1С: Зарплата и кадры», «ПФДО», и др.
6.3.3. ДДЮТ им. Лени Голикова обрабатывает персональные данные в сроки:
которые необходимы для достижения целей обработки персональных данных;
действия согласия субъекта персональных данных;
которые определены действующим законодательством для обработки отдельных видов персональных данных.
6.4. Хранение персональных данных:
6.4.1. ДДЮТ им. Лени Голикова хранит персональные данные в течение срока, необходимого для достижения целей их обработки, документы, содержащие персональные данные, - в течение срока хранения документов, предусмотренного номенклатурой дел с учётом архивных сроков хранения.
6.4.2. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограничением права доступа.
6.4.3. Персональные данные, обрабатываемые с использованием средств автоматизации, - в порядке и на условиях, которые определяет политика безопасности средств автоматизации.
6.4.4. При автоматизированной обработке персональных данных не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) информационных систем.
6.4.5. Хранение персональных данных осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
6.5. Прекращение обработки персональных данных:
6.5.1. Лица, ответственные за обработку персональных данных, прекращают их обрабатывать:
при достижении целей обработки;
истечении срока действия согласия;
отзыве субъектом персональных данных своего согласия на обработку персональных данных, при осуществлении правовых оснований для продолжения обработки без согласия;
выявлении неправомерной обработке персональных данных.
6.6. Передача персональных данных:
6.6.1. ДДЮТ им. Лени Голикова обеспечивает конфиденциальность персональных данных.
6.6.2. ДДЮТ им. Лени Голикова передаёт имеющиеся персональные данные третьим лицам в следующих случаях:
субъект персональных данных дал своё согласие на такие действия;
передача персональных данных осуществляется в соответствии с требованиями действующего законодательства РФ в рамках установленной процедуры.
6.6.3. ДДЮТ им. Лени Голикова не осуществляет трансграничной передачи персональных данных.
6.7. Уничтожение персональных данных:
6.7.1. При достижении целей обработки персональных данных, а также в случае отзыва субъекта персональных данных согласия на их обработку персональные данные подлежат уничтожению, если иное не предусмотрено договором, стороной, получателем (выгодоприобретателем) по которому является субъект персональных данных.
6.7.2. Выделяет документы (носители) с персональными данными к уничтожению комиссия, состав которой утверждается приказом руководителя ДДЮТ им. Лени Голикова.
6.7.3. Документы (носители), содержащие персональные данные, уничтожаются по акту о выделении документов к уничтожению. Факт уничтожения персональных данных подтверждается документально актом об уничтожении документов (носителей), подписанным членами комиссии.
6.7.4. Уничтожение документов (носителей), содержащих персональные данные, производится путём сожжения, дробления (измельчения), химического разложения. Для уничтожения бумажных документов может быть использован шрёдер.
6.7.5. Персональные данные на электронных носителях уничтожаются путём стирания или форматирования носителя.
7. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. ДДЮТ им. Лени Голикова принимает нормативные, организационные, и технические меры защиты персональных данных.
7.2. Нормативные акты защиты персональных даны – комплекс локальных и распорядительных актов, обеспечивающих создание, функционирование, совершенствование механизмов обработки персональных данных.
7.3. Организационные меры защиты персональных данных предполагают создание в ДДЮТ им. Лени Голикова разрешительной системы, защиты информации во время работы с персональными данными работниками, партнёрами и сторонними лицами.
7.4. Подсистема технической защиты включает в себя комплекс технических, программно-аппаратных средств, обеспечивающих защиту персональных данных.
7.5. Основными мерами защиты персональных данных в ДДЮТ им. Лени Голикова являются:
7.5.1. Назначение ответственного за организацию обработки персональных данных. Ответственный осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением ДДЮТ им. Лени Голикова и его работниками требований к защите персональных данных.
7.5.2. Издание локальных актов по вопросам обработки персональных даны, а также локальных актов, определяющих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.
7.5.3. Ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, настоящей Политикой, локальными актами по вопросам обработки персональных данных.
7.5.4. Определение актуальных угроз безопасности персональным данным при их обработке с использованием средств автоматизации и разработке мер и мероприятий по защите персональных данных.
7.5.5. Установлений правил доступа к персональным данным, обрабатываемым с использованием средств автоматизации, а также регистрация и учёт всех действий, совершаемых с персональными данными в информационных системах, и их контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищённости информационных систем.
7.5.6. Учёт электронных носителей персональных данных.
7.5.7. Принятие мер по факту обнаружения несанкционированного доступа к персональным данным, обрабатываемым с использованием средств автоматизации, в том числе восстановление персональных данных, которые были модифицированы или уничтожены вследствие несанкционированного доступа к ним.
7.5.8. Оценка вреда, который может быть причинён субъектам персональных данных в случае нарушения законодательства о персональных данных, оценка соотношения указанного вреда и принимаемых мер.
7.5.9. Внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям законодательства, настоящей Политики, принятых локальных актов.
7.5.10. Публикация настоящей Политики на официальном сайте ДДЮТ им. Лени Голикова в информационно-коммуникационной сети «Интернет».
8. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УННИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. ДДЮТ им. Лени Голикова:
8.1.1. Предоставляет субъекту персональных данных информацию о его персональных данных на основании запроса либо отказывает в выполнении повторного запроса субъекта персональных данных при наличии правовых оснований.
8.1.2. Разъясняет субъекту персональных данных или его законному представителю юридические последствия отказа предоставить его персональные данные и согласие на их обработку.
8.1.3. Блокирует или удаляет неправомерно обрабатываемые, неточные персональные данные либо обеспечивает блокирование или удаление таких данных.
В случае подтверждения факта неточности персональных данных ДДЮТ им. Лени Голикова на основании сведений, представленных субъектом персональных данных или его законным представителем, уточняет персональные данные либо обеспечивает их уточнение и снимает блокирование персональных данных.
8.1.4. Прекращает обработку и уничтожает персональные данные либо обеспечивает прекращение обработки и уничтожение персональных данных при достижении цели обработки персональных данных.
8.1.5. Прекращает обработку персональных данных или обеспечивает прекращение обработки в случае отзыва субъектом персональных данных согласия на обработку его персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между ДДЮТ им. Лени Голикова и субъектом персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных действующим законодательством РФ.
8.2. Субъект персональных данных вправе:
8.2.1. Потребовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.2.2. Получать информацию, касающуюся обработки его персональных данных, кроме случаев, когда такой доступ ограничен федеральными законами.
8.2.3. Обжаловать действия или бездействие ДДЮТ им. Лени Голикова в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.
8.2.4. Защищать свои права и законные интересы, в том числе на возмещение убытков и (или) компенсацию морального вреда, в судебном порядке.
Приложение 1
Обязательство |
о соблюдении конфиденциальности персональных данных |
|
Я, _____________________________________________________________ ,
(фамилия, имя, отчество полностью)
являясь сотрудником ________________________________, непосредственно осуществлявшим обработку персональных данных, ознакомлен(а) с требованиями по соблюдению конфиденциальности обрабатываемых мною персональных данных субъектов персональных данных и обязуюсь после расторжения Администрацией __________________________ со мной трудового договора прекратить обработку персональных данных, ставших мне известными в связи с исполнением должностных обязанностей.
Я предупрежден(а) о предусмотренной действующим законодательством Российской Федерации ответственности за нарушения неприкосновенности частной жизни и установленного законом порядка сбора, хранения, использования или распространения информации о субъектах персональных данных.
_____________________________ ______________ ___________ (ФИО) (подпись) (дата)
|
|