1. ОБЛАСТЬ ПРИМЕНЕНИЯ
Настоящее Положение является локальным нормативным актом Учебно-Тренажерного Центра «Флагман» и определяет порядок обработки персональных данных сотрудников, потенциальных слушателей и слушателей.
Целью данного Положения является защита персональных данных сотрудников, потенциальных слушателей и слушателей от несанкционированного доступа, неправомерного их использования или утраты.
2. НОРМАТИВНЫЕ ССЫЛКИ
2.1. В настоящем положении использованы ссылки на следующие документы:
– Международный Кодекс ПДНВ 78 с поправками (далее – Конвенция ПДНВ);
– Федеральный закон от 29.12.2012 № 273-ФЗ (ред. От 23.07.2013) «Об образовании в Российской Федерации» (в действующей редакции);
– Порядок организации и осуществления образовательной деятельности по основным программам профессионального обучения, утвержденным приказом Министерством образования и науки РФ от 18.04.2013 г. №292 (в действующей редакции);
– Порядок организации и осуществления образовательной деятельности по дополнительным профессиональным программам, утвержденный приказом Министерства образования и науки РФ от 01.07.2013г. №499 (в действующей редакции);
– Положение о дипломировании членов экипажей морских судов утвержденное Приказом Министерства транспорта России от 15 марта 2012 г. № 62 в редакции Приказа Министерства транспорта России от 13.05.2015 № 167;
– Письмо Министерства образования и науки России, департамента государственной политики в сфере подготовки рабочих кадров и дополнительного профессионального образования, от 09.10.2013г. № 06-735 «О дополнительном профессиональном образовании»;
– Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (последняя редакция);
– Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
– Федеральный закон от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» (последняя редакция);
– Приказ Минкомсвязи России от 14.11.2011 № 312 (ред. от 24.11.2014) «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных»;
– Указ Президента Российской Федерации от 17 марта 2008 года № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;
– Указ Президента Российской Федерации от 6 марта 1997 года № 188 «Об утверждении Перечня сведений конфиденциального характера»;
– Постановление Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
– «Кодекс Российской Федерации об административных правонарушениях» от 30.12.2001 N 195-ФЗ (ред. от 01.07.2017);
– Устав ЧУ ДПО УТЦ «ФЛАГМАН»;
– П-УТЦ «Ф» -03 «Положение о сайте»;
– ССК-УТЦ «Ф»-01 Система стандартов качества «Управление документированной информацией»;
– И-УТЦ «Ф» -01 Инструкция по делопроизводству.

3. ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ, ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ

3.1. Термины и определения
В настоящем документе использованы термины и определения:
персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
3.2. Обозначения и сокращения
– МК ПДНВ – Международный Кодекс ПДНВ 78 с поправками;
– ЧУ – частное учреждение;
– ДПО – дополнительное профессиональное образование;
– ЧУ ДПО – частное учреждение дополнительного профессионального образования;
– УТЦ – Учебно-Тренажерный Центр;

4. ОБЩИЕ ПОЛОЖЕНИЯ

4.1. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения для сотрудников Учебно-Тренажерного Центра «Флагман», и по истечении 6 лет срока хранения для потенциальных слушателей и слушателей, если иное не определено законом.
4.2. Настоящее Положение утверждается и вводится в действие приказом директора и является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным сотрудников, потенциальных слушателей и слушателей.
4.3. Изменения в Положение вносятся в порядке, регламентированном ССК-УТЦ «Ф»-01.
5. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающиеся конкретного работника. Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.
5.2. Персональные данные слушателя, потенциального слушателя – это сведения о фактах, событиях и обстоятельствах его жизни, позволяющие идентифицировать его личность, необходимые УТЦ для оказания образовательных услуг и касающиеся слушателя, потенциального слушателя.
5.3. К персональным данным относятся:
– сведения, содержащиеся в паспорте или ином документе, удостоверяющем личность;
– информация об образовании;
– документ о месте проживания;
– информация об успеваемости;
– иные сведения, необходимые для качественного оказания образовательной услуги.
5.4. Документы, полученные от работника, слушателя, потенциального слушателя, являются конфиденциальными и не могут быть использованы сотрудниками УТЦ в личных целях. При определении объема и содержания персональных данных работника, слушателя, потенциального слушателя, УТЦ руководствуется Конституцией РФ, федеральным законом и настоящим положением.
6. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Под обработкой персональных данных работника, потенциального слушателя и слушателя понимается получение, хранение, комбинирование, передача, обезличивание или любое другое использование персональных данных.
6.2. Обработка персональных данных осуществляется сотрудниками УТЦ исключительно для достижения целей, определенных письменными договорами между работником, потенциальным слушателем и слушателем – УТЦ.
6.3. Целью обработки персональных данных является обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, обеспечение личной безопасности, контроля количества и качества выполняемой работы и обеспечение сохранности имущества, потенциальным слушателям и слушателям – получение дополнительного профессионального образования.
6.4. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.
6.5. При определении объема и содержания обрабатываемых персональных данных работника, потенциального слушателя и слушателя, УТЦ должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом и иными федеральными законами.
6.6. Получение персональных данных может осуществляться как путем представления их самим работником, так и путем получения их из иных источников.
6.7. Персональные данные потенциального слушателя, слушателя, могут быть получены посредством электронной почты, сайта УТЦ и предоставления им самим.
6.8. Передача персональных данных работника, потенциального слушателя и слушателя возможна только при его письменном согласии и в случаях, прямо предусмотренных законодательством, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровья или в случаях, установленных федеральным законом.
6.9. Все меры конфиденциальности при сборе, обработке и хранении персональных данных распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
6.10. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.
6.11. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.
6.12. При принятии решений, затрагивающих интересы работника, слушателя, потенциального слушателя, УТЦ не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.
7. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
7.1. Право доступа к персональным данным работника, слушателя, потенциального слушателя внутри УТЦ, имеют:
– директор УТЦ;
– круг лиц, определенный приказом директора УТЦ.
7.2. Право доступа к персональным данным работника, слушателя, потенциального слушателя вне УТЦ, имеют государственные и негосударственные функциональные структуры:
– налоговые инспекции
– правоохранительные органы;
– органы статистики;
– страховые агентства;
– военкоматы;
– органы социального страхования;
– пенсионные фонды;
– подразделения муниципальных органов управления.
7.3. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.
7.4. Организации, в которые сотрудник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае его письменного разрешения.
7.5. Сведения о работающем сотруднике или уже уволенном, слушателе и потенциальном слушателе, могут быть предоставлены другой организации только с письменного запроса на бланке Учебно-Тренажерного Центра, с приложением копии нотариально заверенного заявления лица, сведения о котором запрошены.
7.6. Персональные данные сотрудника, слушателя и потенциального слушателя могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого лица, сведения о котором запрошены.
7.7. В случае развода бывшая супруга (супруг) имеют право обратиться в организацию с письменным запросом о размере заработной платы сотрудника без его согласия (УК РФ).
8. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Защита персональных данных представляет собой жестко регламентированный и динамически-технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и в конечном счете обеспечивающий достаточно надежную безопасность информации в процессе деятельности УТЦ.
8.2. Защита персональных данных работника, слушателя, потенциального слушателя от неправомерного их использования или утраты обеспечивается УТЦ за счет его средств в порядке, установленном федеральными законами.
8.3. Для обеспечения внутренней защиты персональных данных работников, слушателей, потенциальных слушателей соблюдается ряд мер:
– ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;
– строгое избирательное и обоснованное распределение документов и информации между работниками;
– рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;
– знание работником требований нормативно-методических документов по защите информации и сохранении тайны;
– наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
– определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;
– организация порядка обезличивания персональных данных;
– своевременное выявление нарушения требований разрешительной системы доступа работниками подразделения;
– воспитательная и разъяснительная работа с сотрудниками УТЦ по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
– не допускается выдача личных дел сотрудников на рабочие места руководителей. Личные дела могут выдаваться на рабочие места только директору, работникам, определенным приказом директора УТЦ, и в исключительных случаях, по письменному разрешению директора, – руководителю структурного подразделения.
8.4. Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных.
8.5. По возможности персональные данные обезличиваются.
9. ПРАВА И ОБЯЗАННОСТИ РАБОТНИКА, СЛУШАТЕЛЯ, ПОТЕНЦИАЛЬНОГО СЛУШАТЕЛЯ
9.1. В целях защиты персональных данных, хранящихся в УТЦ, работник, слушатель, потенциальный слушатель имеет право:
– требовать исключения или исправления неверных, или неполных персональных данных;
– на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;
– персональные данные оценочного характера дополнить заявлением, выражающим его собственную точку зрения.
9.2. Работник, слушатель, потенциальный слушатель обязан:
– передавать работодателю или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен Трудовым кодексом РФ, федеральными законами;
– своевременно сообщать УТЦ об изменении своих персональных данных;
– определять своих представителей для защиты своих персональных данных;
– на сохранение и защиту своей личной и семейной тайны.
10. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ, СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
10.1. Лица, имеющие доступ к персональным данным работников, слушателей и потенциальных слушателей несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
10.2. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.
10.3. Каждый сотрудник УТЦ, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
10.4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, слушателя, потенциального слушателя, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
10.5. За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера работодатель вправе применять предусмотренные Трудовым кодексом дисциплинарные взыскания.
10.6. В соответствии с Гражданским кодексом лица, незаконными методами получившие информацию, составляющую служебную тайну, обязаны возместить причиненные убытки, причем такая же обязанность возлагается и на работников.