Работа с персональными данными

1. Общие положения

1.1. Настоящее Положение о порядке обработки и защиты персональных данных работников и обучающихся Государственного автономного профессионального образовательного учреждения Мурманской области «Мончегорский политехнический колледж» (далее - Положение) определяет порядок получения, учета, обработки, накопления и хранения персональных данных работников и обучающихся ГАПОУ МО «МонПК», а также устанавливает ответственность должностных лиц, имеющих доступ к персональным данным работников и обучающихся, за невыполнение требований настоящего Положения и норм действующего законодательства, регулирующих обработку и защиту персональных данных.

1.2. Целью настоящего Положения является обеспечение защиты персональных данных, обрабатываемых в ГАПОУ МО «МонПК» (далее - Колледж), от несанкционированного доступа к ним. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.

1.3. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», Указом Президента РФ от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» и иными нормативными правовыми актами Российской Федерации.

1.4. Основные понятия, используемые в Положении:

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

В отношении персональных данных работников и обучающихся Колледжа оператором является ГАПОУ МО «МонПК».

1.5. К персональным данным, получаемым Оператором персональных данных и подлежащим обработке и хранению в порядке, предусмотренном действующим законодательством и настоящим Положением, относятся следующие сведения:

1.5.1. Анкетные и биографические данные.

1.5.2. Фамилия, имя, отчество.

1.5.3. Дата и место рождения.

1.5.4. Гражданство.

1.5.6. Паспортные данные.

1.5.7. Номер страхового свидетельства государственного пенсионного страхования.

1.5.8. ИНН.

1.5.9. Сведения об образовании (номер, серия дипломов, год окончания).

1.5.10. Сведения о приобретенных специальностях.

1.5.11. Наличие/отсутствие судимостей.

1.5.12. Семейное положение, сведения о составе семьи.

1.5.13. Данные о членах семьи (степень родства, ФИО, дата рождения, место работы или учебы)

1.5.14. Адрес и дата регистрации по месту жительства и фактическое место проживания.

1.5.15. Номер домашнего и мобильного телефона.

1.5.16. Сведения о воинской обязанности.

1.5.17. Сведения о трудовом стаже.

1.5.18. Сведения о доходах.

1.5.19. Сведения о социальных льготах.

1.5.20. Сведения о наградах (поощрениях), по повышению квалификации и переподготовке, аттестации, служебным расследованиям.

1.5.21. Результаты медицинского обследования.

1.5.22. Другая информация, необходимая работодателю в целях обеспечения наиболее полного исполнения ГАПОУ МО «МонПК» своих обязанностей, обязательств и компетенций, определенных Федеральным законом от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации», а также действующим трудовым и гражданским законодательством

2. Принципы обработки персональных данных

2.1. Обработка персональных данных осуществляется на основе следующих принципов:

2.1.1. Законность и добросовестность целей и способов обработки персональных данных.

2.1.2 Обработка персональных данных должна ограничиваться достижением конкретных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.1.3. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

2.1.4. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

При определении объема и содержания обрабатываемых персональных данных Оператор должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, действующим федеральным и региональным законодательством, настоящим Положением.

3. Общие требования при обработке персональных данных

3.1. Лица, уполномоченные на получение, обработку, хранение, передачу и другое использование персональных данных при обработке персональных данных субъекта персональных данных, обязаны соблюдать следующие общие требования:

3.1.1. Обработка персональных данных субъекта персональных данных может осуществляться исключительно в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов, исполнения трудового и гражданско- правового договоров, содействия субъекту персональных данных в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности субъекта персональных данных, контроля количества и качества выполняемой работы, качества освоения образовательных программ и обеспечения сохранности имущества.

При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

Оператор должен принимать необходимые меры по удалению или уточнению неполных или неточных данных.

3.1.2. Все персональные данные субъекта персональных данных следует получать у него самого.

Субъект персональных данных принимает решение о предоставлении его персональных данных и дает его согласие на их обработку свободно, своей волей и в своем интересе.

Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных субъекта от его представителя полномочия данного представителя от имени субъекта персональных данных проверяются Оператором.

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

Если персональные данные субъекта персональных данных возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Оператор должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение.

3.1.3. Обработка персональных данных субъекта персональных данных о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, личной или интимной жизни, состоянии здоровья, о его членстве в общественных объединениях или его профсоюзной деятельности не допускается, за исключением случаев, предусмотренных действующим законодательством.

Обработка указанных категорий персональных данных допускается также в случае, если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных.

3.1.4. При принятии решений, затрагивающих интересы субъекта персональных данных, Оператор не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.1.5. Лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством.

3.1.6. При приеме на работу Отдел кадров ГАПОУ МО «МонПК» обеспечивает наличие письменного согласия работника на обработку своих персональных данных, оформленного в соответствии с требованиями действующего законодательства. (Приложение № 1).

3.1.7. При поступлении в ГАПОУ МО «МонПК» для освоения образовательной программы Приемная комиссия обеспечивает наличие письменного согласия абитуриента на обработку своих персональных данных, оформленного в соответствии с требованиями действующего законодательства. (Приложение № 2).

3.1.8. Оператор персональных данных должен сообщить о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствия отказа субъекта персональных данных дать письменное согласие на их получение.

Оператор персональных данных имеет право проверять достоверность предоставленных сведений, сверяя данные, предоставленные субъектом персональных данных с имеющимися у него документами.

4. Хранение и использование персональных данных

4.1. Колледж получает сведения о персональных данных субъектов персональных данных из следующих документов:

4.1.1. Паспорт или иной документ, удостоверяющий личность.

4.1.2. Трудовая книжка, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства.

4.1.3. Страховое свидетельство государственного пенсионного страхования.

4.1.4. Свидетельство о постановке на учёт в налоговом органе.

4.1.5. Документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу.

4.1.6. Документ об образовании, о квалификации или наличии специальных знаний – при поступлении на работу, требующую специальных знаний или специальной подготовки.

В отдельных случаях с учетом специфики работы действующим законодательством может предусматриваться необходимость предъявления при заключении трудового договора дополнительных документов (медицинское заключение, сведения об отсутствии судимости и др.).

4.2. На каждого работника (обучающегося) в Колледже формируется в установленном порядке личное дело. В личное дело работника (обучающегося) вносятся его персональные данные и иные сведения, связанные с поступлением на работу (обучение), его трудовой деятельностью (обучением) и увольнением с работы (отчислением) и необходимые для обеспечения деятельности Колледжа.

4.3. Персональные данные, внесенные в личные дела работников (обучающихся), иные сведения, содержащиеся в личных делах работников (обучающихся), относятся к сведениям конфиденциального характера (за исключением сведений, которые в установленных действующим законодательством случаях могут быть опубликованы в средствах массовой информации), а в случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, – к сведениям, составляющим государственную тайну.

Режим конфиденциальности персональных данных, внесенных в личные дела работников (обучающихся), снимается по истечении 75 лет срока их хранения или продлевается на основании заключения экспертной комиссии, если иное не определено действующим законодательством.

4.4. К личному делу работника приобщаются:

4.4.1. Личная карточка работника установленной формы.

4.4.2. Собственноручно заполненный и подписанный работником личный листок по учету кадров с фотографией.

4.4.3. Документы о прохождении конкурса на замещение вакантной должности (если гражданин назначен на должность по результатам конкурса).

4.4.4. Копии документов о профессиональном образовании, профессиональной переподготовке, повышении квалификации, стажировке, присвоении ученой степени, ученого звания (если таковые имеются).

4.4.5. Копии решений о награждении государственными наградами, присвоении почётных, воинских и специальных званий, присуждении государственных премий (если таковые имеются).

4.4.6. Выписка из приказа о назначении на должность или приёме на работу.

4.4.7. Экземпляр трудового договора, а также экземпляры письменных дополнительных соглашений, которыми оформляются изменения и дополнения, внесенные в трудовой договор.

4.4.8. Выписка из приказа о переводе работника на другую работу.

4.4.9. Выписки из приказов об увольнении работника, о прекращении трудового договора.

4.4.10. Аттестационный лист работника, прошедшего аттестацию.

4.4.11. Копии приказов о поощрении работника

4.4.12. Выписки из приказов об отстранении работника от занимаемой должности или работы.

4.4.13. Выписка из приказа о смене фамилии, имени, отчества и копия документа, подтверждающего смену фамилии, имени, отчества (свидетельство о браке, о разводе, о перемене фамилии, имени, отчества).

К личному делу работника приобщаются иные документы, предусмотренные действующим законодательством.

4.5. К личному делу обучающегося приобщаются:

4.5.1. Заявление о зачислении.

4.5.2. Копия документа государственного образца об образовании (подлинники документов выдаются из дела в связи с переводом в другое учебное заведение, отчислением из Колледжа или после его окончания).

4.5.2. Свидетельство об эквивалентности документа об образовании (для иностранных граждан).

4.5.3. Медицинское заключение о состоянии здоровья.

4.5.4. Копия паспорта.

4.5.5. Копии документов, подтверждающих право на льготный или на иной порядок поступления.

4.5.6. Выписки из приказов о переводе, об отчислении, о восстановлении в число обучающихся, о поощрениях и взысканиях и т.д.

4.5.7. Выписка из приказа об окончании Колледжа.

4.5.8. Выписка из приказа о смене фамилии, имени, отчества и копия документа, подтверждающего смену фамилии, имени, отчества (свидетельство о браке, о разводе, о перемене фамилии, имени, отчества).

4.5.9. Обходной лист.

4.6. Личное дело обучающегося должно отражать и такие возможные изменения в процессе его обучения, как повторный год обучения, академический отпуск:

4.6.1. Заявление о предоставлении повторного года обучения, академического отпуска с приложением медицинской справки или иного документа, подтверждающего основание для предоставления академического отпуска.

4.6.2. Выписка из приказа о предоставлении академического отпуска, повторного года обучения.

4.6.3. Заявление обучающегося о выходе из академического отпуска, на повторный год обучения.

4.6.4. Выписка из приказа о восстановлении в число обучающихся после выхода из академического отпуска (на повторный год обучения).

К личному делу обучающегося приобщаются иные документы, предусмотренные действующим законодательством.

4.7. Формирование, ведение и хранение в течение установленного срока личных дел работников, иных материалов, содержащих их персональные данные, ведение и хранение личных карточек, а также хранение личных дел уволенных работников, с дальнейшей их передачей в установленном порядке в архив осуществляется Отделом кадров.

4.8. Формирование, ведение и хранение в течение установленного срока личных дел обучающихся очной формы обучения, иных материалов, содержащих их персональные данные, а также хранение личных дел отчисленных и окончивших обучение, с дальнейшей их передачей в установленном порядке в архив осуществляется Отделом кадров.

4.9. Формирование, ведение и хранение в течение установленного срока личных дел абитуриентов, иных материалов, содержащих их персональные данные, обеспечивается Приемной комиссией.

4.10. Формирование, ведение и хранение в течение установленного срока личных дел обучающихся заочной формы обучения, иных материалов, содержащих их персональные данные, а также хранение личных дел отчисленных и окончивших обучение, с дальнейшей их передачей в установленном порядке в архив осуществляется заведующим отделением заочной формы обучения.

4.11. Документы, приобщенные к личному делу работника (обучающегося), брошюруются, страницы нумеруются, к личному делу прилагается опись.

Личные дела хранятся в постоянно запертом сейфе или в несгораемом шкафу, обеспечивающем защиту от несанкционированного доступа.

Персональные данные в Отделе кадров могут храниться также в электронном виде на локальной компьютерной сети, доступ к которой обеспечивается системой паролей. Пароли устанавливаются работниками Отдела кадров, имеющим доступ к персональным данным субъектам. Изменение паролей происходит не реже 1 раза в 2 месяца.

4.12. В обязанности должностных лиц, осуществляющих ведение личных дел работников (обучающихся), входит:

4.12.1. Приобщение необходимых документов к личным делам работников (обучающихся).

4.12.2. Обеспечение сохранности личных дел работников (обучающихся).

4.12.3. Обеспечение конфиденциальности сведений, содержащихся в личных делах работников (обучающихся), в соответствии с действующим законодательством, а также в соответствии с настоящим Положением.

4.12.4. Ознакомление работника (обучающегося) с документами своего личного дела по просьбе работника (обучающегося) и во всех иных случаях, предусмотренных действующим законодательством.

4.13. Хранение персональных данных в структурных подразделениях ГАПОУ МО «МонПК», сотрудники которых имеют право доступа к персональным данным, осуществляется в порядке исключающим к ним доступ третьих лиц.

4.14. В процессе хранения персональных данных должны обеспечиваться:

4.14.1. Требования нормативных документов, устанавливающих правила хранения конфиденциальных сведений.

4.14.2. Сохранность имеющихся данных, ограничение доступа к ним, в соответствии с действующим законодательством и настоящим Положением.

4.14.3. Контроль за достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.

4.15. Доступ к персональным данным имеют работники, которым персональные данные необходимы в связи с исполнением ими должностных обязанностей согласно утвержденному директором Колледжа Перечню должностей, имеющих доступ к персональным данным работников и обучающихся ГАПОУ МО «МонПК» (Приложение № 3).

4.16. Процедура оформления доступа к персональным данным включает в себя:

4.16.1. Ознакомление работника под роспись с настоящим Положением.

4.16.2. Истребование с работника письменного обязательства о соблюдении конфиденциальности персональных данных и соблюдении правил их обработки (Приложение № 4).

4.17. Работники, имеющие доступ к персональным данным, имеют право получать только те персональные данные, которые необходимы им для выполнения конкретных трудовых функций. Копировать и делать выписки персональных данных разрешается исключительно в служебных целях с письменного разрешения директора Колледжа.

4.18. Работники, имеющие доступ к персональным данным в связи с исполнением трудовых обязанностей, обеспечивают хранение информации, содержащей персональные данные, исключающее доступ к ним третьих лиц.

4.19. В отсутствие работника на его рабочем месте не должно быть документов, содержащих персональные данные.

При уходе в отпуск, служебной командировке, иных случаях длительного отсутствия работника на своем рабочем месте, увольнении он обязан передать документы и иные носители, содержащие персональные данные лицу, на которое возложено исполнение его трудовых обязанностей.

4.20. Передача (обмен и т.д.) персональных данных между структурными подразделениями Колледжа осуществляется только между сотрудниками, имеющими доступ к персональным данным.

4.21. Помещения, в которых хранятся материальные носители, содержащие персональные данные субъектов персональных данных, оборудуются надежными замками.

Не допускается утеря ключей или передача лицами, уполномоченными на получение, обработку, хранение, передачу и другое использование персональных данных, своих ключей на хранение другим лицам.

4.22. Помещения, в которых хранятся материальные носители, содержащие персональные данные субъектов персональных данных, в рабочее время при отсутствии в них лиц, уполномоченных на получение, обработку, хранение, передачу и другое использование персональных данных, должны быть закрыты.

Проведение уборки помещений, в которых хранятся материальные носители, содержащие персональные данные, должно производиться в присутствии лица, уполномоченного на получение, обработку, хранение, передачу и другое использование персональных данных.

4.23. Личные дела уволенных (отчисленных) работников (обучающихся) хранятся в помещении архива Колледжа.

Находящиеся в архиве документы, по которым истек срок, установленный сводной номенклатурой дел, отбираются к уничтожению.

4.24. В отношении определенных документов действующим законодательством могут быть установлены иные требования хранения, чем предусмотрено настоящим Положением. В таких случаях следует руководствоваться правилами, установленными действующим законодательством.

4.25. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен действующим законодательством, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.

5. Порядок обработки персональных данных

5.1. Обработка персональных данных без использования средств автоматизации:

5.1.1. Обработка персональных данных на материальных носителях считается осуществленной без использования средств автоматизации (неавтоматизированной).

5.1.2. При неавтоматизированной обработке персональных данных на бумажных носителях:

5.1.2.1. Не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо не совместимы.

5.1.2.2. Персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков).

5.1.2.3. Документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных.

5.1.2.4. Дела с документами, содержащими персональные данные, должны иметь внутренние описи документов.

5.1.3. При использовании типовых форм или унифицированных форм документов (далее – типовая форма), характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться следующие условия:

5.1.3.1. Типовая форма должна содержать наименование Колледжа, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных.

5.1.3.2. Типовая форма должна предусматривать графу, в которой субъект персональных данных ставит собственноручную подпись, выражая тем самым свое согласие на обработку персональных данных.

5.1.3.3. Типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащих в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных.

5.1.4. Копирование документов, содержащих персональные данные субъекта персональных данных, должно осуществляться в порядке, исключающим возможность нарушения прав и законных интересов иных субъектов персональных данных, то есть копия документа не должна содержать персональные данные, относящиеся к другим субъектам персональных данных.

5.1.5. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

5.1.6. Неавтоматизированная обработка персональных данных в электронном виде осуществляется на внешних носителях информации (флэш-накопитель, компакт-диск и др.).

5.2. Обработка персональных данных с использованием средств автоматизации.

5.2.1. Обработка персональных данных, содержащихся в базах данных информационной системы, осуществляется с помощью технических средств.

5.2.2. Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации при отсутствии установленных и настроенных сертифицированных средств защиты информации для ИСПДн, попадающих под эти требования в соответствии с действующим законодательством.

Персональные данные работников (обучающихся) Колледжа обрабатываются с использованием автоматизированных систем:

– информационной системы 1С: Бухгалтерия.

6. Обеспечение защиты персональных данных

6.1. Защита персональных данных от неправомерного их использования или утраты обеспечивается директором Колледжа.

6.2. Защита осуществляется в отношении:

6.2.1. Информации о персональных данных.

6.2.2. Документов, содержащих персональные данные.

6.2.3. Персональных данных, содержащихся на электронных носителях.

6.3. Общую организацию защиты персональных данных работников осуществляет лицо, ответственное за организацию обработки персональных данных работников и обучающихся ГАПОУ МО «МонПК», назначаемое приказом директора Колледжа (далее – ответственное лицо).

6.4. Ответственное лицо обеспечивает:

6.4.1. Осуществление внутреннего контроля за соблюдением Оператором и работниками, имеющими доступ к персональным данным, требований действующего законодательства о персональных данных, в том числе требований к защите персональных данных.

6.4.2. Доводить до сведения работников Колледжа положения действующего законодательства о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

6.4.3. Организовывать прием и обработку обращений и субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

6.5. Обеспечение безопасности персональных данных осуществляется, в том числе:

6.5.1. Учетом машинных носителей персональных данных.

6.5.2. Применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

6.5.3. Обнаружением фактов несанкционированного доступа к персональным данным и принятием мер.

6.5.4. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

6.5.5. Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

6.6. Защита персональных данных субъектов персональных данных от неправомерного их использования или утраты обеспечивается Колледжем за счет его средств в порядке, установленном действующим законодательством.

6.7. Внутренняя защита:

6.7.1. В целях обеспечения сохранности и конфиденциальности персональных данных субъектов персональных данных все операции по сбору, накоплению, систематизации и хранению данной информации должны выполняться только уполномоченными на то лицами.

6.7.2. Обработка персональных данных лицами, не имеющими надлежащим образом оформленного доступа, запрещается.

6.7.3. Информация, относящаяся к персональным данным, может быть предоставлена государственным органам в порядке, установленном действующим законодательством.

6.7.4. Оператор обеспечивает ведение журнала учета выданных персональных данных, в котором регистрируются запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация передана.

6.7.5. Ответы на запросы (письменные обращения) уполномоченных лиц и организаций в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке Колледжа и в том объеме, который позволяет не разглашать излишний объем персональных данных о субъектах персональных данных.

Если лицо, обратившееся с запросом, не уполномочено действующим законодательством на получение персональных данных субъектов персональных данных, либо отсутствует письменное согласие субъекта персональных данных на предоставление его персональных данных, лицо, уполномоченные на получение, обработку, хранение, передачу и другое использование персональных данных обязано отказать в предоставлении персональных.

6.8. Внешняя защита:

6.8.1. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией.

6.8.2 Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в структурных подразделениях, уполномоченных на обработку персональных данных.

7. Права субъектов персональных данных

7.1. В целях обеспечения защиты персональных данных, хранящихся у Оператора, субъекты персональных данных имеют право на:

7.1.1. Полную информацию об их персональных данных и обработке этих данных.

7.1.2. Свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные субъекта персональных данных, за исключением случаев, предусмотренных действующим законодательством.

7.1.3. Определение своих представителей для защиты своих персональных данных.

7.1.4. Доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору.

7.1.5. Требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований действующего законодательства.

При отказе Оператора исключить или исправить персональные данные субъекта персональных данных он имеет право заявить в письменной форме Оператору о своем несогласии с соответствующим обоснованием такого несогласия.

7.1.6 Персональные данные оценочного характера субъект персональных данных имеет право дополнить заявлением, выражающим его собственную точку зрения.

7.1.7. Требование об извещении Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта персональных данных, обо всех произведенных в них исключениях, исправлениях или дополнениях.

7.1.8. Обжалование в суд любых неправомерных действий или бездействия Оператора при обработке и защите его персональных данных.

7.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

7.2.1. Подтверждение факта обработки персональных данных Оператором.

7.2.2. Правовые основания и цели обработки персональных данных.

7.2.3. Цели и применяемые Оператором способы обработки персональных данных.

7.2.4. Наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона.

7.2.5. Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен действующим законодательством.

7.2.6. Сроки обработки персональных данных, в том числе сроки их хранения.

7.2.7. Порядок осуществления субъектом персональных данных прав, предусмотренных действующим законодательством.

7.2.8. Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу.

7.2.9. Иные сведения, предусмотренные действующим законодательством.

7.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с действующим законодательством.

8. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

8.1. Лица, виновные в нарушении положений действующего законодательства в области персональных данных при обработке персональных данных субъектов персональных данных, настоящего Положения привлекаются к дисциплинарной и материальной ответственности в порядке, установленном действующим законодательством, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

8.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных действующим законодательством, а также требований к защите персональных данных, подлежит возмещению в соответствии с действующим законодательством. Возмещение морального вреда осуществляется независимо от имущественного вреда и понесенных субъектом персональных данных убытков.

9. Заключительные положения

9.1. Настоящее Положение утверждается и вводится в действие приказом директора Колледжа.

Изменения и дополнения в Положение вносятся в порядке, установленном для его принятия.

9.2. В случае противоречия норм настоящего Положения требованиям действующего законодательства, применяются нормы действующего законодательства.

9.3. Во всем, что не предусмотрено настоящим положением Колледж руководствуется нормами действующего законодательства.

9.4. Настоящее Положение подлежит размещению на официальном сайте Колледжа в сети Интернет в целях обеспечения к нему неограниченного доступа.