Положение по обработке персональных данных
1. Общие положения
1.1. Положение об обработке и защите персональных данных в обществе с ограниченной ответственностью «УЧТРАНС» (далее – Положение) определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных.
1.2. Настоящее Положение разработано в соответствии с Трудовым кодексом Российской Федерации, Кодексом Российской Федерации об административных правонарушениях, Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных», Федеральным законом от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 7 июля 2003 г. N 126-ФЗ «О связи», постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства Российской Федерации от 6 июля 2008 г. N 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» (зарегистрирован Министерством юстиции Российской Федерации 3 апреля 2008 г., регистрационный N 11462) и других определяющих случаи и особенности обработки персональных данных нормативных правовых актов.
1.3. Целью настоящего Положения является защита персональных данных, относящихся к жизни работников и обучающихся, а также контрагентов и клиентов (субъектов персональных данных) в обществе с ограниченной ответственностью «УЧТРАНС» (далее Общество, образовательная организация) от несанкционированного доступа, неправомерного их использования или утраты.
1.4. Настоящее Положение определяет политику общества с ограниченной ответственностью «УЧТРАНС» как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.
1.5. Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных настоящим Положением и законодательством Российской Федерации в области персональных данных.
1.6. В Положении используются следующие основные понятия:
автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;
обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;
уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2. Принципы и условия обработки персональных данных
2.1. Обработка персональных данных должна осуществляться на законной и справедливой основе и ограничиваться достижением конкретных, заранее определенных и законных целей.
Персональные данные субъекта являются конфиденциальной информацией и не могут быть использованы оператором или любым другим лицом в личных целях. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
2.2. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных: Трудовой кодекс Российской Федерации, Гражданский кодекс Российской Федерации, Федеральный закон «Об образовании в Российской Федерации», Устав Общества, договоры об оказании образовательных услуг, иные гражданско-правовые договоры, а также согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).
2.3. Хранение персональных данных должно осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2.4. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
2.5. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом.
2.6. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
2.7. Все сведения о передаче персональных данных субъектов учитываются для контроля правомерности использования данной информации лицами, ее получившими.
2.8. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается только в случаях, если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных или персональные данные сделаны общедоступными самим субъектом персональных данных.
3. Условия и порядок обработки персональных данных работников и лиц, состоящих с ними в родстве (свойстве)
3.1. Персональные данные работников обрабатываются в целях обеспечения кадровой работы, в том числе в целях содействия работникам выполнения работы, обучения и должностного роста, учета результатов исполнения работниками Общества должностных обязанностей, обеспечения работникам установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, сохранности принадлежащего им имущества.
3.2. В целях, указанных в пункте 3.1 настоящего Положения, обрабатываются следующие категории персональных данных работников Общества:
– фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
– число, месяц, год рождения;
– место рождения;
– вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
– адрес места жительства (адрес регистрации, фактического проживания);
– номер контактного телефона или сведения о других способах связи;
– реквизиты страхового свидетельства государственного пенсионного страхования;
– идентификационный номер налогоплательщика;
– реквизиты страхового медицинского полиса обязательного медицинского страхования;
– реквизиты свидетельства государственной регистрации актов гражданского состояния;
– семейное положение, состав семьи и сведения о близких родственниках;
– сведения о трудовой деятельности;
– сведения о воинском учете и реквизиты документов воинского учета;
– сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
– сведения об ученой степени;
– фотография;
– сведения о профессиональной переподготовке и (или) повышении квалификации;
– информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;
– номер расчетного счета;
– номер банковской карты;
– иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 3.1 настоящего Положения.
3.3. Обработка специальных категорий персональных данных работников Общества, а также соискателей осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 3.1 настоящего Положения, в соответствии с подпунктом 2.3 пункта 2 части 2 статьи 10 Федерального закона «О персональных данных» и положениями Трудового кодекса Российской Федерации, за исключением случаев получения персональных данных работника у третьей стороны.
3.4. Обработка персональных данных работников Общества, а также соискателей осуществляется при условии получения согласия указанных лиц в следующих случаях:
– при передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных действующим законодательством Российской Федерации;
– при трансграничной передаче персональных данных;
– при принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
3.5. В случаях, предусмотренных пунктом 2.5 настоящего Положения, согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом «О персональных данных».
3.6. Обработка персональных данных работников и соискателей осуществляется должностными лицами Общества в чьи должностные обязанности входит обеспечение кадровой работы и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
3.7. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных работников Общества осуществляется путем:
– получения оригиналов необходимых документов (заявление, трудовая книжка, резюме, иные документы, предоставляемые в Общество);
– копирования оригиналов документов;
– внесения сведений в учётные формы (на бумажных носителях);
– формирования персональных данных в ходе кадровой работы;
– внесения персональных данных в информационные системы Общества.
3.8. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от работников Общества и соискателей.
3.9. В случае возникновения необходимости получения персональных данных работников Общества, у третьей стороны, следует известить об этом работников Общества заранее, получить их письменное согласие и сообщить им о целях, предполагаемых источниках и способах получения персональных данных.
3.10. Запрещается получать, обрабатывать и приобщать к личному делу работника Общества персональные данные, не предусмотренные пунктом 2.2 настоящего Положения, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
3.11. При сборе персональных данных сотрудник Общества, осуществляющий сбор (получение) персональных данных непосредственно работников Общества и соискателей обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.
3.12. Передача (распространение, предоставление) и использование персональных данных работников Общества и соискателей осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.
3.13. В Обществе осуществляется обработка персональных данных работников и лиц, состоящих с ними в родстве (свойстве), в связи с рассмотрением вопроса о предоставлении социальных гарантий, предусмотренных действующим законодательством Российской Федерации (налоговые вычеты, льготы, социальные пособия и т.д.).
3.14. Перечень персональных данных лиц, состоящих с работниками в родстве (свойстве), подлежащих обработке в связи с предоставлением социальных гарантий, включает в себя:
– фамилию, имя, отчество;
– вид, серию, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дату выдачи;
– адрес места жительства (адрес постоянной регистрации, адрес временной регистрации, адрес фактического места жительства);
– иные персональные данные, предусмотренные законодательством Российской Федерации.
3.15. Передача (распространение, предоставление) и использование персональных данных лиц, состоящих с работниками в родстве (свойстве), подлежащих обработке в связи с предоставлением социальных гарантий, осуществляется лишь в случаях и в порядке, предусмотренных законодательством Российской Федерации.
3.16. Персональные данные работника хранятся в офисе Общества по адресу: Российская Федерация, г. Тюмень, ул. Баумана 29, офис 516, в сейфе на бумажных носителях: трудовая книжка, личная карточка и на электронных носителях с ограниченным доступом.
Право доступа к персональным данным работника имеют:
– руководитель организации;
– главный бухгалтер;
– методист.
3.17. Сроки хранения персональных данных определяются в соответствии с целями обработки персональных данных, настоящим Положением и действующим законодательством Российской Федерации.
4. Условия и порядок обработки персональных данных субъектов в связи с предоставлением образовательных и консультационных услуг
4.1. В рамках осуществления основных направлений деятельности персональные данные обрабатываются Обществом:
в ходе осуществления образовательной деятельности по дополнительным образовательным программам;
при осуществлении консультационных и методических услуг по вопросам подготовки и аттестации работников организаций (индивидуальных предпринимателей);
при заключении Обществом гражданско-правовых договоров в рамках осуществления хозяйственной деятельности (с контрагентами);
при обращении граждан в Общество за консультацией путем заполнения полей онлайн-заявки (контактной формы) на сайте Общества, а также подписки на информационную email-рассылку.
При этом обрабатываются персональные данные:
– слушателей (обучающихся) дополнительных образовательных программ;
– граждан, являющихся контрагентами (возможными контрагентами), представителями контрагентов (представителями возможных контрагентов) Общества по гражданско-правовым договорам;
– граждан, обращающихся в Общество по вопросам подготовки и аттестации работников организаций (индивидуальных предпринимателей); за консультацией путем заполнения онлайн-заявки на сайте Общества; путем подписки на информационную email-рассылку.
4.2. В рамках осуществления образовательной деятельности по дополнительным образовательным программам обрабатываются следующие персональные данные слушателей (обучающихся):
– фамилия, имя, отчество;
– вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
– адрес места жительства (адрес регистрации, фактического проживания);
– сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
– копия документа об образовании;
– место работы и занимаемая должность;
– адрес электронной почты;
– контактные телефоны.
Персональные данные слушателей (обучающихся) Общества хранятся в офисе Общества по адресу: Российская Федерация, г. Тюмень, ул. Баумана 29, офис 516, на бумажных носителях и на электронных носителях с ограниченным доступом.
Право доступа к персональным данным работника имеют:
– руководитель организации;
– главный бухгалтер;
– методист.
4.3. При осуществлении консультационных и методических услуг по вопросам подготовки и аттестации работников организаций (индивидуальных предпринимателей) обрабатываются следующие персональные данные:
– фамилия, имя, отчество;
– вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
место работы, занимаемая должность;
образование с указанием квалификации, даты выдачи документа об образовании и наименования образовательного учреждения, выдавшего его;
– сведения о профессиональной переподготовке и (или) повышении квалификации;
– адрес электронной почты;
– контактные телефоны.
4.4. В связи с реализацией своих прав и обязанностей как юридического лица, Обществом обрабатываются персональные данные физических лиц, являющихся контрагентами (возможными контрагентами), представителями контрагентов (представителями возможных контрагентов) Общества по гражданско-правовым договорам, персональные данные руководителей, членов коллегиальных исполнительных органов и представителей юридических лиц.
4.5. Персональные данные клиентов, контрагентов, представителей контрагентов Общества хранятся в офисе Общества по адресу: Российская Федерация, г. Тюмень, ул. Баумана 29, офис 516, на бумажных носителях и на электронных носителях с ограниченным доступом.
Право доступа к персональным данным работника имеют:
– руководитель организации;
– главный бухгалтер;
– методист.
4.6. Персональные данные граждан, обратившихся в Общество за консультацией путем заполнения полей онлайн-заявки (контактной формы) на сайте Общества, обрабатываются в целях рассмотрения указанных заявок с последующим уведомлением заявителей о результатах рассмотрения.
4.7. В рамках рассмотрения онлайн-заявок граждан подлежат обработке следующие персональные данные заявителей:
– фамилия, имя, отчество;
– адрес электронной почты;
– иные персональные данные, указанные заявителем в онлайн-заявке, а также ставшие известными в процессе рассмотрения поступившей заявки.
4.8. Персональные данные граждан, обратившихся с онлайн-заявкой в Общество хранятся в офисе Общества по адресу: Российская Федерация, г. Тюмень, ул. Баумана 29, офис 516, на бумажных носителях и на электронных носителях с ограниченным доступом.
Право доступа к персональным данным работника имеют:
– руководитель организации.
5. Порядок обработки персональных данных субъектов персональных данных в информационных системах
5.1. Обработка персональных данных в Обществе осуществляется:
В информационных системах «1С Бухгалтерия 8»; «СБИС».
5.2. Информационная система «1С Бухгалтерия 8»; «СБИС», содержат персональные данные работников Общества и физических лиц, являющихся стороной гражданско-правовых договоров, заключаемых Обществом, и включает:
-. фамилию, имя, отчество субъекта персональных данных;
– гражданство;
– дату рождения субъекта персональных данных;
– место рождения субъекта персональных данных;
– серию и номер основного документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе;
– адрес субъекта персональных данных (адрес проживания, адрес для информирования, адрес по прописке);
– контактные номера телефона субъекта персональных данных;
– ИНН субъекта персональных данных;
– СНИЛС субъекта персональных данных;
– адрес электронной почты;l
– табельный номер субъекта персональных данных;
– должность субъекта персональных данных;
– номер приказа и дату приема на работу (увольнения) субъекта персональных данных.
5.3. Должностным лицам Общества, имеющим право осуществлять обработку персональных данных в информационных системах Общества, предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе. Доступ предоставляется к информационным системам в соответствии с функциями, предусмотренными должностными инструкциями работников Общества.
Информация вносится в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
5.4. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных Общества, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:
– определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных Общества;
– применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Общества, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
– применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
– оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
– учет машинных носителей персональных данных;
– обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
– восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
– установление правил доступа к персональным данным, обрабатываемым в информационных системах Общества;
– контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем Общества.
5.5. Доступ работников к обрабатываемым персональным данным осуществляется в соответствии с их должностными обязанностями и требованиями локальных нормативных правовых актов Общества.
Допущенные к обработке персональных данных работники под роспись знакомятся с локальными нормативными правовыми актами Общества, устанавливающими порядок обработки персональных данных, включая документы, устанавливающие права и обязанности конкретных работников.
5.6. Порядок доступа субъекта персональных данных к его персональным данным, обрабатываемым Обществом, определяется в соответствии с законодательством и определяется локальными нормативными правовыми актами Общества.
6. Требования к помещениям, в которых производится обработка персональных данных
6.1. Размещение оборудования информационных систем, содержащих персональные данные, специального оборудования и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
6.2. Помещения, в которых располагаются технические средства информационных систем, содержащих персональные данные или хранятся носители персональных данных, должны соответствовать требованиям пожарной безопасности, установленным действующим законодательством Российской Федерации.
6.3. Определение уровня специального оборудования помещения осуществляется специально создаваемой комиссией. По результатам определения класса и обследования помещения на предмет его соответствия такому классу составляются акты.
6.4. Кроме указанных мер по специальному оборудованию и охране помещений, в которых устанавливаются криптографические средства защиты информации или осуществляется их хранение, реализуются дополнительные требования, определяемые методическими документами Федеральной службы безопасности России.
7. Обязанности оператора по хранению и защите персональных данных
7.1. Общество обязано за свой счет обеспечить защиту персональных данных работников и обучающихся от неправомерного их использования или утраты в порядке, установленном законодательством РФ.
7.2. Общество обязано принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Образовательная организация самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам могут, в частности, относиться:
1) назначение ответственного за организацию обработки персональных данных;
2) издание документов, определяющих политику образовательной организации в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике образовательной организации в отношении обработки персональных данных, ее локальным нормативным актам;
5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом;
6) ознакомление работников образовательной организации, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику образовательной организации в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
7.3. Работники и обучающиеся должны быть ознакомлены с настоящим Положением и их правами в области защиты персональных данных под расписку.
7.4. Общество обязано осуществлять передачу персональных данных работников и обучающихся только в соответствии с настоящим Положением и законодательством РФ.
7.5. Общество обязано предоставлять персональные данные работников и обучающихся только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей, в соответствии с настоящим Положением и законодательством РФ.
7.6. Общество не вправе предоставлять персональные данные работников и обучающихся в коммерческих целях без их письменного согласия.
7.7. Общество обязано обеспечить работникам и обучающимся свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных законодательством.
7.8. Общество обязано по требованию субъекта предоставить ему полную информацию о его персональных данных и обработке этих данных.
8. Права субъектов персональных данных
8.1. Субъекты в целях обеспечения защиты своих персональных данных, хранящихся в образовательной организации, имеют право:
– получать полную информацию о своих персональных данных, их обработке, хранении и передаче;
– определять своих представителей для защиты своих персональных данных;
– требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушениями настоящего Положения и законодательства РФ.
При отказе Общества исключить или исправить его персональные данные субъект вправе заявить в письменном виде о своем несогласии с соответствующим обоснованием;
– требовать от Общества извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях.
8.2. Если субъект считает, что образовательная организация осуществляет обработку его персональных данных с нарушением требований Федерального закона или иным образом нарушает его права и свободы, субъект вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
9. Порядок уничтожения, блокирования персональных данных
9.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных Общество обязано осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту, с момента такого обращения на период проверки.
9.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных Общество обязано осуществить блокирование персональных данных, относящихся к этому субъекту, с момента такого обращения на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта или третьих лиц.
9.3. В случае подтверждения факта неточности персональных данных образовательная организация на основании сведений, представленных субъектом персональных данных, или иных необходимых документов обязана уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
9.4. В случае выявления неправомерной обработки персональных данных, осуществляемой Обществом, Общество в срок, не превышающий трех рабочих дней с даты этого выявления, обязана прекратить неправомерную обработку персональных данных.
9.5. В случае если обеспечить правомерность обработки персональных данных невозможно, Общество в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональные данные.
9.6. Об устранении допущенных нарушений или об уничтожении персональных данных образовательная организация обязана уведомить субъекта персональных данных.
9.7. В случае достижения цели обработки персональных данных образовательная организация обязана прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого является субъект персональных данных.
9.8. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных образовательная организация обязана прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого является субъект персональных данных.
9.9. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 9.4-9.8 настоящего Положения, Общество осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
10. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника
10.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Трудовым кодексом РФ и иными Федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
10.2. Моральный вред, причиненный субъекту вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом убытков.
11. Заключительные положения
11.1. Настоящее Положение вступает в силу с момента его утверждения.
11.2. Работодатель обеспечивает неограниченный доступ к настоящему документу.
11.3. Настоящее Положение доводится до сведения всех работников, персонально под роспись.