ПОЛОЖЕНИЕ об обработке и защите персональных данных работников и студентов в ИГЭУ
ПОЛОЖЕНИЕ
об обработке и защите персональных данных работников и студентов в ИГЭУ
об обработке и защите персональных данных работников и студентов в ИГЭУ
1. Общие положения
1.1. Настоящее Положение об обработке и защите персональных данных работников и студентов (далее — Положение) федерального государственного бюджетного образовательного учреждения высшего профессионального образования «Ивановский государственный энергетический университет имени В.И. Ленина» (далее — ИГЭУ) разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.06 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.06 № 152-ФЗ «О персональных данных», Федеральным законом от 22.10.04 № 125-ФЗ «Об архивном деле в РоссийскойФедерации», Правилами внутреннего распорядка ИГЭУ.
1.2. Целью разработки настоящего Положения — определение порядка обработки персональных данных работников (студентов) ИГЭУ, обеспечение защиты прав и свобод работников (студентов) ИГЭУ при обработке их персональных данных, а также установление ответственности должностных лиц, имеющих доступ к персональным данным работников (студентов) ИГЭУ, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.3. Настоящее положение обязательно для всех работников (студентов) ИГЭУ. Правила получения, обработки и хранения персональных данных, предусмотренные настоящим Положением, действует в отношении работников, состоящих в трудовых отношениях с ИГЭУ, обучающихся и других физических лиц, состоящих в договорных и иных гражданско-правовых отношениях с ИГЭУ, а также лиц, прекративших трудовые отношения с ИГЭУ (отчисленных из ИГЭУ).
1.4. Настоящее Положение вступает в силу с момента его утверждения Ректором ИГЭУ и действует бессрочно, до замены его новым Положением.
2. Основные понятия
Обработка персональных данных работников (студентов)
Обработка персональных данных работников (студентов)
2.1. Для целей настоящего Положения используются следующие основные понятия:
— персональные данные работника (студента)— любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), необходимая ИГЭУ в связи с трудовыми отношениями с работниками и обучением студентов,определяемая нормативно-правовыми актами Российской Федерации в области трудовых отношений и образования, нормативными и распорядительными документами Минобрнауки России;
— Оператором, организующим и осуществляющим обработку персональных данных, является федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Ивановский государственный энергетический университет имени В.И.Ленина» (ИГЭУ);
— обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
— автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
— распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
— предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
— блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
— уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
— обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
— информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
2.2. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника (студента) обязаны соблюдать следующие общие требования:
2.2.1. Обработка персональных данных осуществляется с письменного согласия работника (студента) на обработку его персональных данных (Приложение № 1, Приложение № 2). Согласие на обработку персональных данных может быть отозвано субъектом персональных данных путем подачи письменного заявления.
2.2.2. Обработка персональных данных без согласия работника может осуществляться в следующих случаях:
— в целях исполнения трудового договора и (или) гражданско-правового договора, стороной которого является субъект персональных данных;
— в статистических и научных целях при условии обезличивания данных;
— для защиты жизни, здоровья и иных жизненно важных интересов работника (студента) (когда получение согласия субъекта невозможно);
— в др. случаях, предусмотренных законодательством.
2.2.3. Обработка персональных данных работника (студента) может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе; обеспечения личной безопасности; контроля прохождения обучения, количества и качества выполняемой работы; осуществления оплаты труда и выплаты стипендий; обеспечения сохранности имущества работодателя, работника (студента) и третьих лиц.
2.2.4. Обработка персональных данных может осуществляться для статистических или иных исследовательских целей при условии обязательного обезличивания персональных данных.
2.2.5. При определении объема и содержания обрабатываемых персональных данных работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами.
2.2.6. Персональные данные работника (студента) предоставляются самим работником (студентом). Если персональные данные работника (студента) возможно получить только у третьей стороны, то работник (студент) должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие (либо письменный отказ). Работодатель должен сообщить работнику (студенту) о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных (например, оформление запроса в учебное заведение о подлинности документа об образовании и т.п.). Если предоставление персональных данных является обязательным в соответствии с федеральным законом, работодатель обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
2.2.7. Работодатель не имеет права получать и обрабатывать персональные данные работника (студента) касающиеся расовой, национальной принадлежности политических взглядов, религиозных или философских убеждений, состояния здоровья и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
2.2.8. Работодатель не имеет права получать и обрабатывать персональные данные работника (студента) о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.
2.2.9. При принятии решений, затрагивающих интересы работника (студента), работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
2.2.10. Работник (студент) обязан предоставлять работодателю достоверные сведения о себе и своевременно сообщать ему об изменении своих персональных данных. Работодатель имеет право проверять достоверность сведений, предоставленных работником (студентом), сверяя данные, предоставленные работником, с имеющимися у работника (студента) документами.
2.3. Комплекс документов, содержащих персональные данные, сопровождающий процесс оформления трудовых отношений работника в ИГЭУ при его приеме, переводе и увольнении.
2.3.1. Информация, представляемая работником при поступлении на работу в ИГЭУ, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:
— паспорт или иной документ, удостоверяющий личность;
— трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
— страховое свидетельство государственного пенсионного страхования;
— документы воинского учета — для военнообязанных и лиц, подлежащих призыву на военную службу;
— документ об образовании, о квалификации или наличии специальных знаний — при поступлении на работу, требующую специальных знаний или специальной подготовки;
— сведения о профессии, специальности работника;
— в отдельных случаях, с учетом специфики работы, действующим законодательством РФ может предусматриваться необходимость предъявления при заключении трудового договора дополнительных документов (например, медицинское заключение для работников в возрасте до 18 лет, для работников, занятых на работах с вредными и (или) опасными условиями труда; сведения о социальных льготах, о семейном положении работника и членах его семьи, дающих основание для предоставления работникам гарантий и компенсаций, предусмотренных законодательством (наличие и возраст детей, состояние здоровья членов семьи, наличие у работника иждивенцев, о необходимости ухода за больным членом семьи и др.);
— справку о наличии (отсутствии) судимости (для преподавательского состава, ст. ст. 65, 331 Трудового кодекса Российской Федерации);
2.3.2. На каждого работника сотрудником Управления кадров заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:
— общие сведения (фамилия, имя, отчество работника, дата рождения, место рождения, гражданство, образование, профессия, номер страхового свидетельства государственного пенсионного страхования, стаж работы, состояние в браке и состав семьи, паспортные данные, адрес регистрации по месту жительства, адрес фактического проживания, номер контактного телефона);
— данные о приеме на работу.
В дальнейшем в личную карточку вносятся:
— сведения о переводах на другую работу;
— сведения о прохождении аттестации;
— сведения о повышении квалификации;
— сведения о профессиональной переподготовке;
— сведения о наградах (поощрениях), почетных званиях;
— сведения об отпусках;
— сведения о социальных льготах;
— сведения об увольнении.
2.3.3. В Управлении кадров ИГЭУ создаются и хранятся следующие группы документов, содержащие персональные данные о работниках в единичном или сводном виде:
— комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;
— подлинники и копии приказов по личному составу;
— личные дела и трудовые книжки работников;
— дела, содержащие основания к приказам по личному составу;
— дела, содержащие материалы аттестации работников;
— дела, содержащие материалы прохождения конкурсного отбора профессорско-преподавательского состава;
— справочно-информационный банк данных по персоналу (картотеки, журналы);
— подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству ИГЭУ, руководителям структурных подразделений;
— копии отчетов, направляемых в государственные органы статистики, вышестоящие органы управления и другие учреждения.
2.4. Комплекс документов, сопровождающий процесс зачисления на учебу, прохождения обучения и отчисления из университета студентов ИГЭУ:
2.4.1. При поступлении на учебу абитуриент представляет в приемную комиссию ИГЭУ следующие документы, содержащие персональные данные о себе:
— паспорт или иной документ, удостоверяющий личность, гражданство;
— документ об образовании;
— свидетельства о результатах единого государственного экзамена;
— фотографии;
— другие документы, необходимые в отдельных случаях с учетом специфики поступления в ВУЗ и действующим законодательством Российской Федерации (например, поступления в ВУЗ иностранных граждан, детей-сирот, военнослужащих и т.д., а так же документы о результатах региональных олимпиад и прочее).
2.4.2.После того, как будет принято решение о зачислении на учебу, а также впоследствии в процессе учебы, к документам, содержащим персональные данные студента, также будут относиться:
— приказ о зачислении на учебу, о прохождении учебы, об отчислении из ИГЭУ;
— приказы о поощрениях и взысканиях;
— медицинская справка формы № 086 У, медицинские справки для предоставления академического отпуска;
— удостоверение гражданина, подлежащего призыву на военную службу или военный билет;
— приказы о назначении стипендии и материальном поощрении студента;
— сведения о банковских картах;
— личная карточка студента;
— учебная карточка студента (форма №14);
— другие документы.
2.5. Сведения о воинском учете военнообязанных запаса и призывников обрабатываются сотрудниками Второго отдела ИГЭУ.
Во Втором отделе создаются и хранятся следующие группы документов, содержащие данные о работниках (студентах) в единичном или сводном виде:
— справочно-информационный банк данных по работникам (студентам) для ведения воинского учета (картотеки, журналы);
— переписка с военными комиссариатами;
— копии отчетов, направляемых в военные комиссариаты, вышестоящие органы управления и др. учреждения.
3. Передача и хранение персональных данных
3.1. При передаче персональных данных работника (студента) работодатель должен соблюдать следующие требования:
— не раскрывать третьим лицам и не распространять персональные данные без письменного согласия работника (студента), за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника (студента), а также в других случаях, предусмотренных федеральными законами;
— не сообщать персональные данные работника (студента) в коммерческих целях без его письменного согласия;
— предупредить лиц, получивших персональные данные работника (студента), о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные работника (студента), обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников (студентов) в порядке, установленном федеральными законами;
— разрешать доступ к персональным данным работников (студентов) только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника (студента), которые необходимы для выполнения конкретных функций;
— не запрашивать информацию о состоянии здоровья работника (студента), за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции (возможности продолжения обучения);
— передавать персональные данные работника (студента) представителям работников (студентов) в порядке, установленном законодательством Российской Федерации, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
Передача персональных данных между структурными подразделениями осуществляется в соответствии с инструкцией «О порядке обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные» (Приложение №4).
3.2. Хранение, уничтожение персональных данных работников (студентов).
3.2.1. Персональные данные работника (студента) хранятся:
— на бумажных носителях в Управлении кадров, в Управлении бухгалтерского учета и контроля, в Архиве, в Финансово-экономическом управлении, во Втором отделе, в других подразделениях с соблюдением предусмотренных нормативно-правовыми актами Российской Федерации мер по защите персональных данных.
— в электронном виде централизованно - в автоматизированных информационных системах под управлением программного комплекса 1С «Зарплата и кадры» «Расчет стипендии», «Управление контингентом обучаемых» (данные хранятся на серверах, расположенных в отдельном помещении с ограниченным доступом сотрудников) или в локальных системах (информационные системы: «Дипломы» в Управлении кадров, «Приложение к диплому» на выпускающих кафедрах и деканатах, «RADUGA» во Втором отделе, «АРМ Декана» в Деканатах, «Lotus» в Отделе входной и выходной информации, «Кадры» в системе FOXв Финансово-экономическом управлении, «bgbilling» 4.6. в Управлении телекоммуникаций).
3.2.2. Хранение персональных данных осуществляется в порядке, исключающем их утрату или неправомерное использование.
3.2.3. Все персональные данные, содержащиеся на бумажных носителях, хранятся в недоступном для неуполномоченных лиц месте (в сейфах или иных закрывающихся на замок шкафах, трудовые книжки - в металлических, несгораемых шкафах). Помещения, в которых хранятся персональные данные, оборудуются надежными замками и системой сигнализации.
3.2.4. Защита сведений, хранящихся в электронных базах данных работодателя, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается разграничением прав доступа пользователей, аутентификацией (пароль, логин) пользователей, использованием криптографических средств (Крипто ПРО), учетом электронных носителей.
3.2.5. Порядок планирования и проведения мониторинга информационной безопасности автоматизированных систем, обрабатывающих персональные данные, от несанкционированного доступа, распространения, искажения и утраты информации определен в «Инструкции по проведению мониторинга информационной безопасности и антивирусного контроля при обработке персональных данных» (Приложение №6)
3.2.6. Хранение персональных данных работников (студентов) в структурных подразделениях работодателя, сотрудники которых имеют право доступа к персональным данным, осуществляется в порядке исключающим к ним доступ третьих лиц.
Ответственность за соблюдение требований законодательства Российской Федерации при обработке и использовании персональных данных возлагается на руководителей структурных подразделений ИГЭУ.
3.2.7. Личные дела работников (студентов), первичная учетная документация по учету труда и его оплаты, документы по учету использования рабочего времени, а также иные документы, содержащие персональные данные работников по истечении сроков хранения в структурных подразделениях ИГЭУ подлежат передаче на хранение в архив ИГЭУ или уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.
3.2.8. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4. Доступ к персональным данным работников (студентов)
Защита персональных данных
Защита персональных данных
4.1. Право доступа к персональным данным работников (студентов) имеют:
— ректор;
— проректора (в соответствии с приказом «О распределении обязанностей между проректорами ИГЭУ»);
— главный бухгалтер;
— начальник управления кадров.
Руководители структурных подразделений имеют право доступа к персональным данным работников (студентов) структурного подразделения, касающихся выполнения ими трудовой функции и (или) прохождения обучения.
4.1.1. Процедура оформления допуска к обработке персональных данных работника (студента):
— предоставление руководителями структурных подразделений ИГЭУ в Управление кадров сведений об обработке персональных данных работников (студентов) без использования средств автоматизации и с использованием средств автоматизации (Приложение № 3);
— издание приказа «О допуске к обработке персональных данных»;
— дополнение должностных инструкций сотрудников, допущенных к обработке персональных данных, функциональными обязанностями о необходимости соблюдения настоящего Положения и утвержденных Инструкций (Приложения №4, №5)
4.1.2. Уполномоченные лица имеют право обрабатывать только те персональные данные работника (студента), которые необходимы для выполнения конкретных функций в соответствии с должностной инструкцией указанных лиц.
4.2. В целях обеспечения защиты персональных данных работник (студент) имеет право:
4.2.1. Получать свободный доступ к своим персональным данным, включая право на получение копии любой записи (за исключением случаев предусмотренных федеральным законом), содержащей его персональные данные. Сведения должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
4.2.2. Требовать от работодателя уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
4.2.3. Получать от работодателя:
— сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
— перечень обрабатываемых персональных данных и источник их получения;
— сроки обработки персональных данных, в том числе сроки их хранения;
— сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
4.2.4. Требовать извещения работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
4.2.5. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия работодателя при обработке и защите его персональных данных.
4.3. Защита персональных данных работника (студента) от неправомерного их использования или утраты обеспечивается за счёт средств работодателя в соответствии с нормативно-правовыми актами Российской Федерации, нормативно-распорядительными актами и рекомендациями регулирующих органов в области защиты информации, а также утвержденными регламентами и инструкциями работодателя (Приложения № 3, №4, №5, №6)
4.3.1. Лицом, ответственным за организацию обработки персональных данных работников (студентов) назначается начальник Управления кадров. Ему устанавливается следующий круг обязанностей:
— осуществлять внутренний контроль за соблюдением работодателем и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
— доводить до сведения работников (студентов) ИГЭУ положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
— организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и осуществлять контроль за приемом и обработкой таких обращений и запросов.
4.3.2. Лицом, ответственным за организацию обеспечения безопасности автоматизированной обработки персональных данных работников (студентов) назначается начальник Управления телекоммуникаций. Ему устанавливается следующий круг обязанностей:
— осуществлять определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
— осуществлять организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
— проводить оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
— осуществлять учет машинных носителей персональных данных;
— принимать меры к обнаружению и устранению фактов несанкционированного доступа к персональным данным, а также осуществлять восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
— устанавливать правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивать регистрацию и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;
— осуществлять контроль за техническими мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.
4.4.1. Работники ИГЭУ, имеющие доступ к персональным данным и допущенные к их обработке должны быть ознакомлены под расписку с «Инструкцией о порядке обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные» - Приложение №4, «Инструкцией пользователя при обработке персональных данных на объектах вычислительной техники» - Приложение № 5, а также обязаны принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, модифицирования, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении данной информации.
5.Ответственность за нарушение норм и правил, регулирующих обработку и защиту персональных данных
Работники, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника (студента), несут предусмотренную законодательством Российской Федерации ответственность.
Во вложении:
- Положение в pdf-формате
- Приложение 1. Заявление о согласии на обработку персональных данных (для работников)
- Приложение 2. Заявление о согласии на обработку персональных данных (для студентов)
- Приложение 3. Сведения об обработке персональных данных работников и студентов в ИГЭУ
- Приложение 4. Инструкция о порядке обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные
- Приложение 5. Инструкция пользователя при обработке персональных данных на объектах вычислительной техники
| Вложение | Размер |
|---|---|
| Polozhenie_o_personalnyh_dannyh.pdf | 1.72 МБ |
| Pril_3_Svedeniya.doc | 51 КБ |
| Pril_4_Konfidencialnost.pdf | 687.23 КБ |
| Pril_4_Konfidencialnost_приложения.doc | 49.5 КБ |
| Pril_5_Instrukciya.pdf | 502.09 КБ |
| Приказ о внесении изменений.pdf | 547.91 КБ |
| Pril_1_Zayavlenie_rabotnik.doc | 34 КБ |
| Pril_2_Zayavlenie_student.doc | 35.5 КБ |
| Инструкция.pdf | 5.19 МБ |
- Версия для печати
- 4141 просмотр
